Введение в технологию единого входа (Single Sign-on)

Поскольку количество IT-систем для поддержки бизнес-процессов возрастает, пользователи и системные администраторы при выполнении своих служебных задач сталкиваются со всё более усложняющимися интерфейсами. Как правило, пользователи должны проходить регистрацию в нескольких системах, что требует ввода информации в соответствующее количество диалогов регистрации, причём в каждом из этих диалогов могут вводиться различные имена пользователей и данные аутентификации. Системные администраторы сталкиваются с необходимостью управления учётными записями пользователей в каждой из множества систем, которые должны быть доступны на согласованной основе, для того, чтобы обеспечить целостность применения политики безопасности в этих системах. Данный традиционный подход к регистрации пользователей в нескольких системах проиллюстрирован на следующем рисунке:

Рисунок 1: Традиционный подход к регистрации пользователей в нескольких системах

Исторически распределенная система собиралась из компонентов, которые функционировали как независимые домены безопасности. Такие компоненты включали в себя отдельные платформы с соответствующими операционными системами и приложениями.

Эти компоненты выступали как независимые домены в том смысле, что конечный пользователь должен был отдельно идентифицировать и аутентифицировать самого себя в каждом из доменов, с которым он собирался взаимодействовать. Такой сценарий показан на рисунке 1.

Первоначально конечный пользователь взаимодействует с первичным доменом в целью установления сеанса с этим доменом. В традиционном подходе это называется входом в первичный домен и требует от конечного пользователя предоставления набора аутентификационных данных пользователя, подходящих для этого первичного домена, например, имени пользователя и пароля. Сеанс первичного домена, как правило, предоставляется оболочкой операционной системы, выполняемой на рабочей станции конечного пользователя, в рамках среды, связанной с этим конечным пользователем и описывающей его (эта среда может быть представлена, например, атрибутами процесса, переменными окружения и домашней директорией). Из этой оболочки сеанса первичного домена пользователь может вызывать сервисы других доменов, такие как платформы или приложения.

Для вызова сервисов вторичного домена пользователю необходимо выполнить вход во вторичный домен. Это требует от конечного пользователя предоставления другого набора аутентификационных данных пользователя, подходящих для этого вторичного домена. Конечный пользователь должен выполнить отдельный диалог входа с каждым вторичным доменом, с которым ему требуется взаимодействовать.

С точки зрения управления в традиционном подходе требуется независимое управление каждым доменом и использование нескольких интерфейсов управления учётными записями пользователей.

Из соображений удобства использования и обеспечения безопасности возникает потребность в координации и, там где это возможно, интеграции функций входа пользователя и функций управления учётными записями для различных доменов, которые в настоящее время используются в организации. Сервис, обеспечивающий такую координацию и интеграцию, может предоставить организации реальные преимущества:

сокращение времени, которое пользователи тратят на операции входа в отдельные домены, в том числе за счёт уменьшения возможности сбоя подобных операций входа из-за ошибок пользователя;
повышение безопасности за счёт того, что пользователю не требуется обрабатывать и запоминать несколько наборов аутентификационных данных;
сокращение временных затрат системных администраторов (и улучшение отклика) при добавлении и удалении пользователей в системе, либо при изменении их характеристик;
повышение безопасности за счёт улучшения возможностей системных администраторов по поддержанию целостности конфигурации учетной записи пользователя, в том числе возможности ограничивать или запрещать доступ отдельного пользователя ко всем ресурсам системы скоординированным и согласованным способом.

Рисунок 2: Единый вход пользователя в несколько сервисов

Такой сервис был назван Технологией единого входа (Single Sign-on), что отражает восприятие его работы конечным пользователем. Однако, он не исключает запроса дополнительных сведений от пользователя в случае необходимости. Альтернативный подходящий термин, который мог бы быть использован, — Интегрированный вход (Integrated Sign-on). Необходимо подчеркнуть, что в таком сервисе одинаково важны аспекты работы конечного пользователя и управления.

Подход технологии единого входа продемонстрирован на рисунке 2. При этом подходе система может собирать от пользователя (в рамках первичного входа) все идентификационные и аутентификационные данные, необходимые для поддержки аутентификации этого пользователя на каждом из вторичных доменов, с которыми ему потенциально может понадобиться взаимодействовать. Эти предоставленные пользователем данные впоследствии используются сервисами единого входа в пределах первичного домена для поддержки аутентификации этого конечного пользователя на каждом из вторичных доменов, с которыми ему реально требуется взаимодействовать.

Информация, предоставленная конечным пользователем в рамках процедуры входа в первичный домен, может использоваться для поддержки входа во вторичный домен несколькими способами:

Напрямую: информация, предоставленная пользователем, передается на вторичный домен в качестве составной части данных при входе во вторичную систему.
Косвенно: информация, предоставленная пользователем, используется для извлечения других идентификационных и аутентификационных данных пользователя, хранящихся в базе управляющей информации технологии единого входа. Извлечённая информация затем используется как основа для операции входа во вторичный домен.
Немедленно: для установления сеанса со вторичным доменом как составной части установления первоначального сеанса. Это означает, что во время выполнения операции первичного входа автоматически вызываются клиенты приложений и устанавливаются необходимые соединения.
В отложенном режиме: информация временно сохраняется или кэшируется, используется по мере необходимости во время выполнения конечным пользователем запроса к сервисам вторичного домена.

С точки зрения управления, модель единого входа предоставляет единый интерфейс управления учётными записями пользователей, через который все домены могут управляться координированным и синхронизированным способом.

С точки зрения интеграции, важнейшие аспекты безопасности модели единого входа заключаются в следующем:

Вторичные домены должны доверять первичному в том, что он:
- корректно заявляет идентификационную сущность и атрибуты безопасности конечного пользователя;
- защищает аутентификационные данные, используемые для проверки идентификационной сущности конечного пользователя во вторичном домене, от несанкционированного использования.
При передаче между первичным доменом и вторичными доменами аутентификационные данные должны защищаться от перехвата или прослушивания, поскольку это может привести к атакам, при которых злоумышленник будет выдавать себя за реального пользователя.