آیا احراز هویت یکپارچه می تواند باعث افزایش امنیت سازمان مان شود؟

احراز هویت یکپارچه (SSO[1]) سرویسی ساده برای احراز هویت بوده که از یک مجموعه اعتبارنامه کاربری (نام کاربری و کلمه عبور) برای دسترسی به چندین برنامه کاربردی استفاده می‌کند. SSO، احراز هویت شما را در یکی از پلتفرم‌هایی که برای این سرویس طراحی شده است، انجام داده و با استفاده از آن می‌توانید بدون نیاز به احراز هویت‌های مکرر، فقط با یک بار احراز هویت به سرویس‌های مختلف دسترسی داشته باشید.

چنانچه پیاده‌سازی فرایند احراز هویت یکپارچه به خوبی و درستی انجام شود؛ قابلیت نظارت، بهره‌وری و مدیریت فناوری اطلاعات و همچنین اعمال کنترل‌های امنیتی به شدت در سازمان ارتقا خواهد یافت. از سوی دیگر، مدیر سیستم یا شبکه می تواند تنها با یک توکن امنیتی (نام کاربری و کلمه عبور)، امکان دسترسی کاربران به سیستم‌ها، سامانه ها، برنامه‌های کاربردی، تجهیزات و سایر منابع را فعال یا غیرفعال کند. این روش همچنین مخاطره فراموشی یا ضعیف بودن کلمه عبور کارکنان را هم برطرف می کند.

 

عملکرد احراز هویت یکپارچه

برای پیاده‌سازی احراز هویت یکپارچه، استانداردهای مختلفی وجود دارد ولی همه آنها از الگوهای امنیتی مشابهی پیروی می‌کنند. این استانداردها مسئولیت احراز هویت کاربران را به تعدادی سرویس یا برنامه کاربردی دیگر واگذار می‌نمایند.

در تعاریف احراز هویت یکپارچه، هر برنامه کاربردی‌ یا وب سایتی که کاربران وارد آن می شود (مثل یک برنامه ایمیل، وب سایت بانک یا حتی شبکه)، ارایه‌دهنده سرویس محسوب می‌شود. معمولاً هر کدام از این پلتفرم‌ها قابلیت احراز هویت کاربران را دارند اما با استفاده از سیستم احراز هویت یکپارچه، دیگر چنین کاری به ارایه‌دهنده خدمات هویتی (که معمولاً همان پلتفرم احراز هویت یکپارچه است) محول می‌شود. وقتی کاربری قصد دسترسی به ارایه‌دهنده سرویس را داشته باشد، ارایه‌دهنده سرویس از ارایه‌دهنده خدمات هویتی برای اطمینان از هویت کاربر کمک می‌گیرد. ارایه‌دهنده سرویس می‌تواند درباره شیوه انجام کار روش احراز هویت (از جمله استفاده از احراز هویت دومرحله‌ای یا زیست سنجی) پارامترهای خاصی را تنظیم کند. اگر کاربر از قبل وارد نشده باشد، ارایه‌دهنده‌ خدمات هویتی از کاربر درخواست ورود نموده و اگر نیز قبلاً وارد شده باشد، این موضوع را به اطلاع ارایه‌دهنده‌ سرویس می‌رساند.

ارتباط بین ارایه‌دهنده‌ سرویس و خدمات احراز هویت، از طریق توکن‌ها انجام می‌شود. توکن‌ها مجموعه‌ای کوچک از اطلاعات ساخت یافته هستند که به صورت دیجیتالی امضا می‌شوند تا بین افراد مختلف اعتماد لازم را ایجاد کنند. ارایه‌دهنده خدمات هویتی از طریق همین توکن‌ها به ارایه‌دهنده سرویس اطلاع می‌دهد فرایند احراز هویت کاربر انجام شده است؛ در حالی که این توکن‌ها حاوی اطلاعات احراز هویت مثل کلمه عبور کاربر یا اطلاعات زیست سنجی آن فرد نیستند. در نتیجه حتی اگر مهاجمی به توکن‌ها دسترسی پیدا کرده یا یک نفوذ امنیتی در سیستم‌های ارایه‌دهنده سرویس صورت گیرد، همچنان امنیت هویت و کلمه عبور کاربران حفظ می‌شود. کاربر همچنین می‌تواند برای هر ارایه‌دهنده سرویسی که از یک ارایه‌دهنده خدمات احراز هویت استفاده می‌کند از اعتبارنامه یکسانی استفاده نماید.

از دیدگاه مدیریت سیستم، پلتفرم احراز هویت یکپارچه راهکاری جامع برای مدیریت شناسه‌های کاربری است. مثلاً وقتی کارمندی سازمان را ترک می‌کند، بلافاصله می توان امکان ورود او به برنامه‌های کاربردی مختلف را غیرفعال و لغو نمود.

معماری احراز هویت یکپارچه

بین سرویس‌های ارایه‌دهنده خدمات هویت و ارایه‌دهنده سرویس که معمولاً حجم بسیار زیادی از داده‌ها و اعتبارنامه‌های دیجیتال را تبادل می کنند، اعتماد کافی وجود دارد. این سرویس‌ها از طریق استانداردهای بازی همچون زبان نشانه‌گذاری ادعای امنیت (SAML[2])، OAuth یا OpenID با یکدیگر ارتباط برقرار می‌کنند.

بر اساس بررسی‌های جامعی که در خصوص الگوهای معماری احراز هویت یکپارچه انجام شده است، وقتی ارایه‌دهنده سرویس قادر به برقراری ارتباط مستقیم با ارایه‌دهنده هویت نباشد می‌توان سایر معماری‌هایی که در این حوزه ارایه شده‌اند (ولی کاملاً ایده‌آل نیستند) را پیاده‌سازی کرد. پلتفرم احراز هویت یکپارچه شما باید به گونه‌ای با معماری سازمانی تان ادغام شود که امنیت سازمان در معرض مخاطره قرار نگیرد. مثلاً ممکن است یک سیستم احراز هویت یکپارچه، مانع از شناسایی آدرس آی‌پی کاربرانی شود که قصد ورود به سیستم ها را دارند.

 

نمونه‌ای از راهکارهای احراز هویت یکپارچه

برای درک بیشتر شیوه عملکرد راهکارهای احراز هویت یکپارچه، به مثال زیر توجه کنید.

فرض کنید شما کاربر محیطی با قابلیت احراز هویت یکپارچه هستید و تلاش می‌کنید به تعدادی از منابع که بر روی سرور قرار دارند، دسترسی برقرار نمایید. مجموعه رویدادها در چنین سیستمی به شرح زیر است:

  1. شما قصد دسترسی به یک سرویس خاص (که ممکن است یک برنامه کاربردی یا وب سایت باشد) دارید.
  2. ارایه‌دهنده‌ خدمات برای تأیید هویت شما یک توکن به ارایه‌دهنده‌ خدمات هویت ارسال می‌کند که حاوی اطلاعاتی درباره شما (از جمله آدرس ایمیل‌تان) است.
  3. ارایه‌دهنده‌ خدمات هویت ابتدا بررسی می‌کند که آیا شما از پیش احراز هویت شده‌اید یا خیر که در این صورت امکان دسترسی شما به برنامه کاربردی مدنظرتان را فراهم کرده و مرحله 4 برای شما اجرا نمی‌شود.
  4. اگر هنوز وارد سیستم نشده باشید، از شما درخواست می‌شود احراز هویت را به روش تعیین شده توسط ارایه‌دهنده‌ خدمات هویت انجام دهید.
  5. پس از بررسی و اعتبارسنجی این اطلاعات، ارایه‌دهنده‌ خدمات هویت یک توکن به ارایه‌دهنده سرویس، ارسال نموده و احراز هویت شما را تأیید می‌کند.
  6. این توکن از طریق مرورگر به ارایه‌دهنده سرویس ارسال می‌شود.
  7. پس از دریافت این توکن، اعتبارسنجی آن بر مبنای رابطه اعتماد مشخص شده بین ارایه‌دهنده‌ خدمات هویت و ارایه‌دهنده سرویس انجام می‌شود.
  8. پس از تأیید اعتبار توکن، کاربر به خدمات مورد نظر دسترسی خواهد داشت.

 

مزایای امنیتی احراز هویت یکپارچه

مزیت اصلی چنین راهکاری این است که امکان افزایش مقیاس آن در محیط‌های سازمانی، متناسب با تعداد کاربران و بدون ایجاد تأثیر سوء بر امنیت یا درگیری در فرایندهای آماده‌سازی پی‌در‌پی حساب‌های کاربری وجود دارد. با وجود قابلیت مدیریت خودکار اعتبارنامه‌ها، مدیران سیستم‌ها دیگر نیازی به مدیریت دستی دسترسی کارمندان به سرویس‌های مورد نیازشان نخواهند داشت. به این ترتیب احتمال خطای انسانی به شدت کاهش یافته و تیم فناوری اطلاعات نیز زمان بیشتری برای انجام اقدامات مهمتر دارد.

یکی دیگر از مزایای این راهکار، آماده‌سازی سریع آن برای برنامه‌های کاربردی مبتنی بر ابر است. اگر راهکار احراز هویت یکپارچه شما از استانداردهای بازی مثل SAML 2.0 پشتیبانی کند، برنامه کاربردی مورد نظر را می‌توان به نحوی پیکربندی نمود که با استفاده از یک روش مدیریت احراز هویت یکپارچه و نیز تعریف کاربران، فرایند احراز هویت آنها را انجام دهد. برای افزایش سطح امنیت احراز هویت یکپارچه می توان از احراز هویت چندمرحله‌ای هم استفاده کرد.

بهتر است به یک موضوع مهم توجه داشته باشید که سیستم‌های احراز هویت یکپارچه تمامی مشکلات امنیتی سازمان شما را برطرف نمی‌کنند. از جمله چالش‌های پیاده‌سازی احراز هویت یکپارچه می‌توان به هزینه‌های اجرایی، کنترل‌ها، استانداردسازی و امنیت آن اشاره کرد. نقص‌هایی مثل نقص امنیتی راهکار OAuth مایکروسافت یا آسیب‌پذیری احراز هویت اپل می‌توانند امکان ورود به یک سایت یا سرویس را به جای یک کاربر خاص برای هکرها فراهم کنند.

راهکارهای احراز هویت یکپارچه

تاکنون چندین شرکت اقدام به ارایه راهکارهای احراز هویت یکپارچه کرده اند که در بین آنها هم محصولات رایگان و هم محصولات تجاری وجود دارد. از جمله این محصولات می‌توان به موارد زیر اشاره کرد:

 

[1] Single sign-on

[2] Security Assertion Markup Language

خروج از نسخه موبایل