What is an SSO identifier?

Forstå Single Sign-On (SSO): En Guide

9 år ago

Rating: 4.75 (3078 votes)

I vores moderne digitale verden navigerer vi konstant mellem utallige applikationer og tjenester. Hver især kræver de ofte separate loginoplysninger – et brugernavn og en adgangskode. Denne jonglering kan hurtigt føre til frustration og en uoverskuelig mængde legitimationsoplysninger at huske. Forestil dig en verden, hvor ét enkelt login giver dig adgang til alle de digitale ressourcer, du har brug for. Dette er løftet bag Single Sign-On, eller SSO.

Single Sign-On (SSO) er en identifikationsmetode, der revolutionerer den måde, vi interagerer med digitale tjenester på. Kernen i SSO er evnen til at bruge ét sæt legitimationsoplysninger til at logge ind på flere uafhængige applikationer og websites. Dette strømliner godkendelsesprocessen for brugerne markant. Når en bruger logger ind på én applikation, godkendes de automatisk på andre tilknyttede applikationer, uafhængigt af domæne, platform eller teknologi.

Which of the following is the best approach to use when providing access to an SSO application in a portal?
FOLLOW THESE STEPS TO IMPLEMENT SSO AUTHENTICATION IN YOUR ORGANIZATION.1Map Out The Applications You Want to Connect to SSO. ...2Integrate With Identity Provider (IdP) ...3Verify The Data in Your Identity Directory. ...4Evaluate User Privileges. ...5Ensure The SSO System is Highly Available Secure.
Indholdsfortegnelse

Hvad betyder SSO, og hvordan fungerer det?

Det mest grundlæggende spørgsmål er ofte, hvad SSO står for. Det står for Single Sign-On. Det er et værktøj inden for federeret identitetsstyring (FIM), også kaldet identitetsføderation. SSO udfører identitetsverifikation, en afgørende proces inden for identitets- og adgangsstyring (IAM). IAM er et framework, der gør det muligt for organisationer sikkert at bekræfte identiteten af deres brugere og enheder, når de tilgår et netværk. Dette er kritisk for at tildele brugeradgangsrettigheder og sikre, at brugere kun har det nødvendige adgangsniveau for effektivt at udføre deres rolle.

SSO fungerer ved at dele og verificere loginoplysninger mellem tjenesteudbydere (Service Providers - SP) og identitetsudbydere (Identity Providers - IdP). En tjenesteudbyder er typisk en leverandør, der tilbyder produkter, løsninger og tjenester til brugere og organisationer, såsom en applikation eller et website. En identitetsudbyder er et system, der opretter, administrerer og vedligeholder brugeridentiteter og leverer godkendelsestjenester til at verificere brugere. Disse betroede udbydere gør det muligt for brugere at benytte SSO til at få adgang til applikationer og websites, hvilket forbedrer brugeroplevelsen ved at reducere adgangskode-træthed.

Det er vigtigt at bemærke, at SSO-tjenester typisk ikke gemmer brugerinformation eller identiteter direkte. I stedet fungerer de ved at kontrollere og matche en brugers loginoplysninger med information gemt i en identitetsstyringstjeneste eller database.

Single Sign-On-løsninger følger typisk en række trin for at sikre, at en brugers legitimationsoplysninger omdirigeres fra en SP til en IdP. Selvom de specifikke protokoller varierer, involverer processen generelt, at brugeren initierer et login på en SP, SP'en omdirigerer brugeren til IdP'en for godkendelse, IdP'en verificerer brugerens identitet (ofte baseret på en eksisterende session eller ved at anmode om loginoplysninger), og IdP'en sender derefter et godkendelsestoken tilbage til SP'en, som giver brugeren adgang.

SSO-tokens: Nøglen til problemfri adgang

Et SSO-token er en digital legitimationsoplysning, der bruges i SSO-systemer til at muliggøre problemfri adgang på tværs af flere applikationer. Når en bruger godkender sig hos IdP'en, genererer IdP'en et SSO-token, som fungerer som bevis på brugerens identitet. Dette token bruges derefter af andre applikationer inden for det samme betroede netværk til at give adgang uden at kræve, at brugeren logger ind igen.

SSO-tokenet indeholder typisk forskellig information om brugeren, såsom deres identitet, roller og tilladelser. Det er sikkert krypteret for at forhindre uautoriseret adgang og manipulation. Der er forskellige typer af tokens, der bruges i SSO, herunder:

  • Bearer tokens: Disse tokens bruges i protokoller som OAuth og OpenID Connect. De kaldes "bearer" tokens, fordi den, der besidder tokenet, kan bruge det til at få adgang til ressourcer.
  • SAML assertions: I SAML-baseret SSO kaldes tokenet en SAML assertion. Det indeholder udsagn om brugeren, såsom godkendelse, attributter og beslutninger om autorisation.
  • Kerberos tickets: I Kerberos-baseret SSO kaldes tokenet en billet, som inkluderer en billet-udstedende billet (TGT) og servicebilletter.

Processen med tokenudstedelse og validering involverer flere trin:

  1. Godkendelse: Brugeren angiver sine legitimationsoplysninger til IdP'en.
  2. Tokenudstedelse: Ved succesfuld godkendelse udsteder IdP'en et SSO-token.
  3. Tokenopbevaring: Tokenet gemmes i brugerens session, browsercookies eller en anden sikker lagringsmetode.
  4. Tokens transmission: Når brugeren forsøger at få adgang til en anden applikation, transmitteres tokenet til den applikation.
  5. Tokenvalidering: Applikationen validerer tokenet med IdP'en for at sikre dets ægthed.
  6. Adgang gives: Ved succesfuld validering giver applikationen adgang til brugeren.

Ved at bruge SSO-tokens kan organisationer strømline brugeradgang, forbedre sikkerheden og forbedre brugeroplevelsen på tværs af flere applikationer.

Fordele ved SSO

Implementering af Single Sign-On medfører en række betydelige fordele for både brugere og organisationer. Disse fordele spænder bredt fra forbedret brugervenlighed til øget sikkerhed og reducerede driftsomkostninger.

Nøglefordelene ved Single Sign-On er:

  • Reduceret adgangskode-træthed: Dette opnås ved at mindske behovet for at huske forskellige brugernavne og adgangskoder. Brugere slipper for byrden ved at administrere flere sæt legitimationsoplysninger.
  • Hurtigere logins: Brugere kan logge ind hurtigere takket være den reducerede tid, der kræves for at genindtaste adgangskoder. Når den første godkendelse er sket, sker adgangen til andre tjenester næsten øjeblikkeligt.
  • Mindre tredjepartsrisiko: SSO mindsker risici forbundet med adgang til tredjepartswebsites (dvs. federeret godkendelse) og undgår ekstern lagring og administration af brugeradgangskoder.
  • Lavere IT-omkostninger: Der ses et stort fald i antallet af henvendelser til IT-helpdesken vedrørende nulstilling af adgangskoder og loginproblemer, hvilket reducerer driftsomkostningerne.
  • Nem administration: SSO-processer er gennemsigtige og involverer de samme værktøjer, der bruges til andre administrative opgaver, hvilket forenkler styringen af brugeradgang.
  • Øget kontrol: Alle netværksadministrationsdata er samlet i ét repository, hvilket giver en samlet kilde til at kontrollere brugerrettigheder. Administratorer kan nemt ændre adgangsrettigheder i hele netværket.
  • Mere produktivitet: Brugere undgår afbrydelser og forsinkelser på grund af flere logins eller administration af flere adgangskoder. De kan nemt få adgang til beskyttede netværksområder og vende tilbage til arbejdet med det samme.
  • Bedre netværkssikkerhed: Kompleks adgangskodeadministration er en almindelig årsag til sikkerhedsbrud, fordi brugere ofte skriver adgangskoder ned. Ved at konsolidere netværksadgangsdataene kan administratorer trygt deaktivere brugerkonti og håndhæve stærkere adgangskodepolitikker.
  • Netværkskonsolidering: Administratorer kan forbinde separate netværk for at konsolidere deres administrationsindsats og overvåge alle forskellige, distribuerede miljøer.

Disse fordele understreger, hvorfor SSO er blevet en kritisk del af næsten enhver organisations strategi for brugerstyring og godkendelse.

Typer af SSO og Underliggende Protokoller

Når man identificerer og implementerer SSO, er det vigtigt at være opmærksom på de forskellige protokoller og standarder, der muliggør denne funktionalitet. Disse standarder definerer, hvordan identitetsinformation udveksles mellem IdP'er og SP'er.

De mest almindelige protokoller inkluderer:

SAML (Security Assertion Markup Language)

SAML er en åben standard for kodning af tekst til maskinsprog og udveksling af identificerende information. Det er blevet en af kernestandarderne for SSO og bruges af mange applikationsudbydere til at validere godkendelsesanmodninger. SAML 2.0 er optimeret til webapplikationer og kan sende information via en webbrowser.

What does SSO mean in school?
Single Sign-on For Schools & Early Childhood Education - Clever.

Forbindelsesflow for SAML:

  1. En bruger anmoder om adgang til en ressource i en applikation (tjenesteudbyder), der deltager i SSO.
  2. Applikationen tjekker med IdP'en for at se, om brugeren har tilladelse til at få adgang til den ønskede ressource.
  3. IdP'en godkender brugeren, og hvis brugeren har adgang, returnerer den en 'assertion', der angiver, at brugeren skal have adgang til ressourcen.

OAuth (Open Authorization)

OAuth er en åben standardgodkendelsesprotokol, der krypterer identitetsinformation og transmitterer den sikkert mellem applikationer. Dette giver brugere mulighed for at få adgang til data fra andre applikationer uden manuelt at skulle verificere deres identitet. Dette er især nyttigt for native mobile applikationer. OAuth fokuserer primært på autorisation, dvs. at give en applikation tilladelse til at handle på vegne af brugeren, snarere end selve godkendelsen af brugeren.

OIDC (OpenID Connect)

OIDC er en udvidelse af OAuth 2.0, som tilføjer information om brugere og muliggør SSO. Dette gør det muligt for flere applikationer at bruge én login-session. For eksempel kan brugere logge ind på en tjeneste ved hjælp af deres Facebook- eller Google-konto i stedet for at indtaste deres legitimationsoplysninger. OIDC er en godkendelsesprotokol bygget oven på OAuth 2.0's autorisationsramme.

Forbindelsesflow for OIDC:

  1. En bruger anmoder om adgang til en applikation.
  2. Applikationen omdirigerer anmodningen til identitetsudbyderen.
  3. IdP'en godkender brugeren.
  4. Hvis godkendelsen er succesfuld, viser IdP'en en prompt, der beder brugeren om at give adgang til den ønskede applikation.
  5. IdP'en genererer et ID Token med identitetsinformation, som applikationen kan bruge.
  6. IdP'en omdirigerer brugeren tilbage til applikationen, og brugeren kan få adgang uden at angive legitimationsoplysninger igen.

Kerberos

Kerberos er en protokol til udstedelse af billetter, der muliggør gensidig godkendelse, hvilket gør det muligt for en bruger og en server at godkende hinanden over en usikker netværksforbindelse. Den bruges almindeligvis til godkendelse i Windows-miljøer og for softwareapplikationer som e-mailklienter. Kerberos er typisk mere egnet til interne netværk end webbaserede SSO-scenarier.

LDAP/AD (Lightweight Directory Access Protocol / Active Directory)

LDAP er en applikationsprotokol, der giver adgang til en mappe med legitimationsoplysninger. Den udveksler information ved hjælp af LDAP Data Interchange Format (LDIF). En LDAP-mappe kan deles på tværs af flere applikationer. Når LDAP bruges med Active Directory (AD), kan brugeridentiteter gemmes på den centrale AD-server, og applikationer sender godkendelsesanmodninger til LDAP/AD-serveren.

Forbindelsesflow for LDAP/AD:

  1. Applikationen (kendt som klienten) sender en anmodning om at få adgang til information gemt i en LDAP-database.
  2. Applikationen angiver brugerlegitimationsoplysninger (brugernavn og adgangskode) til LDAP-serveren.
  3. LDAP-serveren matcher brugerens indsendte legitimationsoplysninger med brugeridentitetsdata gemt i LDAP-databasen eller AD. Brugeridentiteter kan være baseret på attributter som adresser, telefonnumre eller gruppemedlemskab.
  4. Hvis de angivne legitimationsoplysninger matcher den gemte bruger-ID, tillader LDAP klienten at få adgang til den anmodede information.
  5. Hvis legitimationsoplysningerne er ukorrekte, nægter LDAP adgang.

Disse protokoller udgør fundamentet for forskellige SSO-løsninger, der hver især er optimeret til specifikke miljøer og behov.

Er SSO sikkert?

Sikkerheden ved SSO er et vigtigt overvejelse. Selvom SSO tilbyder betydelige sikkerhedsforbedringer sammenlignet med at administrere flere adgangskoder manuelt, er det ikke en universalløsning uden udfordringer.

SSO kan give stærkere sikkerhed end nogle alternativer, der bruges til at kontrollere adgang til en organisations tjenester. For eksempel kræver nogle virksomheder, at brugere opretholder separate logins for hver tjeneste, hvilket introducerer andre sikkerhedsproblemer, såsom brug af svage eller genbrugte adgangskoder.

SSO hjælper med at reducere IT-infrastrukturens angrebsoverflade. Brugere behøver ikke at huske flere adgangskoder, og de behøver ikke indtaste legitimationsoplysninger flere gange om dagen. Den centraliserede administrationsmetode giver administratorer mulighed for at implementere stærkere sikkerhedsforanstaltninger som MFA (Multi-Factor Authentication) og gode adgangskodepraksisser. SSO gør ikke infrastrukturen mindre sikker og hjælper ofte med at øge sikkerheden.

Dog er det vigtigt at overveje, hvordan SSO-platforme integreres i en organisations overordnede IT-arkitektur. Organisationer skal omhyggeligt konfigurere deres SSO-løsninger for at opretholde deres sikkerhedsposition. Autentificeringssårbarheder kan forekomme, og hvis en angriber kompromitterer SSO-legitimationsoplysningerne, kan de potentielt få adgang til flere systemer. Derfor er implementering af MFA oven på SSO stærkt anbefalet for at tilføje et ekstra lag af sikkerhed.

Enterprise SSO vs. Social Login

Mange populære sociale medietjenester, herunder Google, LinkedIn, Twitter og Facebook, tilbyder SSO-tjenester, ofte kendt som social login. Disse tjenester giver slutbrugere mulighed for at logge ind på tredjepartsapplikationer ved hjælp af deres legitimationsoplysninger fra sociale medier. Selvom social SSO er bekvemt for brugere, kan det også udgøre en sikkerhedsrisiko ved at skabe et enkelt punkt for fejl, som angribere kan udnytte.

Mange sikkerhedseksperter siger, at social login ikke er passende til adgangskontrol i virksomheder, fordi hvis en angriber kompromitterer brugerens sociale legitimationsoplysninger, kan de bruge disse legitimationsoplysninger til at få adgang til flere organisatoriske systemer.

What does SSO stand for?
Single Sign-on (SSO) Meaning. Single sign-on (SSO) is an identification method that enables users to log in to multiple applications and websites with one set of credentials.

Enterprise SSO er en Single Sign-On-løsning, der giver slutbrugere sikker ét-klik adgang til alle virksomhedsapplikationer ved at validere brugere mod en betroet identitetsudbyder, der kontrolleres af organisationen. Dette gør det muligt for organisationen at implementere strengere foranstaltninger til at forhindre identitetstyveri. For yderligere sikkerhed kan virksomheder også implementere MFA eller adaptiv MFA.

Her er en sammenlignende tabel:

FunktionEnterprise SSOSocial Login (f.eks. Google, Facebook)
KontrolOrganisationen har fuld kontrol over IdP.Kontrolleres af tredjeparts social medieudbyder.
SikkerhedspolitikkerOrganisationen definerer og håndhæver sikkerhedspolitikker (f.eks. MFA).Afhænger af den sociale medieudbyders politikker.
AnvendelsesområdeTypisk brugt til interne og virksomhedsapplikationer.Typisk brugt til kundevendte applikationer og websites.
Risiko ved kompromitteringKan give adgang til virksomhedssystemer.Kan give adgang til personlige konti og potentielt forbundne tjenester.
TilpasningHøj grad af tilpasning mulig.Begrænset tilpasning.

Valget mellem Enterprise SSO og social login afhænger af anvendelsesscenariet og organisationens sikkerhedskrav.

Implementering af SSO i 5 trin

Implementering af SSO drejer sig om en central server eller tjeneste. Alle applikationer stoler på denne masterserver og bruger den til at få adgang til loginoplysninger. Hvis din organisation har flere applikationer, kører de sandsynligvis på forskellige servere ved hjælp af forskellige brugermapper og godkendelsesmekanismer. For at SSO skal fungere, skal du integrere alle dine applikationer med den centrale SSO-server.

Følg disse trin for at implementere SSO-godkendelse i din organisation:

  1. Kortlæg de applikationer, du vil forbinde til SSO: Identificer, hvilke applikationer der skal være en del af din SSO-struktur. Se på brugerloginmønstre og identificer, hvilke brugere der skal have adgang til hvilke applikationer. Opret SSO-"bundter" for hvert sæt applikationer, der ofte tilgås af en gruppe brugere. Undersøg, om din SSO-løsning har indbyggede integrationer med dem. Hvis ikke, forbered udviklingsressourcer til at bygge en integration.
  2. Integrer med Identitetsudbyderen (IdP): Hvis du har din egen identitetsudbyder, skal du sikre, at SSO-løsningen kan integreres og teste integrationen. Bestem den protokol, du vil bruge til at forbinde til IdP'en, typisk SAML eller OIDC. Ellers se, hvilke eksterne IdP'er din SSO-løsning understøtter – social login via platforme som Google eller Facebook bruges ofte og er bekvemt for de fleste brugere (men overvej forskellen til Enterprise SSO).
  3. Verificer dataene i din identitetsmappe: For at SSO skal fungere, skal du have nøjagtige, autoritative oplysninger om dine brugere. Det er også kritisk, at identiteter i din IdP stemmer overens med identiteter, der bruges i applikationer forbundet via SSO. Sørg for, at hver bruger i din brugerdatabase har en opdateret e-mail og legitimationsoplysninger. Datavalideringsprocessen er også en mulighed for at fjerne gamle brugere og tilbagekalde unødvendige privilegier.
  4. Evaluer brugerrettigheder: Før implementering af SSO skal du omhyggeligt evaluere, hvilke brugere eller roller der har adgang til hvilke applikationer. De fleste organisationer anvender princippet om mindste privilegie, hvor hver bruger modtager minimale privilegier, der er nødvendige for at udføre deres funktion. Sørg for at definere privilegier omhyggeligt baseret på en solid forståelse af forretningsanvendelserne for hver applikation.
  5. Sørg for, at SSO-systemet er yderst tilgængeligt og sikkert: SSO er en mission-kritisk tjeneste og et enkelt punkt for fejl for dine applikationer. Hvis du kører SSO-serveren lokalt, skal du opsætte redundans og sikre, at serveren har passende netværks- og applikationslagssikkerhedskontroller. Hvis du bruger en skytjeneste, se hvilke pålideligheds- eller tilgængelighedsniveauer den tilbyder, og vælg det mest passende for din organisation. Sørg for, at du har korrekt konfigureret udbyderens sikkerhedsindstillinger.

En omhyggelig planlægning og implementering er afgørende for en succesfuld SSO-udrulning.

Ofte Stillede Spørgsmål om SSO

Her er svar på nogle almindelige spørgsmål vedrørende Single Sign-On:

Hvad står SSO for?
SSO står for Single Sign-On, hvilket betyder enkelt login.

Hvad betyder SSO i skolen?
I en skolekontekst betyder SSO, at elever, lærere og personale kan bruge ét sæt loginoplysninger (typisk udstedt af skolen) for at få adgang til forskellige digitale ressourcer som læringsplatforme, e-mail, studieadministrative systemer og online-software. Dette forenkler adgangen og reducerer problemer med glemte adgangskoder, hvilket sikrer, at brugerne hurtigt kan få adgang til de værktøjer, de har brug for til undervisning og læring.

Hvad er en SSO-identifikator?
En SSO-identifikator kan referere til flere ting afhængigt af konteksten og protokollen. Oftest refererer det til det unikke ID, der bruges til at identificere brugeren i SSO-systemet, som IdP'en bruger til at knytte brugeren til deres profil og rettigheder. I protokoller som SAML kan det være en del af den 'assertion' eller token, der sendes mellem IdP og SP for at identificere den godkendte bruger. Det er grundlæggende den information, der beviser brugerens identitet inden for SSO-rammen.

Hvordan virker SSO?
SSO virker ved at brugeren godkendes én gang hos en central identitetsudbyder (IdP). Efter godkendelse modtager brugeren et token eller en session. Når brugeren derefter forsøger at få adgang til andre applikationer (tjenesteudbydere, SP'er), tjekker disse applikationer med IdP'en eller bruger det eksisterende token for at bekræfte brugerens identitet uden at kræve en ny loginproces. Dette eliminerer behovet for at indtaste legitimationsoplysninger for hver enkelt applikation.

Er SSO sikkert?
Ja, SSO kan være meget sikkert, ofte mere sikkert end at administrere mange separate adgangskoder. SSO centraliserer godkendelsen, hvilket gør det nemmere at håndhæve stærke sikkerhedspolitikker, såsom krav om komplekse adgangskoder og implementering af Multi-Factor Authentication (MFA). Dog skaber SSO et enkelt punkt for fejl; hvis SSO-systemet kompromitteres, kan det potentielt give adgang til flere applikationer. Derfor er korrekt konfiguration og yderligere sikkerhedsforanstaltninger som MFA afgørende for at maksimere sikkerheden.

SSO er en kraftfuld teknologi, der fortsat udvikler sig og spiller en stadig større rolle i den moderne digitale infrastruktur, både for virksomheder og private brugere.

Kunne du lide 'Forstå Single Sign-On (SSO): En Guide'? Så tag et kig på flere artikler i kategorien Læsning.

Go up