•  10-07-2019
  •  | 
  •  

質問

SSOは、接続されているすべてのアプリケーションのワンタイムログインとして理解しています。 SSOとそれがどのように達成されるかについて詳しく知りたい

役に立ちましたか?

解決

  

これはドニーです。彼は私の友人です。

基本的なメカニズムは、友人の友人を信頼することです。

使用されている別のメタファーは、セキュリティで保護された建物に入ったときに表示されるステッカーです。午前中は、セキュリティ担当者に有効なID(資格情報)を提示し、その日はステッカーがパス(トークン)として機能します。翌日戻ってきたら、IDをもう一度表示する必要があります。

キーテクノロジーは、友人や警備員、または敵対的なネットワークの誰かを信頼する方法です。 Kerberosまたは非対称暗号化の仕組みをご覧ください。

他のヒント

シングルサインオンを使用すると、エンドユーザーは単一のポータルにログインして複数のアプリケーションにシームレスにアクセスでき、複数のログイン画面を削減し、中央のエントリポイントを使用することでセキュリティを強化できます。

複数のパスワードを覚えなければならないというエンドユーザーの苦情に対処することは、多くの組織で共通の目的です。 Webアプリケーションに複数のログインアクセスポイントを設定することは、エンドユーザーの悩みの種であるだけでなく、ネットワーク攻撃に対して企業を脆弱にするセキュリティリスクでもあります。シングルサインオンポータルソリューションは、複数のパスワードプロンプトの手間を排除し、ユーザーのアクセスを合理化します。ただし、多くのSSOソリューションはすべてのユーザーアクセスシナリオを効果的に処理するためにコストがかかり、実装が困難です。ホスティングされたWebアプリケーションへのシームレスなアクセスを必要とする顧客、パートナー、ベンダー、さらにはサプライヤまで、外部ユーザーがシングルサインオンを継続できるようにする場合、統合は特に困難です。

最近、さまざまなSSOソリューションを研究しています-非常に多くあります!私はこの小さなビデオに出くわし、とても賢いと思いました! http://youtu.be/KTweSfRW18M?list=UUJD2scx1baSeUDSIk7N35Ww

SSOは、フォームベース認証またはウィンドウ認証とともにクレームベース認証を使用する場合にデフォルトで実装されるシングルサインオンを指します。主な用途はクレームです。発行者と呼ばれる第三者が、アプリケーションによる発行者を識別するためのクレームとデジタル署名を含むトークンを提供することにより、ユーザーがアプリケーションにアクセスする許可を提供します。 詳細についてはこちらをご覧ください:

http://en.wikipedia.org/wiki/Single_sign-on

"シングルサインオン(SSO)は、ユーザーが1組のログイン認証情報で複数のアプリケーションにアクセスできるようにする認証プロセスです。 SSOは企業の一般的な手順であり、クライアントはローカルエリアネットワーク(LAN)に接続された複数のリソースにアクセスします

詳細はこちら https://auth0.com/blog/2015/09/23/what-is-and-how-does-single-sign-on-work/

同じドメインの下に展開される Webアプリケーションのコンテキストでは、 SSO を達成する1つの方法は、 Cookieベースのメカニズム

app1.example.com app2.example.com があり、それらの間でSSOを有効にしたいとします。既に述べたように、これはapp1にログインすることを意味し、同じWebブラウザーセッションapp2でアクセスする場合、app2にログインする必要はもうありません。

技術的には、両方のアプリケーションにセキュリティトークン(Cookie)を作成して読み取る方法が必要です。この例では、Cookieはログインしているユーザーに関する情報を保存できます。この情報は、両方のアプリが知っているキーを使用してCookieに暗号化することもできます。

  1. 最初のログインシナリオ-app1はCookieを作成します:

ユーザーは app1.example.com にログインします。 app1のログインが成功すると、app1は example.com のドメインおよびサブドメインのログインユーザーのCookieの作成をトリガーします( ' .example.com ')。現時点では、Cookieはクライアントのブラウザーにあります。

  1. ログインせずに2番目のアプリにアクセスする-app2はCookieを読み取ります。

新しいブラウザタブで、ユーザーは app2.example.com にアクセスしています。ブラウザは、同じドメイン内にあるため、app1によって作成されたCookieを app2.example.com のリクエストに添付します。 app2には、Cookieを読み取ってユーザー名を抽出するフィルターがあり、ログインプロセス全体をバイパスしてapp2セッションを作成します。 SSOが達成されました。

app2はcookieを作成でき、app1はそれを読み取ってセッション作成に使用できるという条件で、app2にログインし、ログインせずにapp1にアクセスしても同じシナリオを実現できます。

シングルサインオンは、クレームベース認証を実装するときにデフォルトで提供される機能です。これには、アプリケーションにアクセスするユーザーから資格情報を取得した後にトークンを提供する発行者による追加のサードパーティ認証が含まれます。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top