Single Sign-On (SSO) là cơ chế cho phép người dùng chỉ cần đăng nhập một lần để truy cập vào các hệ thống ứng dụng khác nhau. SSO là giải pháp toàn diện về tiện ích, bảo mật và quản lý thông tin người dung tập trung dành cho tổ chức, doanh nghiệp.
Single sign-on là gì?
Single Sign-on (SSO) là dịch vụ xác thực phiên và người dùng cho phép người dùng cuối nhập một bộ thông tin đăng nhập (có thể gồm tên và mật khẩu) để có quyền truy cập vào nhiều ứng dụng.
Single Sign-on được tạo ra như một công cụ cực kỳ hữu ích giúp người dùng có thể truy cập vào những trang web trên mà chỉ cần đăng nhập một lần duy nhất. Nói một cách dễ hiểu, nếu bạn đã được xác thực danh tính ở trang web thứ nhất thì khi sang trang web thứ hai bạn không cần đăng nhập nữa.
Trong dịch vụ Single Sign-on web cơ bản, module tác nhân trên máy chủ ứng dụng truy xuất thông tin xác thực cụ thể cho người dùng cá nhân từ máy chủ chính sách SSO chuyên dụng, đồng thời xác thực người dùng dựa trên kho lưu trữ người dùng, chẳng hạn như thư mục Giao Thức Truy Cập Thư Mục Nhẹ (LDAP) .
Dịch vụ Single Sign-on xác thực người dùng cuối cho tất cả các ứng dụng mà người dùng đã được cấp quyền và loại bỏ các lời nhắc mật khẩu trong tương lai cho các ứng dụng riêng lẻ trong cùng một phiên.
Cách thức hoạt động của Single Sign On
Single Sign-on là một sắp xếp quản lý danh tính liên kết (FIM) và việc sử dụng hệ thống này được gọi là liên kết danh tính. OAuth (Open Authorization) là khuôn khổ cho phép các dịch vụ của bên thứ ba, chẳng hạn như Facebook, sử dụng thông tin tài khoản của người dùng cuối mà không làm lộ mật khẩu của người dùng.
OAuth đóng vai trò trung gian thay mặt người dùng cuối bằng cách cung cấp cho dịch vụ mã thông báo truy cập cho phép chia sẻ thông tin tài khoản cụ thể. Khi người dùng cố gắng truy cập một ứng dụng từ nhà cung cấp dịch vụ, nhà cung cấp dịch vụ sẽ gửi yêu cầu đến nhà cung cấp danh tính để xác thực. Sau đó, nhà cung cấp dịch vụ sẽ xác minh xác thực và đăng nhập người dùng.
Nhận dạng các loại kết nối Single Sign-on
Về cơ bản, SSO được chia làm 4 loại kết nối chính:
- Xác thực (Authentication): đây là bước xác minh danh tính người dùng thông qua việc kiểm tra thông tin đăng nhập.
- Phân quyền (Authorization): sau khi lấy danh tính xong, SSO sẽ dựa vào đó để kiểm tra quyền truy cập của người dùng.
- Trao đổi thông tin người dùng (User attributes exchange): Các thông tin người dùng như tên, họ,… sẽ dễ bị trùng lặp. Các hệ thống con cần các thông tin này và phải lưu trữ chúng. Sẽ có một nơi tổng hợp lại các thông tin này và trao đổi với hệ thống con.
- Quản lý người dùng (User management): Quản trị viên của trang web có thể quản lý người dùng thuộc về tổ chức của mình thông qua các hoạt động chỉnh sửa, thêm, xóa ở hệ thống con mà không cần phải chỉnh sửa ở domain chính.
Các loại cấu hình mà Single Sign-on có
Một số dịch vụ Single Sign-on sử dụng các giao thức như Kerberos và Ngôn ngữ đánh dấu xác nhận bảo mật (SAML). SAML là một tiêu chuẩn ngôn ngữ đánh dấu có thể mở rộng (XML) tạo điều kiện thuận lợi cho việc trao đổi dữ liệu xác thực và ủy quyền của người dùng trên các domain an toàn. Các dịch vụ Single Sign-on dựa trên SAML liên quan đến thông tin liên lạc giữa người dùng, nhà cung cấp danh tính duy trì danh bạ người dùng và nhà cung cấp dịch vụ.
Trong thiết lập dựa trên Kerberos, khi thông tin xác thực của người dùng được cung cấp, một phiếu cấp vé (TGT) sẽ được phát hành. TGT tìm nạp các phiếu dịch vụ cho các ứng dụng khác mà người dùng muốn truy cập mà không yêu cầu người dùng nhập lại thông tin đăng nhập.
Single Sign-on dựa trên thẻ thông minh sẽ yêu cầu người dùng cuối sử dụng thẻ có thông tin xác thực đăng nhập cho lần đăng nhập đầu tiên. Sau khi thẻ được sử dụng, người dùng sẽ không phải nhập lại tên người dùng hoặc mật khẩu. Thẻ thông minh của Single Sign-on sẽ lưu trữ chứng chỉ hoặc mật khẩu.
Single Sign On xã hội
Google, LinkedIn, Twitter và Facebook cung cấp các dịch vụ SSO phổ biến cho phép người dùng cuối đăng nhập vào ứng dụng của bên thứ ba bằng thông tin xác thực phương tiện truyền thông xã hội của họ. Mặc dù đăng nhập một lần trên mạng xã hội là một tiện ích cho người dùng, nhưng nó có thể tiềm ẩn những rủi ro về bảo mật vì nó tạo ra một điểm lỗi duy nhất có thể bị kẻ tấn công lợi dụng.
Nhiều chuyên gia bảo mật khuyến cáo người dùng cuối không sử dụng các dịch vụ SSO xã hội bởi vì, một khi kẻ tấn công giành được quyền kiểm soát đối với thông tin đăng nhập SSO của người dùng, họ sẽ có thể truy cập vào tất cả các ứng dụng khác sử dụng cùng thông tin đăng nhập đó.
Apple gần đây đã tiết lộ dịch vụ đăng nhập một lần của riêng mình và đang định vị nó như một giải pháp thay thế riêng tư hơn cho các tùy chọn Single Sign On được cung cấp bởi Google, Facebook, LinkedIn và Twitter. Dịch vụ mới, sẽ được gọi là Đăng nhập với Apple, dự kiến sẽ giới hạn dữ liệu mà các dịch vụ của bên thứ ba có thể truy cập. SSO của Apple cũng sẽ tăng cường bảo mật bằng cách yêu cầu người dùng sử dụng 2FA trên tất cả các tài khoản Apple ID để hỗ trợ tích hợp với Face ID và Touch ID trên thiết bị iOS.
SSO doanh nghiệp
Các sản phẩm và dịch vụ phần mềm đăng nhập một lần (eSSO) dành cho doanh nghiệp là trình quản lý mật khẩu với các thành phần máy khách và máy chủ đăng nhập người dùng để nhắm mục tiêu các ứng dụng bằng cách phát lại thông tin đăng nhập của người dùng. Những thông tin đăng nhập này hầu như luôn là tên người dùng và mật khẩu; các ứng dụng đích không cần phải sửa đổi để hoạt động với hệ thống eSSO.
Rủi ro bảo mật của Single Sign-on
Mặc dù đăng nhập một lần là một tiện ích cho người dùng, nhưng nó tiềm ẩn những rủi ro đối với bảo mật doanh nghiệp. Kẻ tấn công giành được quyền kiểm soát thông tin đăng nhập Single Sign-on của người dùng sẽ được cấp quyền truy cập vào mọi ứng dụng mà người dùng có quyền, làm tăng mức độ thiệt hại tiềm ẩn.
Để tránh truy cập độc hại, điều cần thiết là mọi khía cạnh của việc triển khai Single Sign-on phải được kết hợp với quản trị danh tính. Các tổ chức cũng có thể sử dụng xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) với Single Sign On để cải thiện bảo mật.
Ngoài ra thì Single Sign-on còn có các nhược điểm ảnh hưởng đến người dùng:
- Không đề cập đến các mức độ bảo mật nhất định mà mỗi lần đăng nhập ứng dụng có thể cần.
- Nếu tính khả dụng bị mất, thì người dùng sẽ bị khóa khỏi nhiều hệ thống được kết nối với Single Sign-on.
- Nếu người dùng trái phép có quyền truy cập, thì họ có thể có quyền truy cập vào nhiều ứng dụng.