Transcript Single Sign-on System

SSO
Single Sign-on Systems
Mansooreh Jalalyazdi
‫سناریو‬
‫برای رفتن به سفر‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ثبت نام برای رزرو بلیط پرواز‬
‫ثبت نام برای رزور اتاق هتل‬
‫ثبت نام برای اجاره ماشین‬
‫مشکالت وضع موجود‪:‬‬
‫‪ ‬چندین ‪ sing-on‬دردسرساز است‬
‫‪ ‬می توان فقط یک بار ‪ sign-on‬کرد و همه اعمال را انجام داد؟‬
‫‪ Single sign-on ‬می توادند پاسخ این سوال باشد‪.‬‬
‫‪ SSO‬چیست؟‬
‫داشتن چندین سیستم مستلزم‪:‬‬
‫‪ ‬چندین صفحه برای ‪ sign-on‬است‬
‫‪ Login ‬به کامپیوتر شخصی‬
‫‪ Login ‬به ایمیل‬
‫‪ Login ‬برای استفاده از منابع‬
‫‪ ‬چندین مجموعه از اعتبار‬
‫‪ ‬ارائه هر اعتبار چندین مرتبه‬
‫‪ ‬سردرد برای مدیران و کاربران‬
‫با افزایش تعداد منبع جدید که نیازمند کنترل امنیت است‪sign-on ،‬‬
‫بیشتری نیاز است‪.‬‬
‫تعریف ‪ SINGLE SIGN-ON‬در وب‬
‫کاربر فقط یکبار به سایت ‪ sign-on‬می کند‪.‬‬
‫فقط یکبار به وی دسترسی برای منابع مختلف در یک حوزه یا چندین حوزه‬
‫داده می شود‪.‬‬
‫فقط یکبار برای دستیابی به برنامه های مختلف مورد بازبینی قرار می‬
‫گیرد‪.‬‬
‫با یکبار ‪ log-on‬کردن‪ ،‬امکان دستیابی به همه منابع در شبکه‪ LAN ،‬یا‬
‫‪ WAN‬وجود دارد‪.‬‬
SSO ‫محدوده های‬
Client-Server
E-Commerce
‫‪IN CLIENT-SERVER RELATIONSHIP‬‬
‫‪: SSO‬‬
‫فرایند ‪ Authenticate‬کردن کاربر‪/‬نشست است به گونه ای که کاربر‬
‫فقط نام و کلمه عبور را برای دستیابی به برنامه های مختلف وارد می‬
‫کند‪.‬‬
‫‪IN E-COMMERCE‬‬
‫‪: SSO‬‬
‫اطالعات مالی مشتری متمرکز شده و فقط در یک سرور قرار دارد‪.‬‬
‫• راحتی کاربر‬
‫• امنیت بیشتر‬
‫• محدود کردن تعداد دفعاتی که کاربر شماره کارت اعتباری یا دیگر‬
‫اطالعات حساس خود را وارد می کند‪.‬‬
‫توصیف ‪SSO‬‬
‫‪ SSO‬چگونه عمل می کند؟‬
SSO ‫اجزاء‬
Authentication Domain
Secondary domain
1. Access application
2. Refer
for authn.
3. Ask for
credentials
SSO
Application
Application
/resource
4. Transfer to application
SSO ‫اجزاء‬
Sign-on (verification)
App (enforcement)
HTTP server
Application
SSO
Application
Enforcement
agent
Authorisation
• LDAP
Authentication
server
• Kerberos
• RDBMS
• …
‫همزمانی کلمات عبور‬
‫‪:Password synchronization‬‬
‫فرایند تغییر کلمه عبور برنامه های مختلف به یک مقدار یکسان است‪.‬‬
‫کاربر همواره یک کلمه عبور یکسان را برای ورود به سیستم های همزمان‬
‫شده‪ ،‬وارد می کند‪.‬‬
‫• شبکه‬
‫• سیستم مالی‬
‫• ‪....‬‬
‫‪PASSWORD SYNCHRONIZATION VS‬‬
‫‪SINGLE SIGN-ON‬‬
‫‪Single Sign-on‬‬
‫‪Password‬‬
‫‪Synchronization‬‬
‫از یک نام کاربری و یک‬
‫کلمه عبور برای ‪ sing in‬در‬
‫یک سایت استفاده می کنند‪.‬‬
‫‪ Authentication‬برای‬
‫‪ client‬توسط یک سرور‬
‫خاص صورت می گیرد‪.‬‬
‫همه برنامه ها از یک کلمه عبور یکسان‬
‫استفاده می کنند‪.‬‬
‫کاربران مانند قبل‪ ،‬برای استفاده از‬
‫هر سیستم جداگانه ‪ login‬می کنند‪.‬‬
‫فقط یکبار برای هر حوزه‬
‫چندین مرتبه با توجه به برنامه های‬
‫مورد نیاز‬
‫‪Process‬‬
‫‪Login times‬‬
‫‪PASSWORD SYNCHRONIZATION VS SINGLE SING-ON‬‬
‫)‪(CON‬‬
‫از پروتکل های خاص برای فقط کلمه عبور را مدیریت‬
‫مدیریت اختیارات مشتری ها می کند‪.‬‬
‫و اطالعات محرمانه استفاده‬
‫می شود‪.‬‬
‫فقط یک کلمه عبور که می‬
‫تواند بسیار امن باشد‬
‫فقط می تواند سیاست عدم‬
‫وجود کلمه عبورهای ضعیف‬
‫را برقرار کند‪.‬‬
‫می تواند برای داده های‬
‫حساس رمزنگاری شود و با‬
‫استفاده از کانال های امن‬
‫انتقال داده شود‪.‬‬
‫به محض اینکه یک برنامه‬
‫مورد سوء استفاده قرار‬
‫گیرد‪ ،‬همه دیگر برنامه ها‬
‫نیز می توانند مورد دستیابی‬
‫قرار گرفته و داده های‬
‫حساس بدست آیند‪.‬‬
‫‪Manage credential‬‬
‫‪data‬‬
‫‪Weak password‬‬
‫‪Security‬‬
‫‪SSO BY COOKIES‬‬
‫اغلب سیستم های ‪ SSO‬از کوکی استفاده می کنند‪.‬‬
‫مرورگرها از کوکی ها پشتیبانی می کنند‪.‬‬
‫کاربرانی که کوکی ها را غیرفعال می کنند یا سطح امنیت مرورگر را تغییر‬
‫می دهند ممکن است قابلیت های ‪ SSO‬را از دست بدهند‪.‬‬
‫‪SESSION MANAGEMENT‬‬
‫برنامه های ‪ SSO‬برای هر کاربر یک نشست ایجاد می کنند‪.‬‬
‫برنامه معموال یک نشست ایجاد می کند‪.‬‬
‫‪ Log out‬از برنامه ممکن است باعث ‪ log out‬از برنامه ‪ SSO‬نشود‪.‬‬
‫‪Singe sign-in => Single sign-out‬‬
‫متشکرم‬