Единый вход: что это такое, как это работает и зачем вам это нужно

Скорее всего, вы входили в систему с помощью единого входа на прошлой неделе, но понимаете ли вы, как это работает и почему ваш бизнес должен использовать его?

Что самое ценное на вашем сайте?

Ваш любимый алгоритм сжатия видеофайлов? Ваша постоянно растущая коллекция оригинальных IP? Или, может быть, игровой опыт, который ваши пользователи получают, прокладывая себе путь через место, которое в основном является Средиземьем, но — по юридическим причинам — определенно не Средиземье?

С точки зрения хакера, все это не имеет значения. Хакеры ищут личные данные. Имена, адреса, адреса электронной почты и пароли — сведения о личности пользователя, которые впоследствии могут быть использованы для фишинга, атак программ-вымогателей и кражи личных данных.

В наши дни пароли и другие данные для входа могут занимать первое место в списке. В прошлом году компания Houzz, занимающаяся дизайном домов, потеряла более 48 миллионов паролей. Компания Zynga, производитель игр, известная своими Words with Friends и Draw Something, также подверглась атаке безопасности, в результате которой было украдено около 218 миллионов учетных данных пользователей.

К сожалению, когда дело доходит до предотвращения нарушений безопасности, невозможно на 100%. Однако есть способы снизить вероятность кражи паролей пользователей в результате взлома. Добро пожаловать в систему единого входа — структуру управления идентификацией, которая решает множество типичных бизнес-проблем.

Что такое единый вход (SSO)?

Единый вход (SSO) — это система идентификации, которая позволяет веб-сайтам использовать другие надежные сайты для проверки пользователей. Это освобождает предприятия от необходимости хранить пароли в своих базах данных, сокращает количество операций по устранению неполадок при входе в систему и снижает ущерб, который может нанести взлом.

Системы SSO работают как поставщики удостоверений — что-то вроде удостоверения личности. Например, если вас остановят за превышение скорости, полицейскому не обязательно знать вас лично; они могут просто посмотреть на вашу лицензию и увидеть, что ваш штат подтверждает вашу личность.

Точно так же с SSO ваш веб-сайт не заставляет вас подтверждать свою личность, проверяя себя. Вместо этого он обращается к поставщику системы единого входа (например, LinkedIn, Microsoft или Google), чтобы узнать, может ли он подтвердить вашу личность. Если это возможно, сайт верит им на слово.

Технически многое из того, что называется единым входом, на самом деле является сочетанием чистого SSO и делегирования или федерации. Существует своего рода беспорядок между всеми платформами, особенно когда в смесь входят поставщики идентификации как услуги.

Мы будем использовать SSO здесь с выносками, когда различия действительно важны.

Как работает система единого входа?

Объяснить систему в общих чертах просто, но для объяснения процесса реализации SSO требуется немного больше информации. Обычно, когда вы входите в систему, поставщик услуг или домен (в данном примере — website.com) аутентифицирует вас самостоятельно. Вот так:

1. Как пользователь, вы периодически попадаете на веб-страницу, которая проверяет, вошли ли вы уже в систему. Если да, аутентификация SSO завершена, и система отправит вас туда, куда вы действительно хотели (ваш Gmail). почтовый ящик, например).

2. Если вы еще не вошли в систему, вам будет представлен экран входа в систему.

3. Вы вводите свои учетные данные для входа (адрес электронной почты и пароль) в форму, веб-сайт.com проверяет эти учетные данные по своей базе данных, а затем вы либо входите в систему, либо вам отказывают.

4. Если вы вошли в систему, веб-сайт.com выдаст какой-то трекер. Это может быть на сервере или может быть отправлено вам в качестве токена.

Теперь всякий раз, когда вы перемещаетесь по сайту, система просто проверяет актуальность трекера и, следовательно, вашей аутентификации.

Если бы вы сделали то же самое с SSO, это выглядело бы примерно так:

1. Как пользователь, вы попадаете на прерывистую страницу (портал системы единого входа) на веб-сайте.com, которая проверяет, вошли ли вы уже в систему. например.

2. Если вы еще не вошли в систему, веб-сайт.com предлагает вам варианты аутентификации через стороннего поставщика удостоверений (Google, Amazon, Facebook и т. д.). Вы выбираете предпочитаемого провайдера, а затем входите в систему с помощью этого провайдера, скажем, Google.

3. Google проверяет, что вы — это вы, проверяет, является ли веб-сайт.com тем сайтом, за который он себя выдает, затем аутентифицирует вас на основе базы данных паролей Google и выдает токен обратно на веб-сайт.com.

4. Website.com получает токен от Google, подтверждающий вашу личность. Теперь он связывает вас с остальными вашими пользовательскими данными — предпочтениями, историей, корзиной покупок и т. д. — и все готово.

• В настоящей системе единого входа вы будете просто перемещаться с сайта на сайт с полным доступом.

• В делегированной системе Google возвращает как подтверждение личности, так и набор разрешенных видов использования. Например, Website.com может получить доступ к вашему имени и электронной почте, но не показывать ваше местоположение или возраст. (См. пример ниже.)

Большой! Но зачем кому-то заморачиваться с этим?

Преимущества для пользователей

Есть несколько основных преимуществ для пользователей, взаимодействующих с SSO.

• Удобство. Пользователям нужно запомнить только один набор данных для входа. Подключив свой сайт к своим логинам в Google, вы гарантируете, что даже случайные пользователи смогут запомнить, как войти в систему; они просто входят в Google.

• Прозрачность. Пользователи знают, что передается из одной системы в другую — по крайней мере, в делегированной системе. Это похоже на то, когда вы устанавливаете новое приложение на свой телефон, и оно запрашивает разрешение на доступ к вашим фотографиям, контактам и банковскому счету. Если вас не устраивают эти варианты, вы можете отказаться.

• Скорость. С SSO пользователям не нужно проходить длительные процессы регистрации и авторизации. Поскольку Google уже выполнил всю проверку электронной почты и сбор данных, новые пользователи могут зарегистрироваться так же быстро, как они смогут войти в Google.

• Безопасность. Пользователи также получают душевное спокойствие, зная, что владелец веб-сайта Марлон Рандо не хранит свой пароль в виде простого текста где-то в интернет-захолустье. Google продолжает оставаться главной точкой доверия, которая позволяет пользователю без страха пробовать новое.

Преимущества для вашего бизнеса

Это хорошая новость для ваших пользователей, но что это даст вам, владельцу веб-сайта?

• Больше регистраций пользователей. SSO обеспечивает более низкий барьер для входа, поэтому новые клиенты могут легко и безопасно зарегистрироваться, полагаясь на известный бренд. Facebook управляет процессом, поэтому они не беспокоятся о вашей неизвестной системе и бренде. Повышается доверие, что увеличивает конверсию.

• Меньше работы над задней частью. Это означает, что вам не придется возиться с паролями. Хотя снижение риска взлома важно, еще важнее то, что не нужно сбрасывать пароли людей каждые пять минут. Вся сложная аутентификация и пароль управляются доверенным аутентификатором.

• Сбор данных. Вы также можете получить больше информации от Google, Facebook или любого другого поставщика. Это все преимущества сбора данных без всех связанных с этим хлопот.

• Снижение риска. Наконец-то вы убираете этот заманчивый пирог с подоконника. У хакеров меньше стимулов для взлома вашего сайта, если вы не размещаете тонну данных для входа. У вас также меньше шансов, что куча пользователей с ужасно слабыми паролями проделает дыры в общей безопасности вашего сайта.

Короче говоря, внедрение решения SSO может облегчить жизнь вам и вашим клиентам.

SSO + MFA: удобство без ущерба для безопасности

SSO удобен, но имеет свои подводные камни. А именно, если учетная запись SSO взломана, другие пользователи, использующие ту же систему аутентификации, также могут быть атакованы. Одним из способов противодействия этому риску является внедрение многофакторной аутентификации (MFA).

SSO в сочетании с MFA намного лучше защищает учетные записи пользователей, чем один SSO. Кроме того, предоставление пользователям эффективности и простоты, которые предлагают MFA и SSO, означает снижение вероятности сброса пароля или обращения в службу поддержки.

Начиная

Если ваш бизнес ориентирован на технические аспекты, то есть вы нанимаете инженеров-программистов определенного уровня, вы также можете проверить протокол OAuth, который лежит в основе многих коммерческих решений на рынке.

Если вы ищете инструмент, который можно интегрировать с вашим текущим техническим стеком, вы можете просмотреть каталог управления идентификацией Capterra, чтобы найти полный список поставщиков SSO, где вы можете использовать инструмент фильтрации (левая часть экрана) для просмотра MFA. конкретные продукты. Наше программное обеспечение для аутентификации и каталоги единого входа — отличные места для поиска инструментов SSO и MFA.