WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

Технология единого входа (англ. Single Sign-On) — технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.

Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

Реализация

Kerberos

После успешной первичной аутентификации центр распределения ключей (Key Distribution Center, KDC) выдает первичное удостоверение пользователя для доступа к сетевым ресурсам — Ticket Granting Ticket (TGT). В дальнейшем, при обращении к отдельным ресурсам сети, пользователь, предъявляя TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Service Ticket (TGS). В качестве примера реализации протокола Kerberos можно отметить доменную аутентификацию пользователей в операционных системах Microsoft, начиная с Windows 2000[1].

Смарт-карты и токены

При первоначальном входе требуется подключить смарт-карту и токен. Технология единого входа, основанная на смарт-картах и токенах, использует либо сертификаты, либо пароли, записанные на этих ключах.

Встроенная аутентификация Windows

Под встроенной аутентификацией Windows понимается продукт Microsoft, использующий протоколы SPNEGO, Kerberos, и NTLMSSP. Чаще всего этим термином обозначают аутентификацию, происходящую при взаимодействии Microsoft Internet Information Services и Internet Explorer.

Security Assertion Markup Language

SAML (security assertion markup language — язык разметки утверждений безопасности) — язык разметки, основанный на языке XML. Открытый стандарт обмена данными аутентификации и авторизации между участниками, главным образом между поставщиком идентификации (англ. identity provider) и поставщиком услуг (англ. service provider). Пользователь запрашивает доступ к ресурсу, защищенному поставщиком услуг. Поставщик услуг, чтобы провести идентификацию пользователя, направляет запрос на проведение аутентификации в адрес поставщика идентификации. Поставщик идентификации проверяет наличие у пользователя активной сессии, если она отсутствует, то проводит аутентификацию пользователя, и формирует ответ с данными пользователя.

В качестве примера реализации можно привести систему единого входа, реализованную в Электронном правительстве на основе Единой системы идентификации и аутентификации. Примером поставщика идентификации, использующего SAML в целях обеспечения единого входа, является Oracle Identity Federation и Blitz Identity Provider.

Корпоративный SSO (Enterprise SSO)

Представляет собой альтернативу "подлинному" механизму единого входа. Корпоративный SSO (Enterprise SSO, ESSO) требует установки специального агента на каждое рабочее место сотрудника. Функция агента — отслеживать появление форм ввода логина и пароля и автоматически подставлять логин и пароль пользователя в эту форму. В результате пользователь проходит аутентификацию, даже не замечая отображения формы ввода логина и пароля.

Преимущества

К основным преимуществам технологии единого входа относятся:

  • уменьшение парольного хаоса между различными комбинациями имени пользователя и пароля;
  • уменьшение времени на повторный ввод пароля для одной и той же учетной записи;
  • поддержка традиционных механизмов аутентификации, таких как имя пользователя и пароль;
  • снижение расходов на IT-службу за счёт уменьшения количества запросов по восстановлению забытых паролей;
  • обеспечение безопасности на каждом уровне входа/выхода/доступа к системе без причинения неудобств пользователям.

В технологии единого входа применяются централизованные серверы аутентификации, используемые другими приложениями и системами, которые обеспечивают ввод пользователем своих учётных данных только один раз.

Недостатки

Некоторыми экспертами в качестве главного недостатка технологии единого входа отмечается увеличивающаяся важность единственного пароля, при получении которого злоумышленник обретает доступ ко всем ресурсам пользователя, использующего единый вход. Поставщики менеджеров паролей также отмечают использование различных паролей к разным информационным ресурсам как более надёжное решение по сравнению с технологией единого входа.

Механизм корпоративного SSO (Enterprise SSO) не обеспечивает высокого уровня защищенности, поскольку в конечных системах аутентификация происходит по паролю. Кроме того, этот механизм требует установки специальных агентов, поддерживаются не все устройства и операционные системы.

См. также

Примечания

  1. Принципы аутентификации по протоколу Kerberos | ITband.ru. itband.ru. Проверено 9 марта 2016.


Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .




Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2024
WikiSort.ru - проект по пересортировке и дополнению контента Википедии