Miksi kertakirjautuminen (SSO) on parempi

Kertakirjautuminen (SSO) on teknologia, joka sallii käyttäjien todentaa itsensä kerran ja käyttää useita sovelluksia. Jos sinulla on vain yksi sovellus, se saattaa kuulostaa liioittelulta. Kuitenkin aloittaminen SSO:lla alusta alkaen voi säästää sinulta paljon vaivaa myöhemmin, ja SSO:n toteuttaminen on helpompaa kuin luuletkaan.

Ennen kuin aloitamme, meidän on huomioitava, että on olemassa kaksi tyyppiä SSO:ta:

• Ensimmäinen tyyppi on, kun sinulla on useita sovelluksia, jotka jakavat saman käyttäjätietokannan. Tämä on se SSO-tyyppi, josta keskustelemme tässä artikkelissa.
• Toinen tyyppi on, kun asiakkaallasi on keskitetty tunnistuspalveluntarjoaja (IdP) ja sinun täytyy integroitua siihen. Tämä on artikkelin ulkopuolella.

Miksi SSO?#

Yksinkertaista todentamismalli#

Yksi ilmeisimmistä hyödyistä SSO:ssa on se, että se yksinkertaistaa todentamismallia. Kuvittele, että aloitat verkkokaupalla, alkuperäinen todentamismalli on yksinkertainen:

Kun yrityksesi kasvaa, päätät lisätä kaupan hallintasovelluksen, jotta kaupan omistajat voivat hallita kauppojaan. Nyt sinulla on kaksi sovellusta, jotka tarvitsevat käyttäjien todentamista.

Tässä on joitakin vaihtoehtoja:

1. Voit luoda erillisen käyttäjätietokannan kaupan hallintasovellukselle.

Tämä on yksinkertaisin ratkaisu, mutta se tarkoittaa, että sinun täytyy toteuttaa todentamisprosessi kaupan hallintasovellukselle ja käyttäjien täytyy luoda uusi tili sovelluksen käyttämiseksi.

2. Voit käyttää samaa käyttäjätietokantaa molemmille sovelluksille.

Tämä on parempi ratkaisu, koska käyttäjien ei tarvitse luoda uutta tiliä. Kuitenkin sinun täytyy vielä toteuttaa todentamisprosessi kaupan hallintasovellukselle.

3. Voit käyttää SSO:ta.

Tämä on paras ratkaisu tähän mennessä. Sinun ei tarvitse toteuttaa toista todentamisprosessia, ja käyttäjien ei tarvitse luoda uutta tiliä kaupan hallintasovellukselle. Lisäksi voit lisätä enemmän sovelluksia ja kirjautumistapoja ilman, että muutat todentamismallia tai käyttäjäkokemusta.

Parantaa käyttäjäkokemusta#

SSO parantaa käyttäjäkokemusta kahdella tavalla:

• Käyttäjät voivat käyttää samaa tiliä useissa sovelluksissa.
• Kun käyttäjät kirjautuvat sisään yhteen sovellukseen, heidän ei tarvitse kirjautua uudelleen muihin sovelluksiin samalla laitteella.

Tässä saattaa ilmetä joitakin huolenaiheita, mutta ne ovat kaikki ratkaistavissa.

1. Kuinka erottaa sovellukset toisistaan?

Kertakirjautuminen ei tarkoita, että käsittelemme kaikkia sovelluksia samalla tavalla. Tunnetussa avoimessa standardissa OpenID Connect jokaista sovellusta kutsutaan asiakkaaksi, ja todentamisprosessit eroavat asiakastyypistä riippuen. Vaikka loppukäyttäjien ei tarvitse tietää eroa, asiakastyyppi on tärkeä, jotta todentamispalvelin voi määrittää todentamisprosessin.

2. Entä jos käyttäjät eivät halua jakaa samaa tiliä?

Tämä on oikeutettu huoli, mutta se ei ole SSO:n ongelma. Jos käyttäjät eivät halua jakaa samaa tiliä, he voivat luoda uuden tilin uutta sovellusta varten. Tärkeintä on antaa käyttäjille mahdollisuus valita.

3. Entä jos minun täytyy rajoittaa pääsyä tiettyihin sovelluksiin?

Itse asiassa, SSO on tekniikka todentamiseen, kun taas pääsynhallinta liittyy valtuutukseen. SSO voidaan irrottaa pääsynhallinnasta. Esimerkiksi voit käyttää SSO:ta käyttäjien todentamiseen ja sitten käyttää roolipohjaista pääsynhallintaa (RBAC) rajoittaaksesi pääsyä tiettyihin sovelluksiin tai resursseihin.

Lisätietoja todentamisesta ja valtuutuksesta löydät CIAM 101: Authentication, Identity, SSO.

4. SSO vaatii käyttäjien ohjaamista todentamispalvelimelle.

Uudelleenohjaus on vakiokäytäntö todentamisessa. Käyttäjäkokemusta ajatellen voimme hyödyntää useita tekniikoita kitkan vähentämiseksi:

• Käytä virkistyslipukkeita vähentääksesi todentamisen tiheyttä.
• Aloita todentamisprosessi tietyllä kirjautumistavalla, kuten Google tai Facebook, vähentääksesi klikkausten määrää.
• Hyödynnä hiljaista todentamista nopeuttaaksesi todentamisprosessia.

Lisää turvallisuutta#

1. Keskitetty paikka kaikille turvallisuuteen liittyville toiminnoille

SSO mahdollistaa kaikille turvallisuuteen liittyvien toimintojen hallinnan keskitetysti. Esimerkiksi, kuten mainitsimme edellisessä osiossa, SSO voi silti erottaa sovellukset toisistaan ja soveltaa alustakohtaisia todentamisprosesseja jokaiselle sovellukselle. Ilman SSO:ta sinun täytyy toteuttaa erilaisia todentamisprosesseja sovellustyypin mukaan.

Lisäksi edistyneet turvallisuusominaisuudet, kuten monivaiheinen todentaminen (MFA), ovat helpommin toteutettavissa SSO:lla ilman että sekoittaa todentamismallia.

2. Vähentynyt hyökkäyspinta

Teoriassa SSO vähentää hyökkäyspintaa, koska vain yksi todentamispalvelin pitää suojata useiden sovellusten sijaan. Keskitetty lähestymistapa myös helpottaa epäilyttävän toiminnan valvontaa ja havaitsemista.

3. Testatut standardit ja protokollat

Avoimet standardit ja protokollat, kuten OpenID Connect ja OAuth 2.0, ovat laajasti käytettyjä alalla ja ovat olleet vuosia testattuja taisteluissa. Molemmat sopivat SSO:n käsitteeseen ja niitä tukevat useimmat tunnistuspalveluntarjoajat (IdP). Yhdistämällä nämä standardit SSO:hon, voit saavuttaa turvallisen ja luotettavan todentamisjärjestelmän.

OK, toteutetaan SSO#

Kertakirjautumisen toteuttaminen voi olla iso ja monimutkainen asia, käsiteltävänä on useita asioita, kuten:

• Standardien ja protokollien noudattaminen
• Todentamisprosessit eri asiakastyypeille
• Useita kirjautumistapoja
• Turvallisuusominaisuudet, kuten MFA
• Käyttäjäkokemus
• Pääsynhallinta

Jokainen näistä aiheista voisi olla oma artikkelinsa ja ylivoimaiselta tuntua. Yksinkertaisuuden vuoksi on parempi aloittaa hallinnoidulla palvelulla, joka tarjoaa SSO:n valmiina. Tuotteemme Logto on tällainen palvelu, ja sen integroiminen sovellukseesi vie vain muutaman minuutin.

Yksi yleisimmistä huolenaiheista hallinnoidun palvelun käyttämisessä on toimittajasidonnaisuus. Onneksi tämä ei ole ongelma Logton kanssa. Logto on rakennettu OpenID Connectin ja OAuth 2.0:n päälle, ja se on syntynyt avoimen lähdekoodin pohjalta. Priorisoimme varmuuden antamisen asiakkaillemme ja pyrimme antamaan sinulle vapauden valita.