Logon único
Logon único ( SSO , às vezes também traduzido como " logon único ") significa que um usuário pode acessar todos os computadores e serviços para os quais está autorizado localmente ( autorizado ) a partir da mesma estação de trabalho após uma autenticação única em uma estação de trabalho sem ter que efetuar login nos serviços individuais todas as vezes. Se o usuário mudar de estação de trabalho, a autenticação e a autorização local não serão mais necessárias.
Essa opção tem certas vantagens para o usuário, especialmente com portais . Nos portais, também é possível que a identidade do usuário logado seja passada para as camadas que constituem o portal, sem que isso seja revelado ao próprio usuário.
Um sistema SSO é baseado no fato de que um usuário sempre tem exatamente uma identidade física (entidade). Dentro de um sistema, no entanto, o usuário pode ser salvo como um indivíduo com nomes de usuário diferentes (identidade lógica). Eles são mesclados e vinculados no sistema SSO - portanto, é impossível aparecer sob um pseudônimo (sem revelar os outros IDs de usuário).
O objetivo do logon único é que o usuário só precise se identificar uma vez com a ajuda de um único processo de autenticação (por exemplo, inserindo uma senha ). O mecanismo SSO então assume a tarefa de autenticar o usuário (confirmando a identidade reconhecida). O uso de SSO é proibido se um usuário agir em nome de pessoas diferentes que não deveriam estar vinculadas umas às outras.
Outro requisito do logon único é que ele não seja mais fraco do que o próprio processo de autenticação.
Vantagens e desvantagens do logon único
Restrição geral para trabalho móvel
- Se o usuário mudar de estação de trabalho enquanto estiver em trânsito, ele terá que efetuar login na próxima estação de trabalho de qualquer maneira.
- Se o usuário abandona o local de trabalho em trânsito, costuma estar separado dos acessos já obtidos por um limite de tempo. Para evitar isso durante as pausas na ação, os limites de tempo são geralmente projetados de forma bastante generosa. O resultado inevitável é que locais de trabalho não supervisionados dão a terceiros não autorizados tempo e oportunidade suficientes para continuar a usar o acesso não autorizado que já foi concedido ao usuário autorizado.
vantagens
- Economia de tempo, já que apenas uma única autenticação é necessária para acessar todos os sistemas
- Ganho de segurança, pois a senha só precisa ser transmitida uma vez
- Ganho de segurança, porque em vez de uma infinidade de senhas quase sempre inseguras, o usuário só precisa se lembrar de uma senha, então essa senha pode ser escolhida de forma complexa e segura
- Os ataques de phishing são dificultados porque os usuários só precisam inserir seu nome de usuário e senha em um lugar e não mais em vários lugares espalhados. Este ponto pode ser verificado mais facilmente quanto à exatidão (URL, certificado de servidor SSL, etc.)
- A consciência é criada onde você pode inserir seu nome de usuário e senha com a consciência limpa. É mais difícil para os usuários de um sistema de logon único confiar suas senhas (possivelmente múltiplas) a outros sites.
desvantagem
- A disponibilidade do serviço depende não apenas da sua própria disponibilidade, mas também da disponibilidade do sistema de logon único.
- Se uma solução de aprovação equivalente não for definida, o acesso permanecerá aberto até que um período de "tempo limite" seja excedido.
Soluções possíveis
Solução de mídia
O usuário usa um token eletrônico que contém todas as informações da senha ou pelo menos um fator de autenticação e o transfere automaticamente para a estação de trabalho:
- visor de tecla eletrônica com entrada de teclado manual
- chave eletrônica com transferência de contato ( USB , 1 fio etc.)
- chave sem fio ( token bluetooth - telefone celular ou outro dispositivo com função bluetooth)
Solução de portal
O usuário pode fazer login em um portal pela primeira vez, onde é autenticado e autorizado em toda a linha. Isso significa que é fornecido um recurso que o identifica claramente para os aplicativos integrados no portal. Para portais baseados em protocolos da web, isso pode ser feito, por exemplo, na forma de um cookie HTTP . No portal, o usuário tem acesso a vários aplicativos da web nos quais não precisa mais fazer login separadamente. Os exemplos são Yahoo ou MSN ( Passport ).
Sistema de bilhetagem
Como alternativa, uma rede de serviços confiáveis também pode ser configurada. Os serviços têm uma identificação comum para um usuário que eles trocam entre si, ou um tíquete virtual é atribuído ao usuário conectado. O primeiro login ocorre em um sistema a partir deste "Círculo de confiança", o acesso aos outros sistemas confiáveis é possibilitado pelo sistema endereçado primeiro. Exemplos disso são Kerberos e o Projeto Liberty Alliance .
Solução local
Os usuários também podem instalar um cliente em sua estação de trabalho usada regularmente , que preenche automaticamente as máscaras de login que aparecem imediatamente com o nome de usuário e senha corretos. Isso enfraquece a autenticação, desde que nenhum outro fator seja consultado.
Para fazer isso, a máscara deve ter sido treinada ou definida previamente. Ao treinar a máscara, deve-se garantir que ela seja atribuída de forma inequívoca. Deve-se garantir que uma máscara falsificada ou semelhante não seja usada incorretamente, caso contrário, os dados de login confidenciais podem ser "aproveitados" dessa forma. Hoje, esse reconhecimento inequívoco é frequentemente implementado usando recursos adicionais, como caminhos de chamada, data de criação de uma máscara, etc., que tornam difícil forjar uma máscara.
Os nomes de usuário e senhas podem ser usados como fatores
- em um arquivo criptografado localmente no PC,
- em um cartão com chip ,
- ou em aplicativos de logon único ou em servidores de logon único na rede
ser mantido. Também é possível armazenar esses dados em um serviço de diretório ou banco de dados . Exemplos são os “ gerenciadores de senhas ” integrados em muitos navegadores modernos , o Identity Metasystem da Microsoft e muitos produtos comerciais. Essa abordagem é seguida principalmente para soluções de logon único interno da empresa ou da organização, uma vez que os aplicativos proprietários geralmente não podem ser usados com soluções de tickets ou portal.
PKI
Uma infraestrutura de chave pública só pode ser vista como um sistema de logon único até certo ponto; uma PKI representa uma base para autenticação para todos os aplicativos habilitados para PKI. Não coberto, mas o certificado digital é o recurso comum para autenticação em diferentes lugares . Um certificado semelhante é freqüentemente usado para autenticação primária para emissão de tíquetes ou soluções SSO locais.
Veja também
- Saída única
- superordenar: gerenciamento de identidade , gerenciamento de senha
- Serviços de registro
- Projeto Liberty Alliance (solução descentralizada para uma iniciativa empresarial; encerrado em 2009)
- Shibboleth (solução descentralizada)
- OpenID , protocolo descentralizado em tecnologia da informação
- Linguagem de marcação para autorização de segurança , protocolo de logon único para serviços da web
- Kerberos , serviço de autenticação distribuída (protocolo de rede)
- IDpendant Single Sign On , oferece suporte a vários tipos de autenticação, permite vários usuários e encaminhamento de sessão
- Serviço de autenticação central (CAS) , uma solução SSO baseada em servlet para aplicativos da web
- A Autenticação Leve de Terceiros (LTPA) é usada nos produtos IBM Websphere e Lotus Domino .
Evidência individual
- ↑ Jens Fromm: Sem governo . In: Mike Weber (Hrsg.): Mostrar tendência do ÖFIT : Tecnologia da informação pública na sociedade digitalizada . Competence Center Public IT, Berlin 2016, ISBN 978-3-9816025-2-4 ( oeffigte-it.de [acesso em 12 de outubro de 2016]).
- ↑ http://msdn.microsoft.com/de-de/security/aa570351.aspx