Single Sign-on System
Download
Report
Transcript Single Sign-on System
SSO
Single Sign-on Systems
Mansooreh Jalalyazdi
سناریو
برای رفتن به سفر:
ثبت نام برای رزرو بلیط پرواز
ثبت نام برای رزور اتاق هتل
ثبت نام برای اجاره ماشین
مشکالت وضع موجود:
چندین sing-onدردسرساز است
می توان فقط یک بار sign-onکرد و همه اعمال را انجام داد؟
Single sign-on می توادند پاسخ این سوال باشد.
SSOچیست؟
داشتن چندین سیستم مستلزم:
چندین صفحه برای sign-onاست
Login به کامپیوتر شخصی
Login به ایمیل
Login برای استفاده از منابع
چندین مجموعه از اعتبار
ارائه هر اعتبار چندین مرتبه
سردرد برای مدیران و کاربران
با افزایش تعداد منبع جدید که نیازمند کنترل امنیت استsign-on ،
بیشتری نیاز است.
تعریف SINGLE SIGN-ONدر وب
کاربر فقط یکبار به سایت sign-onمی کند.
فقط یکبار به وی دسترسی برای منابع مختلف در یک حوزه یا چندین حوزه
داده می شود.
فقط یکبار برای دستیابی به برنامه های مختلف مورد بازبینی قرار می
گیرد.
با یکبار log-onکردن ،امکان دستیابی به همه منابع در شبکه LAN ،یا
WANوجود دارد.
SSO محدوده های
Client-Server
E-Commerce
IN CLIENT-SERVER RELATIONSHIP
: SSO
فرایند Authenticateکردن کاربر/نشست است به گونه ای که کاربر
فقط نام و کلمه عبور را برای دستیابی به برنامه های مختلف وارد می
کند.
IN E-COMMERCE
: SSO
اطالعات مالی مشتری متمرکز شده و فقط در یک سرور قرار دارد.
• راحتی کاربر
• امنیت بیشتر
• محدود کردن تعداد دفعاتی که کاربر شماره کارت اعتباری یا دیگر
اطالعات حساس خود را وارد می کند.
توصیف SSO
SSOچگونه عمل می کند؟
SSO اجزاء
Authentication Domain
Secondary domain
1. Access application
2. Refer
for authn.
3. Ask for
credentials
SSO
Application
Application
/resource
4. Transfer to application
SSO اجزاء
Sign-on (verification)
App (enforcement)
HTTP server
Application
SSO
Application
Enforcement
agent
Authorisation
• LDAP
Authentication
server
• Kerberos
• RDBMS
• …
همزمانی کلمات عبور
:Password synchronization
فرایند تغییر کلمه عبور برنامه های مختلف به یک مقدار یکسان است.
کاربر همواره یک کلمه عبور یکسان را برای ورود به سیستم های همزمان
شده ،وارد می کند.
• شبکه
• سیستم مالی
• ....
PASSWORD SYNCHRONIZATION VS
SINGLE SIGN-ON
Single Sign-on
Password
Synchronization
از یک نام کاربری و یک
کلمه عبور برای sing inدر
یک سایت استفاده می کنند.
Authenticationبرای
clientتوسط یک سرور
خاص صورت می گیرد.
همه برنامه ها از یک کلمه عبور یکسان
استفاده می کنند.
کاربران مانند قبل ،برای استفاده از
هر سیستم جداگانه loginمی کنند.
فقط یکبار برای هر حوزه
چندین مرتبه با توجه به برنامه های
مورد نیاز
Process
Login times
PASSWORD SYNCHRONIZATION VS SINGLE SING-ON
)(CON
از پروتکل های خاص برای فقط کلمه عبور را مدیریت
مدیریت اختیارات مشتری ها می کند.
و اطالعات محرمانه استفاده
می شود.
فقط یک کلمه عبور که می
تواند بسیار امن باشد
فقط می تواند سیاست عدم
وجود کلمه عبورهای ضعیف
را برقرار کند.
می تواند برای داده های
حساس رمزنگاری شود و با
استفاده از کانال های امن
انتقال داده شود.
به محض اینکه یک برنامه
مورد سوء استفاده قرار
گیرد ،همه دیگر برنامه ها
نیز می توانند مورد دستیابی
قرار گرفته و داده های
حساس بدست آیند.
Manage credential
data
Weak password
Security
SSO BY COOKIES
اغلب سیستم های SSOاز کوکی استفاده می کنند.
مرورگرها از کوکی ها پشتیبانی می کنند.
کاربرانی که کوکی ها را غیرفعال می کنند یا سطح امنیت مرورگر را تغییر
می دهند ممکن است قابلیت های SSOرا از دست بدهند.
SESSION MANAGEMENT
برنامه های SSOبرای هر کاربر یک نشست ایجاد می کنند.
برنامه معموال یک نشست ایجاد می کند.
Log outاز برنامه ممکن است باعث log outاز برنامه SSOنشود.
Singe sign-in => Single sign-out
متشکرم