что такое SSO
https://stackoverflow.com/questions/313853
-
10-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я понимаю единый вход как единый вход для всех подключенных приложений. Я хотел бы узнать больше о SSO и как именно это достигается
Решение
Это Донни. Он мой друг.
Основной механизм - доверять другу своего друга.
Еще одна метафора, которая используется, - это наклейка, которую они дают вам при входе в охраняемое здание. Утром вы показываете действительное удостоверение личности (учетные данные) сотруднику службы безопасности, а в течение всего дня стикер выступает в качестве пропуска (жетона). Когда вы вернетесь на следующий день, вам придется снова показать свое удостоверение личности.
Ключевая технология - это то, как вы доверяете своему другу или охраннику или кому-либо из враждебных сетей. Посмотрите, как работает Kerberos или асимметричное шифрование.
Другие советы
Единая регистрация позволяет конечному пользователю входить в единый портал и беспрепятственно получать доступ к нескольким приложениям, уменьшая количество экранов входа и повышая безопасность благодаря наличию центральной точки входа.
Удовлетворение жалоб конечных пользователей на необходимость запоминания нескольких паролей является общей целью во многих организациях. Наличие нескольких точек входа в систему для веб-приложений - это не только проблема конечного пользователя, но и угроза безопасности, которая может сделать вашу компанию уязвимой для сетевых атак. Решение портала единого входа может устранить необходимость в нескольких запросах пароля и упростить доступ для пользователя. Однако многие решения единого входа являются дорогостоящими и сложными в реализации для эффективной обработки всех сценариев доступа пользователей. Интеграция особенно трудна, если попытаться предоставить возможность единого входа для внешних пользователей, от клиентов, партнеров, поставщиков и даже поставщиков, которым нужен беспрепятственный доступ к размещенным веб-приложениям.
Недавно я исследовал различные решения SSO - их так много! Я наткнулся на это маленькое видео и подумал, что оно такое умное! http://youtu.be/KTweSfRW18M?list=UUJD2scx1baSeUDSIk7Na
Под единым входом подразумевается единый вход, который применяется по умолчанию, когда мы используем проверку подлинности на основе утверждений вместе с проверкой подлинности на основе форм или оконной аутентификацией. Основное использование претензий - третья сторона, называемая эмитентом, которая предоставит пользователю разрешение на доступ к приложению, предоставив токен, который будет содержать претензии и цифровую подпись для идентификации эмитента приложением. Вы можете получить больше информации здесь:
" Единый вход (SSO) - это процесс аутентификации, который позволяет пользователю получить доступ к нескольким приложениям с одним набором учетных данных для входа. SSO - это распространенная процедура на предприятиях, где клиент получает доступ к нескольким ресурсам, подключенным к локальной сети (LAN) "
Вы можете прочитать больше здесь https://auth0.com/blog/2015/09/23/what-is-and-how-does-single-sign-on-work/
В контексте веб-приложений , которые развернуты в том же домене , одним из способов достижения единого входа является использование файла cookie. основанный механизм .
Предположим, у нас есть app1.example.com и app2.example.com , и мы хотим включить SSO между ними. Как вы уже упоминали, это означает, что я захожу в app1, и если я захожу в тот же сеанс веб-браузера app2, мне больше не нужно будет входить в app2.
Технически, обоим приложениям потребуется способ создать токен безопасности (Cookie) и прочитать его. В нашем примере Cookie может хранить информацию о зарегистрированном пользователе. Эта информация может быть даже зашифрована в Cookie с помощью ключа, который известен обоим приложениям.
<Ол>Пользователь входит в app1.example.com . После успешного входа в приложение app1 app1 запустит создание файла cookie для вошедшего в систему пользователя для домена и поддоменов example.com (установите cookie для « .example.com '). На данный момент cookie находится в браузере клиента.
- Доступ ко второму приложению без входа в систему - app2 считывает cookie.
В новой вкладке браузера пользователь получает доступ к app2.example.com . Браузер прикрепит файл cookie, созданный app1, к запросу на app2.example.com , поскольку он находится в том же домене. У app2 будет Фильтр, который читает cookie, извлекает имя пользователя и создает с ним сессию app2, минуя весь процесс входа в систему и вуаля! SSO достигнут.
Тот же сценарий может быть достигнут при входе в app2 и доступе к app1 без входа в систему с условием, что на этот раз app2 сможет создать cookie, а app1 сможет его прочитать и использовать для создания сеанса.
Единая регистрация - это функциональность, которая появляется по умолчанию, когда мы реализуем аутентификацию на основе утверждений. Он включает в себя дополнительную стороннюю проверку подлинности эмитентом, который собирается предоставить токен после получения учетных данных от пользователя, который хочет получить доступ к приложению.
