การลงชื่อเพียงครั้งเดียว: มันคืออะไร มันทำงานอย่างไร และทำไมคุณถึงต้องการ

เผยแพร่แล้ว: 2022-05-07

โอกาสที่คุณจะเข้าสู่ระบบบางอย่างผ่านการลงชื่อเพียงครั้งเดียวในสัปดาห์ที่แล้ว แต่คุณเข้าใจวิธีการทำงานและเหตุผลที่ธุรกิจของคุณควรใช้หรือไม่

อะไรคือส่วนที่มีค่าที่สุดของเว็บไซต์ของคุณ?

อัลกอริธึมอันแสนหวานของคุณสำหรับบีบอัดไฟล์วิดีโอ? คอลเลกชั่น IP ดั้งเดิมของคุณที่เพิ่มมากขึ้นเรื่อยๆ? หรือบางทีประสบการณ์การเล่นเกมที่ผู้ใช้ของคุณได้รับเมื่อพวกเขาแฮ็คผ่านสถานที่ที่เป็น Middle Earth แต่นั่น—ด้วยเหตุผลทางกฎหมาย— ไม่ใช่ Middle Earth อย่างแน่นอน

จากมุมมองของแฮ็กเกอร์ ไม่มีอะไรสำคัญ แฮกเกอร์กำลังมองหาข้อมูลส่วนบุคคล ชื่อ ที่อยู่ อีเมล และรหัสผ่าน—รายละเอียดเกี่ยวกับข้อมูลระบุตัวตนของผู้ใช้ที่สามารถนำมาใช้สำหรับการหลอกลวงแบบฟิชชิ่ง การโจมตีของแรนซัมแวร์ และการขโมยข้อมูลประจำตัวได้ในภายหลัง

รหัสผ่านและรายละเอียดการเข้าสู่ระบบอื่น ๆ อาจอยู่ในอันดับต้น ๆ ของรายการในปัจจุบัน บริษัทออกแบบบ้าน Houzz สูญเสียรหัสผ่านมากกว่า 48 ล้านครั้งในปีที่แล้ว Zynga โปรดิวเซอร์เกมที่เป็นที่รู้จักในเรื่อง “Words with Friends” และ “Draw Something” ก็ถูกโจมตีด้านความปลอดภัยเช่นกัน โดยข้อมูลประจำตัวผู้ใช้ประมาณ 218 ล้านถูกขโมยไป

น่าเสียดายที่การป้องกันการละเมิดความปลอดภัยไม่เคยทำได้ 100% อย่างไรก็ตาม มีวิธีลดโอกาสที่ผู้ใช้จะถูกขโมยรหัสผ่านจากการละเมิด ยินดีต้อนรับสู่ single sign-on โครงสร้างการจัดการข้อมูลประจำตัวที่แก้ปัญหาทางธุรกิจทั่วไปจำนวนมาก

การลงชื่อเพียงครั้งเดียว (SSO) คืออะไร

การลงชื่อเพียงครั้งเดียว (SSO) คือระบบการระบุตัวตนที่อนุญาตให้เว็บไซต์ใช้ไซต์อื่นที่เชื่อถือได้เพื่อยืนยันผู้ใช้ วิธีนี้ช่วยให้ธุรกิจไม่ต้องเก็บรหัสผ่านไว้ในฐานข้อมูล ลดปัญหาการเข้าสู่ระบบ และลดความเสียหายที่เกิดจากการแฮ็ก

ระบบ SSO ทำงานเป็นผู้ให้บริการข้อมูลประจำตัว—คล้ายกับบัตรประจำตัวประชาชน ตัวอย่างเช่น หากคุณถูกดึงตัวไปเพราะขับเร็ว เจ้าหน้าที่ตำรวจไม่จำเป็นต้องรู้จักคุณเป็นการส่วนตัว พวกเขาสามารถดูใบอนุญาตของคุณและเห็นว่ารัฐของคุณรับรองตัวตนของคุณ

ในทำนองเดียวกัน ด้วย SSO เว็บไซต์ของคุณไม่ได้ทำให้คุณพิสูจน์ตัวตนของคุณด้วยการตรวจสอบภายในตัวเอง แต่จะตรวจสอบกับผู้ให้บริการ SSO (เช่น LinkedIn, Microsoft หรือ Google) เพื่อดูว่าสามารถยืนยันตัวตนของคุณหรือไม่ หากทำได้ ไซต์จะใช้คำพูดของพวกเขา

ในทางเทคนิค สิ่งที่เรียกว่าการลงชื่อเพียงครั้งเดียวจำนวนมากเป็นการผสมผสานระหว่าง SSO และการมอบสิทธิ์หรือการรวมกลุ่ม มีความยุ่งเหยิงระหว่างแพลตฟอร์มทั้งหมด โดยเฉพาะอย่างยิ่งเมื่อผู้ให้บริการข้อมูลประจำตัวเข้ามาผสมผสาน

เราจะใช้ SSO ที่นี่ โดยมีข้อความเสริมเมื่อความแตกต่างมีความสำคัญจริงๆ

SSO ทำงานอย่างไร

การอธิบายระบบแบบกว้างๆ เป็นเรื่องง่าย แต่การอธิบายกระบวนการนำ SSO ไปใช้นั้นจำเป็นต้องมีพื้นฐานมากกว่านี้ โดยปกติ เมื่อคุณเข้าสู่ระบบ ผู้ให้บริการหรือโดเมน (website.com ในตัวอย่างนี้) จะตรวจสอบสิทธิ์ของคุณด้วยตัวเอง ชอบดังนั้น:

1. ในฐานะผู้ใช้ คุณกดที่หน้าเว็บไซต์เป็นช่วงๆ บนเว็บไซต์ com เพื่อตรวจสอบว่าคุณเข้าสู่ระบบแล้วหรือยัง หากใช่ การตรวจสอบสิทธิ์ SSO จะเสร็จสมบูรณ์ และระบบจะส่งคุณไปยังสิ่งที่คุณต้องการจริงๆ (Gmail ของคุณ) กล่องจดหมาย เป็นต้น)

2. หากคุณยังไม่ได้เข้าสู่ระบบ คุณจะพบกับหน้าจอการเข้าสู่ระบบ

3. คุณวางข้อมูลรับรองการเข้าสู่ระบบของคุณ (อีเมลและรหัสผ่าน) ลงในแบบฟอร์ม website.com จะตรวจสอบข้อมูลรับรองเหล่านั้นกับฐานข้อมูล จากนั้นคุณเข้าสู่ระบบหรือปฏิเสธ

4. หากคุณลงชื่อเข้าใช้เว็บไซต์ com จะออกตัวติดตามบางประเภท ซึ่งอาจอยู่บนเซิร์ฟเวอร์หรือสามารถส่งเป็นโทเค็นให้คุณได้

ตอนนี้ เมื่อใดก็ตามที่คุณย้ายไปรอบๆ ไซต์ ระบบจะตรวจสอบเพื่อให้แน่ใจว่าตัวติดตามและการรับรองความถูกต้องของคุณเป็นปัจจุบัน

หากคุณจะทำสิ่งเดียวกันกับ SSO ไว้ มันจะมีลักษณะดังนี้:

1. ในฐานะผู้ใช้ คุณเปิดหน้าเว็บเป็นช่วงๆ (พอร์ทัล SSO) ที่เว็บไซต์ ดอทคอม ซึ่งจะตรวจสอบว่าคุณลงชื่อเข้าใช้แล้วหรือไม่ หากใช่ คุณจะเข้าสู่สิ่งที่คุณต้องการจริงๆ เช่น กล่องจดหมาย Gmail ของคุณ ตัวอย่างเช่น

2. หากคุณยังไม่ได้เข้าสู่ระบบ website.com จะแสดงตัวเลือกสำหรับการตรวจสอบสิทธิ์ผ่านผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม (Google, Amazon, Facebook เป็นต้น) คุณเลือกผู้ให้บริการที่คุณต้องการ จากนั้นเข้าสู่ระบบด้วยผู้ให้บริการรายนั้น อย่างเช่น Google

3. Google ตรวจสอบเพื่อดูว่าคุณคือคุณ ตรวจสอบเพื่อดูว่าเว็บไซต์ com เป็นเว็บไซต์ที่อ้างว่าเป็น จากนั้นตรวจสอบสิทธิ์คุณตามฐานข้อมูลรหัสผ่านของ Google และออกโทเค็นกลับไปที่เว็บไซต์ com

4. Website.com ได้รับโทเค็นจาก Google เพื่อยืนยันตัวตนของคุณ ตอนนี้จะเชื่อมโยงคุณกับข้อมูลผู้ใช้ที่เหลือของคุณ เช่น การตั้งค่า ประวัติ ตะกร้าสินค้า และอื่นๆ และคุณก็พร้อมแล้ว

  • ใน ระบบ SSO ที่แท้จริง คุณเพียงแค่ท่องไปจากไซต์หนึ่งไปยังอีกไซต์หนึ่งด้วยการเข้าถึงแบบเต็ม
  • ใน ระบบที่ได้รับมอบสิทธิ์ Google จะส่งคืนทั้งการยืนยันตัวตนและชุดการใช้งานที่ได้รับอนุญาต เว็บไซต์.com อาจได้รับสิทธิ์ในการเข้าถึงชื่อและอีเมลของคุณ แต่จะไม่แสดงตำแหน่งหรืออายุของคุณ (ดูตัวอย่างด้านล่าง)


ตัวอย่างของขั้นตอนการเปลี่ยนเส้นทางขณะใช้ SSO จาก Auth0 (แหล่งที่มา)

ยอดเยี่ยม! แต่ทำไมทุกคนถึงสนใจเรื่องนี้?

ประโยชน์สำหรับผู้ใช้

มีประโยชน์หลักบางประการสำหรับผู้ใช้ที่โต้ตอบกับ SSO

  • ความสะดวก. ผู้ใช้จำเป็นต้องจำรายละเอียดการเข้าสู่ระบบเพียงชุดเดียว การเชื่อมต่อไซต์ของคุณกับการเข้าสู่ระบบที่ Google คุณมั่นใจได้ว่าแม้แต่ผู้ใช้ประปรายสามารถจำวิธีการเข้าสู่ระบบได้ พวกเขาเพิ่งเข้าสู่ระบบ Google
  • ความโปร่งใส ผู้ใช้รู้ว่ามีการแบ่งปันอะไรจากระบบหนึ่งไปยังอีกระบบหนึ่ง—อย่างน้อยก็ในระบบที่ได้รับมอบหมาย เหมือนกับเมื่อคุณติดตั้งแอปพลิเคชันใหม่บนโทรศัพท์และขออนุญาตเข้าถึงรูปภาพ รายชื่อติดต่อ และบัญชีธนาคารของคุณ หากคุณไม่พอใจกับตัวเลือกเหล่านั้น คุณสามารถเลือกไม่ใช้ได้
  • ความเร็ว. ด้วย SSO ผู้ใช้ไม่ต้องผ่านกระบวนการลงทะเบียนและการอนุญาตที่ใช้เวลานาน เนื่องจาก Google ได้ดำเนินการยืนยันอีเมลและการรวบรวมข้อมูลทั้งหมดแล้ว ผู้ใช้ใหม่จึงสามารถลงชื่อสมัครใช้ได้อย่างรวดเร็วที่สุดเท่าที่จะเข้าสู่ระบบ Google ได้
  • ความปลอดภัย. ผู้ใช้ยังได้รับความอุ่นใจที่เกิดจากการรู้ว่าเจ้าของเว็บไซต์ Marlon Rando ไม่มีรหัสผ่านที่เก็บไว้ในข้อความธรรมดาที่ใดที่หนึ่งในอินเทอร์เน็ตนิ่ง Google ยังคงเป็นประเด็นหลักของความไว้วางใจ ซึ่งทำให้ผู้ใช้สามารถลองสิ่งใหม่ๆ โดยไม่ต้องกลัว

ประโยชน์สำหรับธุรกิจของคุณ

นั่นเป็นข่าวดีสำหรับผู้ใช้ของคุณ แต่สิ่งที่อยู่ในนั้นสำหรับคุณ เจ้าของเว็บไซต์คืออะไร

  • การลงทะเบียนผู้ใช้เพิ่มเติม SSO ให้อุปสรรคในการเข้าที่ต่ำกว่า เพื่อให้ลูกค้าใหม่สามารถลงทะเบียนได้อย่างง่ายดายและปลอดภัย โดยอาศัยแบรนด์ที่เป็นที่รู้จัก Facebook กำลังจัดการกระบวนการ ดังนั้นพวกเขาจึงไม่ต้องกังวลเกี่ยวกับระบบและแบรนด์ที่ไม่รู้จักของคุณ ความน่าเชื่อถือเพิ่มขึ้น ซึ่งเพิ่มการแปลง
  • ทำงานน้อยลงที่ส่วนหลัง หมายความว่าคุณไม่ต้องวุ่นวายกับรหัสผ่าน แม้ว่าการลดความเสี่ยงจากการถูกแฮ็กจะมีความสำคัญ แต่ที่สำคัญกว่านั้นคือไม่ต้องรีเซ็ตรหัสผ่านของผู้อื่นทุกๆ ห้านาที การตรวจสอบสิทธิ์และการยกรหัสผ่านจำนวนมากทั้งหมดได้รับการจัดการโดยผู้ตรวจสอบสิทธิ์ที่เชื่อถือได้
  • การเก็บรวบรวมข้อมูล. คุณยังสามารถเข้าถึงข้อมูลอื่นๆ เช่น Google หรือ Facebook หรือใครก็ตามที่ทำให้มันพร้อมใช้งาน มันคือประโยชน์ของการเก็บรวบรวมข้อมูลโดยไม่ต้องยุ่งยากทั้งหมดที่เกี่ยวข้อง
  • ลดความเสี่ยง สุดท้าย คุณกำลังเอาพายที่น่าดึงดูดออกจากขอบหน้าต่าง แฮกเกอร์มีแรงจูงใจน้อยกว่าที่จะโจมตีไซต์ของคุณ หากคุณไม่ได้โฮสต์รายละเอียดการเข้าสู่ระบบจำนวนมาก คุณยังมีโอกาสน้อยที่จะมีผู้ใช้จำนวนมากที่มีรหัสผ่านที่ไม่รัดกุมซึ่งเจาะช่องโหว่ด้านความปลอดภัยโดยรวมของไซต์ของคุณ

กล่าวโดยสรุป การใช้โซลูชัน SSO สามารถทำให้ชีวิตคุณและลูกค้าของคุณง่ายขึ้น

SSO + MFA: สะดวกโดยไม่ต้องเสียสละความปลอดภัย

SSO สะดวก แต่มีข้อผิดพลาด กล่าวคือ หากบัญชี SSO ถูกแฮ็ก ผู้อื่นที่อยู่ภายใต้ระบบการตรวจสอบสิทธิ์เดียวกันก็สามารถกำหนดเป้าหมายได้เช่นกัน วิธีหนึ่งที่คุณสามารถรับมือกับความเสี่ยงนี้คือการใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA)

การตรวจสอบสิทธิ์แบบหลายปัจจัย

วิธีการตรวจสอบผู้ใช้ที่กำหนดให้ผู้ใช้ระบุปัจจัยการตรวจสอบสองอย่างขึ้นไป

SSO ที่รวมกับ MFA จะปกป้องบัญชีผู้ใช้ได้ดีกว่า SSO เพียงอย่างเดียว นอกจากนี้ การมอบประสิทธิภาพและความสะดวกให้กับผู้ใช้ตามข้อเสนอ MFA และ SSO หมายถึงลดโอกาสในการรีเซ็ตรหัสผ่านหรือโทรติดต่อฝ่ายช่วยเหลือ

เริ่มต้น

หากธุรกิจของคุณมีแนวโน้มทางเทคนิค กล่าวคือ คุณใช้วิศวกรซอฟต์แวร์ที่มีความชำนาญ คุณยังสามารถตรวจสอบโปรโตคอล OAuth ซึ่งสนับสนุนโซลูชันเชิงพาณิชย์จำนวนมากในตลาด

หากคุณกำลังมองหาเครื่องมือที่คุณสามารถผสานรวมกับเทคโนโลยีปัจจุบันของคุณ คุณสามารถเรียกดูไดเร็กทอรีการจัดการข้อมูลประจำตัวของ Capterra เพื่อดูรายชื่อผู้ให้บริการ SSO ทั้งหมด ซึ่งคุณสามารถใช้เครื่องมือกรอง (ด้านซ้ายของหน้าจอ) เพื่อเรียกดู MFA- ผลิตภัณฑ์เฉพาะ ซอฟต์แวร์การตรวจสอบสิทธิ์และไดเร็กทอรีการลงชื่อเพียงครั้งเดียวของเราเป็นทั้งที่ที่ยอดเยี่ยมในการค้นหาเครื่องมือ SSO และ MFA