ما المقصود بتسجيل الدخول الأحادي (SSO)؟
يُعد SSO أحد حلول المصادقة التي تتيح للمستخدمين تسجيل الدخول إلى تطبيقات ومواقع إلكترونية متعددة بمصادقة مستخدم لمرة واحدة. نظرًا إلى أن المستخدمين اليوم يدخلون بشكل متكرر إلى التطبيقات مباشرةً من المتصفحات، فإن المؤسسات تعطي الأولوية لإستراتيجيات إدارة الوصول التي تحسِّن الأمان وتجربة المستخدم. يقدم SSO كلا الجانبين، فيتيح للمستخدمين الوصول إلى جميع الموارد المحمية بكلمة مرور بدون الحاجة إلى تكرار تسجيل الدخول بمجرد التحقق من هويتهم.
ما سبب أهمية خدمة SSO؟
استخدام تسجيل الدخول الأحادي (SSO) لتبسيط عمليات تسجيل الدخول للمستخدمين يفيد المستخدمين والمؤسسات بطرق عدة.
تعزيز أمان كلمة المرور
عندما لا يستخدم الأشخاص SSO، يجب عليهم تذكر العديد من كلمات المرور لمواقع إلكترونية مختلفة. وهذا قد يؤدي إلى ممارسات أمان غير موصى بها، مثل استخدام كلمات مرور بسيطة أو متكررة لحسابات مختلفة. بالإضافة إلى ذلك، قد ينسى المستخدمون بيانات اعتمادهم أو يخطئون في كتابتها عند تسجيل الدخول إلى الخدمة. يمنع SSO الإرهاق الذي تسببه كلمات المرور ويشجع المستخدمين على إنشاء كلمة مرور قوية واحدة يمكن استخدمها للعديد من المواقع الإلكترونية.
تحسين الإنتاجية
غالبًا ما يستخدم الموظفون أكثر من تطبيق مؤسسة واحد يتطلب مصادقة منفصلة. إدخال اسم المستخدم وكلمة المرور يدويًا لكل تطبيق يستغرق وقتًا طويلاً وغير مثمر. يبسط SSO عملية التحقق من صحة المستخدم لتطبيقات المؤسسة ويسهّل الوصول إلى الموارد المحمية.
تقليل التكاليف
قد ينسى مستخدمو تطبيق المؤسسة بيانات اعتماد تسجيل الدخول أثناء محاولتهم لتذكر العديد من كلمات المرور. وهذا يؤدي إلى طلبات متكررة لاستعادة كلمات مرورهم أو إعادة تعيينها، ما يزيد عبء العمل على فرق تكنولوجيا المعلومات داخل المؤسسة. يقلل تطبيق SSO من حالات نسيان كلمات المرور، وبالتالي يحد من موارد الدعم في معالجة طلبات إعادة تعيين كلمة المرور.
تحسين الوضع الأمني
من خلال تقليل عدد كلمات المرور لكل مستخدم، يسهّل SSO عملية تدقيق وصول المستخدمين ويقدم تحكمًا قويًا في الوصول إلى جميع أنواع البيانات. وهذا من شأنه تقليل خطر وقوع أحداث أمنية تستهدف كلمات المرور، مع مساعدة المؤسسات في الامتثال للوائح أمان البيانات.
توفير تجارب أفضل للعملاء
يستخدم بائعو التطبيقات السحابية SSO لتزويد المستخدمين النهائيين بإدارة لبيانات الاعتماد وتجربة تسجيل دخول سلسة. يدير المستخدمون عددًا أقل من كلمات المرور ولا يزال يمكنهم الوصول بأمان إلى المعلومات والتطبيقات الذين يحتاجون إليها لإكمال أعمالهم اليومية.
كيف تعمل خدمة SSO؟
ينشئ SSO الثقة بين التطبيق أو الخدمة ومزوّد الخدمة الخارجي، يُعرف أيضًا بمزوّد الهويات (IdP). وهذا يحدث من خلال سلسلة من خطوات الاتصال والمصادقة والتحقق من الصحة التي تُنفذ بين التطبيق وخدمة SSO المركزية. يرد فيما يلي المكونات المهمة في حلول SSO.
خدمة SSO
خدمة SSO هي خدمة مركزية تعتمد عليها التطبيقات عندما يسجّل أحد المستخدمين الدخول إليها. إذا طلب مستخدم غير مُصادق عليه الوصول إلى تطبيق ما، فإن التطبيق يعيد توجيهه إلى خدمة SSO. تقوم الخدمة بعد ذلك بمصادقة المستخدم وإعادة توجيهه إلى التطبيق الأصلي. تعمل الخدمة عادةً على خادم سياسة SSO مخصص.
رمز SSO المميز
رمز SSO المميز هو ملف رقمي يحتوي على معلومات تعريف المستخدم، مثل اسم المستخدم وعنوان البريد الإلكتروني. عندما يطلب مستخدم الوصول إلى تطبيق ما، يتبادل التطبيق رمز SSO المميز مع خدمة SSO لمصادقة المستخدم.
عملية SSO
عملية SSO هي كما يلي:
- عندما يدخل أحد المستخدمين إلى تطبيق ما، ينشئ التطبيق رمزSSO المميز ويرسل طلب مصادقة إلى خدمة SSO.
- تتحقق الخدمة ما إذا تمت مصادقة المستخدم سابقًا في النظام أم لا. إذا كانت الإجابة نعم، ترسل استجابة بتأكيد المصادقة إلى التطبيق لمنح الوصول إلى المستخدم.
- إذا لم يكن لدى المستخدم بيانات اعتماد تم التحقق من صحتها، فإن خدمة SSO تعيد توجيه المستخدم إلى نظام لتسجيل الدخول المركزي وتطالب المستخدم بإرسال اسم المستخدم وكلمة المرور.
- عند إرسالهما، تتحقق الخدمة من بيانات اعتماد المستخدم وترسل استجابة إيجابية للتطبيق.
- وإلا، فسيتلقى المستخدم رسالة خطأ ويجب عليه إعادة إدخال بيانات الاعتماد. قد تؤدي محاولات الإخفاق في تسجيل الدخول المتعددة إلى منع الخدمة للمستخدم من إجراء مزيد من المحاولات لفترة زمنية محددة.
ما أنواع SSO؟
هناك معايير وبروتوكولات مختلفة تستخدمها حلول SSO للتحقق من صحة بيانات اعتماد المستخدمين والمصادقة عليها.
SAML
SAML، أو لغة تمييز التأكيدات الأمنية، هي بروتوكول أو مجموعة من القواعد التي تستخدمها التطبيقات لتبادل معلومات المصادقة مع خدمة SSO. تستخدم SAML لغة XML، وهي لغة تمييز ملائمة للمتصفح، بهدف تبادل بيانات تعريف المستخدم. توفر خدمات SSO القائمة على SAML أمانًا ومرونة أفضل، حيث لا تحتاج التطبيقات إلى تخزين بيانات الاعتماد للمستخدمين على نظامها.
OAuth
OAuth، أو التفويض المفتوح، هو معيار مفتوح يسمح للتطبيقات بالوصول بأمان إلى معلومات المستخدم من المواقع الإلكترونية الأخرى بدون إعطائهم كلمة المرور. بدلاً من طلب كلمات مرور المستخدم، تستخدم التطبيقات OAuth للحصول على أذن المستخدم للوصول إلى البيانات المحمية بكلمة مرور. ينشئ OAuth الثقة بين التطبيقات من خلال واجهة برمجة التطبيقات (API)، ما يسمح للتطبيق بإرسال طلبات المصادقة والرد عليها في إطار عمل محدد.
OIDC
OpenID هي طريقة لاستخدام مجموعة واحدة من بيانات اعتماد المستخدم للوصول إلى مواقع متعددة. فهي تسمح لمزوّد الخدمة بتولي دور مصادقة بيانات اعتماد المستخدم. بدلاً من تمرير رمز المصادقة المميز إلى مزوّد هوية تابع لجهة خارجية، تستخدم تطبيقات الويب OIDC لطلب معلومات إضافية والتحقق من صحة المستخدم.
Kerberos
Kerberos هو نظام مصادقة قائم على التذاكر يسمح لطرفين أو أكثر بالتحقق المتبادل من هويتهم على الشبكة. فهو يستخدم التشفير الأمني لمنع الوصول غير المصرح به إلى معلومات التعريف المنقولة بين الخادم والعملاء ومركز توزيع المفاتيح.
هل SSO آمن؟
نعم، SSO هو حل متقدم ومستحب لإدارة وصول الهوية. عند نشره، يساعد حل تسجيل الدخول الأحادي المؤسسات في إدارة وصول المستخدم لتطبيقات وموارد المؤسسة. يسهّل حل SSO على مستخدمي التطبيقات إعداد كلمات مرور قوية وتذكرها. بالإضافة إلى ذلك، يمكن لفريق تكنولوجيا المعلومات استخدام أداة SSO لمراقبة سلوك المستخدمين وتحسين مرونة النظام وتقليل المخاطر الأمنية.
كيف تُقارن SSO مع حلول إدارة الوصول الأخرى؟
توجد العديد من حلول إدارة الهوية والوصول التي يمكنك الاختيار منها، استنادًا إلى متطلباتك.
إدارة الهوية الموحّدة
إدارة الهوية الموحّدة (FIM) هي إطار عمل رقمي يسمح لتطبيقات متعددة من بائعين مختلفين بمشاركة هوية المستخدمين وإدارتها والمصادقة عليها. على سبيل المثال، تسمح FIM للقوى العاملة لديك بتسجيل الدخول إلى تطبيق واحد ثم الوصول إلى العديد من تطبيقات المؤسسة الأخرى بدون تسجيل الدخول مرة أخرى. تصادق FIM على بيانات الاعتماد المرسلة من مزوّد الخدمة باستخدام مزوّد هوية موثوق به.
SSO مقابل إدارة الهوية الموحّدة
إدارة الهوية الموحّدة هي حل شامل لإدارة الهوية ومصادقتها للتطبيقات من مجالات شتى. وفي الوقت نفسه، يعد تسجيل الدخول الأحادي (SSO) وظيفة محددة ضمن نموذج FIM. بينما تسمح FIM للمستخدمين بالوصول إلى الخدمات من بائعين مختلفين بتسجيل دخول واحد، يقتصر SSO على الخدمات أو التطبيقات التي يستضيفها بائع واحد.
تسجيل الدخول المماثل
تسجيل الدخول المماثل، والذي يحمل أيضًا اختصار SSO، هو حل رقمي يخزن بيانات اعتماد المستخدم على الأجهزة التي يصل إليها المستخدم ويزامنها. فهو مشابه لمخازن كلمات المرور أو مديري كلمات المرور التي تسمح للمستخدمين بتسجيل الدخول إلى تطبيقات متعددة على أجهزة مختلفة بدون تذكر بيانات الاعتماد.
تسجيل الدخول الأحادي مقابل تسجيل الدخول المماثل
تحتاج أنظمة تسجيل الدخول الأحادي إلى مصادقة لمرة واحدة من المستخدم. عند قيام المستخدم بتسجيل الدخول، يمكنه الوصول إلى خدمات الويب وتطبيقاته الأخرى بدون إعادة مصادقة نفسه. وفي الوقت نفسه، يتطلب تسجيل الدخول المماثل من المستخدم تكرار عملية تسجيل الدخول في كل مرة باستخدام بيانات اعتماد المصادقة نفسها.
المصادقة متعددة العوامل
المصادقة متعددة العوامل هي إطار عمل لمصادقة المستخدم باستخدام تقنيتين أو أكثر للتحقق من هوية المستخدم. على سبيل المثال، يُدخل المستخدمون عنوان البريد الإلكتروني وكلمة المرور على صفحة ويب والمفتاح في كلمة مرور لمرة واحدة (OTP) تُرسل على هاتفهم المحمول لتمكين الوصول الآمن.
SSO مقابل المصادقة متعددة العوامل
يُمكِّن SSO المؤسسات من تبسيط وتعزيز أمان كلمة المرور من خلال السماح بالوصول إلى جميع الخدمات المتصلة بتسجيل دخول واحد. توفر المصادقة متعددة العوامل طبقات أمان إضافية لتقليل إمكانية الوصول غير المصرح به من خلال بيانات الاعتماد المسروقة. يمكن تحقيق التكامل بين SSO والمصادقة متعددة العوامل كليهما لتحسين الوضع الأمني لتطبيقات الويب.
كيف يمكن أن تساعد AWS في SSO؟
مركز هوية AWS IAM هو حل مصادقة سحابي يسمح للمؤسسات بإنشاء هويات القوى العاملة أو ربطها بأمان، وإدارة وصولها مركزيًا في حسابات AWS وتطبيقاتها. يمكنك إنشاء هويات المستخدمين أو استيرادها من مزوّدي الهويات الخارجيين، مثل Okta Universal Directory أو Azure. تشمل بعض مزايا مركز هوية AWS IAM ما يلي:
- لوحة معلومات مركزية لإدارة الهويات لحساب AWS أو تطبيقات الأعمال لديك.
- دعم مصادقة متعددة العوامل لتوفير تجربة مصادقة آمنة للغاية للمستخدمين.
- دعم التكامل مع تطبيقات AWS الأخرى للتفويض والمصادقة بدون تكوين.
ابدأ اليوم استخدام SSO على AWS من خلال إنشاء حساب AWS مجاني.