Único signo en
Único signo en (SSO) es una propiedad del control de acceso múltiples relacionadas con, pero independiente software sistemas. Con esta propiedad, un usuario registros en con un solo ID y contraseña para acceder a un sistema conectado o sistemas sin necesidad de utilizar diferentes nombres de usuario o contraseñas, o en algunas configuraciones se muestra en cada sistema. Esto se logra típicamente usando la Protocolo de acceso a directorio ligeros (LDAP) y almacenar bases de datos de LDAP en servidores (directorio).[1] Una versión simple del signo solo puede lograrse en Redes IP utilizando galletas pero sólo si los sitios comparten un dominio de padres comun de DNS.[2]
Para mayor claridad es mejor referirse a sistemas que requieren autenticación para cada aplicación, pero usando las mismas credenciales de un servidor de directorio como directorio de servidor de autenticación y sistemas donde una sola autenticación proporciona acceso a múltiples aplicaciones por pasar el token de autenticación sin problemas a las aplicaciones configuradas como Single Sign-On.
Por el contrario, solo sign-off es la propiedad por el que una sola acción de la firma hacia fuera termina acceso a varios sistemas de software.
Diferentes aplicaciones y recursos de apoyo diferentes autenticación de mecanismos, single sign-on debe internamente almacene las credenciales utilizadas para la autenticación inicial y traducirlas a las credenciales necesarias para los diferentes mecanismos.
Otros esquemas de autenticación compartida incluyen OAuth, OpenID, Conexión OpenID y Facebook Connect. Sin embargo, estos esquemas de autenticación requieren al usuario que introduzca sus credenciales de inicio de sesión cada vez que acceda a un sitio diferente o una aplicación por lo que no debe ser confundido con SSO.
Para ser precisos, OAuth no es estrictamente un esquema de autenticación, pero un autorización Protocolo: es una manera para los usuarios a conceder el acceso en su propio nombre a sitios web o aplicaciones a otros sitios web o aplicaciones con algunas teclas de acceso. El objetivo principal del protocolo es intercambiar las credenciales de acceso para la autenticación y no la autenticación de sí mismo.
Contenido
- 1 Beneficios
- 2 Críticas
- 3 Seguridad
- 4 Configuraciones comunes
- 4.1 Kerberos basado
- 4.2 Tarjeta inteligente basada
- 4.3 Autenticación de Windows integrada
- 4.4 Security Assertion Markup Language
- 5 Configuraciones emergentes
- 5.1 Dispositivos móviles como controladores de acceso
- 6 Véase también
- 7 Referencias
- 8 Acoplamientos externos
Beneficios
Beneficios de mediante un signo único incluyen:
- Mitigar el riesgo de acceso a sitios de 3rd-party (las contraseñas de usuario almacenados ni gestionados externamente)
- Reducción de la fatiga de la contraseña de combinaciones de nombre y la contraseña de otro usuario.
- Reduciendo el tiempo pasado que volver a introducir las contraseñas para la misma identidad
- Reduciendo los costos debido al menor número de lo mesa de ayuda llamadas sobre contraseñas[3]
Acciones SSO centralizadas servidores de autenticación que todas las otras aplicaciones y sistemas utilizan para la autenticación de los propósitos y esto combina con técnicas para que los usuarios no tengan entrar activamente sus credenciales más de una vez.
Críticas
El término muestra reducida en (RSO) ha sido utilizado por algunos para reflejar el hecho de que único signo en es práctico para hacer frente a la necesidad de diferentes niveles de acceso seguro en la empresa y como tal más de servidor de uno autenticación pueden ser necesarios.[4]
Como único signo-ofrece acceso a muchos recursos una vez que el usuario está inicialmente autenticadas ("las llaves del castillo") aumenta el impacto negativo en el caso de las credenciales están disponibles a otras personas y mal. Por lo tanto, single sign-on requiere una mayor atención a la protección de las credenciales de usuario e idealmente debe combinarse con métodos de autenticación fuerte como tarjetas inteligentes y contraseña temporal fichas.[4]
Único signo-también hace los sistemas de autenticación muy crítico; una pérdida de su disponibilidad puede resultar en la denegación de acceso a todos los sistemas unificados bajo el SSO. SSO puede configurarse con capacidades de failover de sesión para mantener la operación del sistema.[5] Sin embargo, el riesgo de falla del sistema puede hacer único inicio de sesión indeseables para los sistemas a los que acceso debe garantizarse en todo momento, como los sistemas de seguridad o de planta.
Además, el uso de singles sign-on técnicas utilizando servicios de redes sociales tales como Facebook puede inutilizar sitios web de terceros dentro de bibliotecas, escuelas o lugares de trabajo que bloquean sitios de medios sociales por razones de productividad. También puede causar dificultades en países con activos censura regímenes, tales como China y su"Proyecto escudo dorado"donde el sitio web de terceros no puede ser censurado activamente, pero es efectivamente bloqueado si social inicio de sesión de un usuario está bloqueado.[6][7]
Seguridad
En marzo de 2012, un trabajo de investigación[8] divulgó un extenso estudio sobre la seguridad de social entrar mecanismos. Los autores encontraron 8 fallos de lógica seria en proveedores de identificación de alto perfil y confiante sitios web, tales como OpenID (incluyendo identificación de Google y PayPal acceso), Facebook, Janrain, Freelancer, FarmVille, y Sears.com. Porque los investigadores informaron proveedores ID y confiante sitios Web antes del anuncio del descubrimiento de las fallas, las vulnerabilidades fueron corregidas y no han sido registradas brechas de seguridad.[9]
En mayo de 2014, una vulnerabilidad denominada Redirect encubierta fue divulgado.[10] Fue primer divulgado "Covert redirigir vulnerabilidad relacionada a OAuth 2.0 y OpenID" por su descubridor Wang Jing, estudiante de doctorado matemática de Universidad Tecnológica de NanyangSingapur.[11][12][13] De hecho, casi todos solo sign-on los protocolos están afectados. Redirect encubierta aprovecha de terceros clientes susceptibles a un XSS o redirección abierta.[14]
Configuraciones comunes
Kerberos basado
- Sign-on inicial solicita al usuario las credenciales y obtiene una Kerberos billete de concesión de vales (TGT).
- Aplicaciones de software adicionales que requieren autenticación, como clientes de correo electrónico, wikis, y control de revisión sistemas, usar el vale de concesión de vales para la adquisición de tickets de servicio, comprobando la identidad del usuario para el servidor de correo / servidor de wiki / etc. sin preguntar al usuario que vuelva a introducir las credenciales.
Windows medio ambiente - inicio de sesión de Windows trae TGT. Active Directory-aplicaciones Buscar entradas de servicio, por lo que el usuario no se le pida que vuelva a autenticarse.
Unix/Linux medio ambiente - inicio de sesión mediante Kerberos PAM módulos obtiene TGT. kerberizado aplicaciones cliente como Evolución, Firefox, y SVN utilizar entradas de servicio, por lo que el usuario no se le pida que vuelva a autenticarse.
Tarjeta inteligente basada
El signo inicial solicita al usuario la tarjeta inteligente. Aplicaciones de software adicionales también utilizan la tarjeta inteligente, sin preguntar al usuario que vuelva a introducir las credenciales. Basado en tarjeta inteligente única muestra en puede usar certificados o contraseñas almacenadas en la tarjeta inteligente.
Autenticación de Windows integrada
Autenticación de Windows integrada es un término asociado con Microsoft productos y se refiere a la SPNEGO, Kerberos, y NTLMSSP con respecto a los protocolos de autenticación SSPI funcionalidad con Microsoft Windows 2000 y se incluye con más adelante Windows NT-basado en sistemas operativos. El término es más comúnmente utilizado para referirse a las conexiones autenticadas automáticamente entre Microsoft Servicios de Internet Information y Internet Explorer. Multiplataforma Active Directory proveedores de integración han extendido el paradigma de la autenticación integrada de Windows en sistemas Unix, Linux y Mac.
Security Assertion Markup Language
Security Assertion Markup Language (SAML) es un XML-solución para el intercambio de información de seguridad de usuario entre un empresa y un proveedor de servicios. Es compatible con W3C Cifrado de XML y servicios inician solo muestra en bolsas de web browser. Un usuario con un agente de usuario (generalmente un navegador web) se llama al tema en el basadas en SAML single sign-on. El usuario solicita un recurso de web protegido por un proveedor de servicios SAML. El proveedor de servicios, deseen conocer la identidad del usuario solicitante, emite una solicitud de autenticación a un proveedor de identidad SAML a través del agente de usuario. El proveedor de identidad es la que proporciona las credenciales de usuario. El proveedor de servicios confía en la información de usuario desde el proveedor de identidad para proporcionar acceso a sus servicios o recursos.
Configuraciones emergentes
Dispositivos móviles como controladores de acceso
Una variación más reciente de autenticación de inicio de sesión único ha sido desarrollada utilizando dispositivos móviles como controladores de acceso. Dispositivos móviles de los usuarios pueden utilizarse para registrarlos automáticamente en varios sistemas, como la construcción de sistemas de control de acceso y sistemas informáticos, mediante el uso de métodos de autenticación, que incluyen Conexión OpenID y SAML,[15] en conjunto con un X.509 UIT-T criptografía certificado utilizado para identificar el dispositivo móvil a un servidor de acceso.
Véase también
- Servicio de autenticación central
- Gestión de la identidad
- Sistemas de gestión de identidad
- Lista de implementaciones de inicio de sesión únicas
- Security Assertion Markup Language
- Usabilidad de los sistemas de autenticación web
Referencias
- ^ "SSO y autenticación LDAP". Authenticationworld.com. archivado de la el original en 2014-05-23. 2014-05-23.
- ^ "OpenID versus Single-Sign-On Server". Alleged.org.uk. 2007-08-13. 2014-05-23.
- ^ "Ventajas de SSO". Universidad de Guelph. 2014-05-23.
- ^ a b «Solo señal de autenticación». Authenticationworld.com. archivado de la el original en 2014-03-15. 2013-05-28.
- ^ "Sun GlassFish Enterprise Server v2.1.1 guía de administración de alta disponibilidad". Oracle.com. 2013-05-28.
- ^ Laurenson, Lydia (03 de mayo de 2014). "El efecto de la censura". TechCrunch. 27 de febrero 2015.
- ^ Chester, Ken (12 de agosto de 2013). "Censura, autenticación externa y otras lecciones de social media del gran cortafuegos de China". Tecnología en Asia. 9 de marzo 2016.
- ^ Rui Wang; Shuo Chen y XiaoFeng Wang. "Me firma en sus cuentas a través de Facebook y Google: un estudio de seguridad guiada por el tráfico de servicios Web comercialmente desplegadas de Single-Sign-On".
- ^ "OpenID: informe de vulnerabilidades, confusión de datos" -OpenID Foundation, 14 de marzo de 2012
- ^ "Facebook, los usuarios de Google amenazados por nueva falla de seguridad". Guía de Tom. 02 de mayo de 2014. 11 de noviembre 2014.
- ^ "Vulnerabilidad de redirección encubierta relacionada con OpenID y OAuth 2.0". Tetraph. 01 de mayo de 2014. 10 de noviembre 2014.
- ^ "el estudiante de matemáticas detecta OAuth, OpenID vulnerabilidad de la seguridad". Tecnología Xplore. 03 de mayo de 2014. 10 de noviembre 2014.
- ^ "Facebook, los usuarios de Google amenazados por nueva falla de seguridad". Yahoo. 02 de mayo de 2014. 10 de noviembre 2014.
- ^ "Defecto redirigir encubierta en OAuth no es el siguiente Heartbleed". Symantec. 03 de mayo de 2014. 10 de noviembre 2014.
- ^ "Oficina de MicroStrategy del futuro incluye ciberseguridad e identidad móvil". Washington Post. 2014-04-14. 2014-03-30.
Acoplamientos externos
- Single Sign-on Intro con diagramas