Zjednodušte si přihlašování pomocí Single Sign-On (SSO)
Na zabezpečení dat jsme od začátku vývoje platformy kladli extrémní důraz. Platforma Bim.Point je z hlediska řízení bezpečnosti informací prověřena a schválena Centrem pro kybernetickou bezpečnost ČVUT, fakultou elektrotechnickou.
Jako další krok pro větší bezpečnost a zároveň zjednodušení přístupu uživatelů jsme do platformy Bim.Point implementovali systém jednotného přihlášení SSO.
Technologie SSO umožňuje uživatelům jediné přihlášení, které jim zpřístupní informační zdroje z více různých systémů bez opětovného požadavku na přihlašování. Po prvotním přihlášení do počítače uživatele další systémy rozpoznají a přihlášení do nich proběhne automaticky bez nutnosti vkládání dalších hesel.
Výhod využívání SSO je celá řada. Ve velkých organizacích se stovkami nebo tisícovkami lidí v podstatě není možné bez SSO udržet systémy v chodu.
- Uživatelé si nemusí pamatovat a měnit všechna hesla do všech aplikací
- Snižuje se riziko prozrazení hesla
- SSO jednoznačně zjednodušuje procesy přidělování a změn hesel
- Firma má pod kontrolou přístup do aplikací z jednoho místa
Pojmy
Security Assertion Markup Language (SAML) - je standard založený na XML poskytující mechanismus pro výměnu autentizačních a autorizačních dat mezi zúčastněnými stranami, tj. poskytovatelem služeb (Service Provider) a poskytovatelem identity (Identity Provider). V praxi řeší SAML problém jednotného přihlašování na více webů – Single Sign-On.
Single Sign-On (SSO) – je zastřešující výraz pro technologie umožňující použít jedno přihlášení do více aplikací zároveň. Uživatel se pomocí jednoho přihlášení ověří a ostatními aplikacemi je považován jako důvěryhodný a nemusí zadávat další hesla.
Identity Provider (IdP) – je systém, kam SSO centralizuje proces ověření uživatele, to se nazývá poskytovatel identity. IdP přijíma SAML požadavky na ověření identity prostřednictvím webového prohlížeče. Po úspěšné autentizaci oznamuje poskytovateli služeb (SP) identitu uživatele.
Service Provider (SP) – je systém, který získává a přijímá tvrzení o ověření identity uživatele od Identity Providera. Dále pak většinou poskytuje samotné služby, které jsou podstatné pro uživatele, a chce je používat.
Active Directory (AD) - je v informatice název adresářových služeb implementované firmou Microsoft pro řadu systémů Windows. Active Directory umožňuje pro centrální uchování informací využít stromovou strukturu databáze. Databáze Active Directory je uložena na řadiči domény, který v počítačové síti zajišťuje autentizaci a autorizaci uživatelů, počítačů i další služby.
Extensible Markup Language (XML) - je jazyk určen především pro výměnu dat mezi aplikacemi. Používá se pro serializaci dat, v čemž soupeří např. s JSON či YAML. Zpracování XML je podporováno řadou nástrojů a programovacích jazyků.
Princip procesu ověřování pomocí metody SSO
- Uživatelé jsou přidáni do takzvaného Identity Provideru nebo je na něj napojena aktuální vnitřní adresářová služba (např. Active Directory) společnosti.
- Je rozhodnuto o přidání nové aplikace (Service Provider) do metody SSO. Administrátor povolí tuto aplikaci v Identity Provideru a nastaví mapování pro přenos dat mezi Providery (jméno, příjmení, email etc.)
- Uživatel se chce přihlásit do nové aplikace, kde zadá uživatelské jméno. Tato aplikace zpracuje zadané jméno a odešle požadavek do Identity Provideru k ověření.
- Po úspěšném ověření odešle Identity Provider odpověď zpět do aplikace spolu s dalšími údaji, které byly namapovány.
- Aplikace zpracuje odpověď obdrženou od Identity Provideru a případně aktualizuje data uživatele. Uživatel je následně vpuštěn do aplikace.
Popis procesu v platformě Bim.Point – příklad
- Uživatel žádá o přístup do platformy Bim.Point (Service Provider) zadáním uživatelského jména, pod kterým je identifikován.
- Bim.Point identifikuje uživatele a odešle autentizační požadavek do Identity Provideru.
- Identity Provider požádá o přihlášení do Identity Provideru (pokud je třeba, většinou se jedná o první přihlášení do IdP)
- Po úspěšném přihlášení vytvoří Identity Provider XML odpověď obsahující informace o ověření, namapovaná data a případně podepíše odpověď certifikátem. Bim.Point schválí odpověď na své straně pomocí certifikátu, aktualizuje data a vpustí uživatele do aplikace.
Příští ověřování probíhá již automaticky bez nutnosti opětovného přihlašování do IdP. Mezi Bim.Pointem a Identity Providerem probíhá komunikace na pozadí pro aktualizaci namapovaných dat.
Filip Vrba (a vývojový tým), vrba@bim-point.com; 8.7.2021
zdroje:
https://cs.wikipedia.org/wiki/Security_Assertion_Markup_Language;
https://cs.wikipedia.org/wiki/Active_Directory;
https://managementmania.com/cs/single-sign-on;
https://en.wikipedia.org/wiki/Single_sign-on