كيف يعمل الدخول الموحد

يعمل الدخول الموحّد (SSO) استنادًا إلى علاقة ثقة تم إعدادها بين تطبيق ، يُعرف باسم موفر الخدمة ، وموفر الهوية ، مثل OneLogin. غالبًا ما تستند علاقة الثقة هذه إلى شهادة يتم تبادلها بين موفر الهوية وموفر الخدمة. يمكن استخدام هذه الشهادة لتوقيع معلومات الهوية التي يتم إرس...

  الهويات و الصلاحيات   أبريل 7, 2023   0   237  أضف إلى قائمة القراءة
كيف يعمل الدخول الموحد

ما هو الدخول الموحد؟

تسجيل الدخول الأحادي (SSO) هو طريقة مصادقة تمكّن المستخدمين من المصادقة بأمان مع تطبيقات ومواقع ويب متعددة باستخدام مجموعة واحدة فقط من بيانات الاعتماد.

كيف يعمل SSO؟

يعمل الدخول الموحّد (SSO) استنادًا إلى علاقة ثقة تم إعدادها بين تطبيق ، يُعرف باسم موفر الخدمة ، وموفر الهوية ، مثل OneLogin. غالبًا ما تستند علاقة الثقة هذه إلى شهادة يتم تبادلها بين موفر الهوية وموفر الخدمة. يمكن استخدام هذه الشهادة لتوقيع معلومات الهوية التي يتم إرسالها من موفر الهوية إلى مزود الخدمة حتى يعرف مزود الخدمة أنها واردة من مصدر موثوق. في الدخول الموحّد (SSO) ، تأخذ بيانات الهوية هذه شكل الرموز المميزة التي تحتوي على أجزاء تعريفية من المعلومات حول المستخدم مثل عنوان البريد الإلكتروني للمستخدم أو اسم المستخدم.

عادة ما يبدو تدفق تسجيل الدخول كما يلي:

 يتصفح المستخدم التطبيق أو موقع الويب الذي يريد الوصول إليه ، ويعرف أيضًا باسم مزود الخدمة.
 يرسل مزود الخدمة رمزًا مميزًا يحتوي على بعض المعلومات حول المستخدم ، مثل عنوان بريده الإلكتروني ، إلى نظام SSO ، المعروف أيضًا باسم مزود الهوية ، كجزء من طلب مصادقة المستخدم.
 يتحقق موفر الهوية أولاً لمعرفة ما إذا كان المستخدم قد تمت مصادقته بالفعل أم لا ، وفي هذه الحالة سيمنح المستخدم حق الوصول إلى تطبيق مزود الخدمة ويتخطى إلى الخطوة 5.
 إذا لم يقم المستخدم بتسجيل الدخول ، فسيُطلب منه القيام بذلك من خلال تقديم بيانات الاعتماد التي يطلبها موفر الهوية. قد يكون هذا ببساطة اسم مستخدم وكلمة مرور أو قد يتضمن شكلاً آخر من أشكال المصادقة مثل كلمة المرور لمرة واحدة (OTP).
 بمجرد أن يتحقق موفر الهوية من صحة بيانات الاعتماد المقدمة ، سيرسل رمزًا مميزًا مرة أخرى إلى مزود الخدمة لتأكيد المصادقة الناجحة.
 يتم تمرير هذا الرمز المميز من خلال متصفح المستخدم إلى مزود الخدمة.
 يتم التحقق من صحة الرمز الذي تم استلامه بواسطة مزود الخدمة وفقًا لعلاقة الثقة التي تم إعدادها بين مقدم الخدمة وموفر الهوية أثناء التكوين الأولي.
 يتم منح المستخدم حق الوصول إلى مزود الخدمة.

عندما يحاول المستخدم الوصول إلى موقع ويب مختلف ، يجب أن يكون لموقع الويب الجديد علاقة ثقة مماثلة تم تكوينها مع حل SSO وسيتبع تدفق المصادقة نفس الخطوات.

ما هو رمز SSO؟

رمز SSO المميز عبارة عن مجموعة من البيانات أو المعلومات التي يتم تمريرها من نظام إلى آخر أثناء عملية تسجيل الدخول الموحد. يمكن أن تكون البيانات ببساطة عنوان البريد الإلكتروني للمستخدم ومعلومات حول النظام الذي يرسل الرمز المميز. يجب أن يتم توقيع الرموز رقمياً لمتلقي الرمز المميز للتحقق من أن الرمز المميز قادم من مصدر موثوق. يتم تبادل الشهادة المستخدمة لهذا التوقيع الرقمي أثناء عملية التكوين الأولية.

هل الدخول الموحّد (SSO) آمن؟

الجواب على هذا السؤال هو "هذا يعتمد".

هناك العديد من الأسباب التي تجعل تسجيل الدخول الأحادي يمكن أن يحسن الأمان. يمكن لحل تسجيل الدخول الأحادي تبسيط إدارة اسم المستخدم وكلمة المرور لكل من المستخدمين والمسؤولين. لم يعد يتعين على المستخدمين تتبع مجموعات مختلفة من بيانات الاعتماد ويمكنهم ببساطة تذكر كلمة مرور واحدة أكثر تعقيدًا. غالبًا ما يمكّن SSO المستخدمين من الوصول إلى تطبيقاتهم بشكل أسرع.

يمكن أن يقلل الدخول الموحّد (SSO) أيضًا من مقدار الوقت الذي يجب أن يقضيه مكتب المساعدة في مساعدة المستخدمين بكلمات المرور المفقودة. يمكن للمسؤولين التحكم مركزيًا في المتطلبات مثل تعقيد كلمة المرور والمصادقة متعددة العوامل (MFA). يمكن للمسؤولين أيضًا التخلي بشكل أسرع عن امتيازات تسجيل الدخول عبر اللوحة عندما يغادر المستخدم المؤسسة.

الدخول الموحّد له بعض العيوب. على سبيل المثال ، قد يكون لديك تطبيقات تريد قفلها أكثر قليلاً. لهذا السبب ، سيكون من المهم اختيار حل SSO يمنحك القدرة ، على سبيل المثال ، على طلب عامل مصادقة إضافي قبل أن يقوم المستخدم بتسجيل الدخول إلى تطبيق معين أو يمنع المستخدمين من الوصول إلى تطبيقات معينة ما لم يكونوا متصلين بأمان. شبكة.

كيف يتم تنفيذ الدخول الموحّد (SSO)؟

ستختلف التفاصيل الخاصة بكيفية تنفيذ حل SSO اعتمادًا على حل SSO الدقيق الذي تعمل به. ولكن بغض النظر عن الخطوات المحددة ، فأنت بحاجة إلى التأكد من أنك قد حددت أهدافًا وغايات واضحة لتنفيذك. تأكد من إجابتك على الأسئلة التالية:

 ما هي أنواع المستخدمين المختلفة التي تخدمها وما هي متطلباتهم المختلفة؟
 هل تبحث عن حل On Prem أم حل قائم على السحابة؟
 هل سيكون هذا الحل قادرًا على النمو مع شركتك واحتياجاتك؟
 ما الميزات التي تبحث عنها لضمان تسجيل دخول المستخدمين الموثوق بهم فقط؟ MFA ، والمصادقة التكيفية ، وثقة الجهاز ، والقائمة البيضاء لعنوان IP ، وما إلى ذلك؟
 ما هي الأنظمة التي تريد أن تتكامل معها؟
 هل تحتاج إلى الوصول إلى API؟

ما الذي يجعل نظام SSO حقيقيًا؟

من المهم فهم الفرق بين تسجيل الدخول الأحادي وخزانة كلمات المرور أو مديري كلمات المرور ، والتي يشار إليها أحيانًا باسم SSO والتي يمكن أن تعني تسجيل الدخول نفسه وليس تسجيل الدخول الأحادي. باستخدام مخزن كلمات المرور ، قد يكون لديك نفس اسم المستخدم وكلمة المرور ، ولكن يلزم إدخالهما في كل مرة تنتقل فيها إلى تطبيق أو موقع ويب مختلف. يقوم نظام تخزين كلمات المرور ببساطة بتخزين بيانات الاعتماد الخاصة بك لجميع التطبيقات المختلفة وإدخالها عند الضرورة. لا توجد علاقة ثقة بين التطبيقات ونظام خزنة كلمات المرور.

باستخدام SSO ، أي الدخول الموحد ، بعد تسجيل الدخول عبر حل SSO ، يمكنك الوصول إلى جميع التطبيقات والمواقع المعتمدة من الشركة دون الحاجة إلى تسجيل الدخول مرة أخرى. يتضمن ذلك التطبيقات السحابية وكذلك التطبيقات المحلية ، والتي غالبًا ما تكون متاحة من خلال بوابة الدخول الموحد (وتسمى أيضًا بوابة تسجيل الدخول).
ما هو برنامج SSO مقابل حل SSO

عند البحث عن خيارات SSO المتوفرة ، قد تراها يشار إليها أحيانًا ببرنامج SSO مقابل حل SSO مقابل موفر SSO. في كثير من الحالات ، قد يكون الاختلاف ببساطة في الطريقة التي تصنف بها الشركات نفسها. يقترح جزء من البرنامج شيئًا ما مثبتًا في مكان العمل. عادة ما يكون مصممًا للقيام بمجموعة محددة من المهام ولا شيء آخر. يشير الحل إلى وجود القدرة على توسيع أو تخصيص إمكانيات المنتج الأساسي. قد يكون الموفر وسيلة للإشارة إلى الشركة التي تنتج الحل أو تستضيفه. على سبيل المثال ، يُعرف OneLogin باسم موفر حلول SSO

هل توجد أنواع مختلفة من SSO؟

هناك الكثير من المصطلحات التي يتم استخدامها عندما نتحدث عن الدخول الموحد (SSO).

     إدارة الهوية الموحدة (FIM)
     OAuth (تحديدًا OAuth 2.0 في الوقت الحاضر)
     OpenID Connect (OIDC)
     لغة ترميز الوصول إلى الأمان (SAML)
     نفس تسجيل الدخول (SSO)

يعد الدخول الموحد (SSO) في الواقع جزءًا من مفهوم أكبر يسمى إدارة الهوية الموحدة ، وبالتالي يشار إلى SSO أحيانًا باسم SSO الموحد. يشير FIM فقط إلى علاقة ثقة يتم إنشاؤها بين مجالين أو أكثر أو أنظمة إدارة الهوية. غالبًا ما يكون تسجيل الدخول الأحادي ميزة متوفرة في بنية FIM.

OAuth 2.0 هو إطار عمل محدد يمكن اعتباره أيضًا جزءًا من بنية FIM. يركز OAuth على تلك العلاقة الموثوقة التي تسمح بمشاركة معلومات هوية المستخدم عبر المجالات.

OpenID Connect (OIDC) عبارة عن طبقة مصادقة تم إنشاؤها فوق OAuth 2.0 لتوفير وظيفة تسجيل الدخول الأحادي.

تسجيل الدخول نفسه الذي يُشار إليه غالبًا باسم SSO ليس في الواقع هو نفسه تسجيل الدخول الموحد لأنه لا يتضمن أي علاقة ثقة بين الكيانات التي تقوم بالمصادقة. إنه يعتمد بشكل أكبر على بيانات الاعتماد التي يتم تكرارها بين الأنظمة وتمرير بيانات الاعتماد هذه ببساطة عند الضرورة. إنه ليس آمنًا مثل أي من حلول الدخول الموحد.

هناك أيضًا بعض الأنظمة المحددة التي تظهر عادةً عندما نناقش تسجيل الدخول الفردي: Active Directory و Active Directory Federation Services (ADFS) وبروتوكول الوصول إلى الدليل الخفيف (LDAP).

Active Directory ، الذي يشار إليه في الوقت الحاضر على وجه التحديد بخدمات Active Directory Directory (ADDS) ، هو خدمة دليل مركزية من Microsoft. تتم إضافة المستخدمين والموارد إلى خدمة الدليل للإدارة المركزية ويعمل ADDS مع بروتوكولات المصادقة مثل NTLM و Kerberos. وبالتالي ، يمكن للمستخدمين الذين ينتمون إلى ADDS المصادقة من أجهزتهم والوصول إلى أنظمة أخرى تتكامل مع ADDS. هذا شكل من أشكال الدخول الموحد.

تعد خدمات اتحاد الدليل النشط (ADFS) نوعًا من أنظمة إدارة الهوية الموحدة التي توفر أيضًا إمكانات تسجيل الدخول الأحادي. وهو يدعم كلاً من SAML و OIDC. يتم استخدام ADFS بشكل أساسي لإنشاء الثقة بين ADDS والأنظمة الأخرى مثل Azure AD أو مجموعات ADDS الأخرى.

بروتوكول الوصول الخفيف إلى الدليل (LDAP) هو ببساطة معيار صناعي يحدد طريقة لتنظيم معلومات الدليل والاستعلام عنها. يسمح لك LDAP بإدارة الموارد مركزيًا مثل المستخدمين والأنظمة. ومع ذلك ، لا يحدد LDAP كيفية تسجيل الدخول إلى هذه الأنظمة ، مما يعني أنه لا يحدد البروتوكولات الفعلية المستخدمة في المصادقة. ومع ذلك ، غالبًا ما يتم استخدامه كجزء من عملية المصادقة وعمليات التحكم في الوصول. على سبيل المثال ، قبل أن يتمكن المستخدم من الوصول إلى مورد معين ، قد يتم استخدام LDAP للاستعلام عن هذا المستخدم وأي مجموعات ينتمون إليها لمعرفة ما إذا كان المستخدم لديه حق الوصول إلى هذا المورد. توفر حلول LDAP مثل OpenLDAP المصادقة من خلال دعمها لبروتوكولات المصادقة مثل المصادقة البسيطة وطبقة الأمان (SASL)

ما هو برنامج SSO كخدمة؟

تمامًا كما انتقلت العديد من التطبيقات الأخرى للتشغيل داخل الإنترنت ، تتوفر أيضًا وظيفة SSO. يمكن تصنيف الأنظمة الأساسية مثل OneLogin التي يتم تشغيلها في السحابة على أنها حل SSO للبرامج كخدمة (SaaS).

ما هو الدخول الموحد من تطبيق إلى تطبيق؟

أخيرًا ، ربما تكون قد سمعت عن الدخول الموحد من تطبيق إلى تطبيق أو تطبيق إلى تطبيق. هذا ليس معيارًا صناعيًا تمامًا حتى الآن. إنه مصطلح تم استخدامه من قبل SAPCloud لوصف عملية تمرير هوية المستخدم من تطبيق إلى آخر داخل نظامهم البيئي. إنه مشابه إلى حد ما لـ OAuth 2.0 ولكنه مرة أخرى ليس بروتوكولًا أو طريقة قياسية وهو حاليًا خاص بـ SAPCloud.