a webes alkalmazások robbanásával a szervezetek egyszeri bejelentkezési (SSO) megoldásokat kerestek, amelyek lehetővé teszik a hatékonyabb integrációt az alapvető címtárszolgáltatásaikkal. Itt megvizsgáljuk a különbséget a SAML SSO és a Just-In-Time (JIT) provisioning között, amely két olyan fogalom, amely befolyásolja a felhasználók webes alkalmazásokhoz való hozzáférését.
mi az a SAML SSO?
a SAML (Security Assertion Markup Language) protokollt a 2000-es évek elején hozták létre, hogy lehetővé tegye a biztonságos hitelesítést az Identitásszolgáltatók és a szolgáltatók (azaz a webes alkalmazások) között. SAML biztonságos, mert átadja XML-alapú tanúsítványok, amelyek egyediek az egyes alkalmazások helyett halad felhasználói hitelesítő adatokat.
a SAML használatával a szervezetek SSO megoldásokat hoztak létre, amelyek egyszerűsítették a bejelentkezési folyamatot. Ahelyett, hogy minden használt webes alkalmazáshoz új hitelesítő adatokat hoznának létre, a felhasználók kihasználhatják az Active Directory/core directory hitelesítő adataikat, hogy mind a gépeiket, mind a webes alkalmazásaikat böngésző plugin vagy webportál segítségével érjék el.
az SAML SSO vagy szolgáltató – vagy identitásszolgáltató által kezdeményezett bejelentkezéseken keresztül történik. A szolgáltató által kezdeményezett bejelentkezések során a felhasználók közvetlenül felkeresik az alkalmazás weboldalát, és egy attribútum, például a domain név vagy a felhasználónév segítségével átirányítják őket személyazonosító szolgáltatójukhoz. Ezután automatikusan bejelentkeznek az alkalmazásba az identitásszolgáltatójukon keresztül. Az identitásszolgáltató által kezdeményezett bejelentkezéseknél az alkalmazottak az SSO webportálon keresztül kattintanak az alkalmazás eléréséhez. Mindkét esetben a Szolgáltató soha nem kapja meg vagy követi nyomon hitelesítő adatait.
az SSO szolgáltatók gyakran kínálnak előre épített és általános csatlakozókat, hogy rugalmasságot biztosítsanak a szervezeteknek a népszerű és a saját alkalmazásokhoz való csatlakozásban. Az előre elkészített csatlakozók olyan népszerű alkalmazásokhoz működnek, mint a Slack, a Salesforce, a GitHub és még több ezer, míg az Általános csatlakozók lehetővé teszik az adminisztrátorok számára, hogy kitöltsék a szükséges mezőket, hogy csatlakozzanak olyan alkalmazásokhoz, amelyek nem olyan széles körben elérhetők. Ezek a megoldások nemcsak a végfelhasználók számára (akik havonta 36 percet töltenek jelszótevékenységekkel, a LastPass szerint), hanem az informatikai rendszergazdáknak is időt takarítanak meg, akiknek biztonságosan kezelniük kell a felhasználói létesítéseket és jelszavakat.
mi az a Just-In-Time Provisioning?
a Just-In-Time provisioning a SAML protokollt is használja, és az alkalmazásfiók létrehozásának módszerére utal.
a JIT használatával az informatikai rendszergazdáknak már nem kell manuálisan létrehozniuk fiókokat minden egyes felhasználó számára az általuk használt alkalmazásokban. Ehelyett a felhasználói fiókok akkor jönnek létre, amikor a felhasználók először próbálnak bejelentkezni az alkalmazásokba, feltéve, hogy rendelkeznek engedélyekkel számukra.
például az informatikai rendszergazdák automatikusan hozzáférést adhatnak a Salesforce-nak az értékesítési részleg összes felhasználójának, és E felhasználók fiókjai akkor jönnek létre, amikor először próbálnak bejelentkezni a Salesforce-ba az SSO-portálon keresztül vagy egy szolgáltató által kezdeményezett bejelentkezéssel.
fontos megjegyezni, hogy a Szolgáltatónak (webalkalmazásnak) támogatnia kell a JIT-et ahhoz, hogy ez a megvalósítás működjön.
a SAML SSO és a JIT Provisioning összehasonlítása
mind a SAML SSO, mind a JIT provisioning szerepet játszik abban, hogy zökkenőmentes alkalmazás-bejelentkezési élményt biztosítson a felhasználók számára, és együtt is használhatók.
a webalkalmazás SSO megvalósítása észrevehető hatással van a felhasználói élményre, mivel a felhasználóknak munkamenetenként csak egyszer kell megadniuk hitelesítő adataikat, hogy elérjék az összes alkalmazást, amelyre szükségük van a nap folyamán végzett munkához.
bár a felhasználói élmény nem változik drámaian, amikor egy szervezet JIT-kiépítést használ, a folyamat hatékonyabbá teszi a beszállást és az informatikai műveleteket. JIT egy mögötti jelenetek eszköz vásárolni it adminok több időt szentelni más kritikus feladatokat.
mind a SAML SSO, mind a JIT kiépítése növeli a szervezeti biztonságot és megakadályozza az identitások elterjedését, mivel biztosítják, hogy a felhasználóknak csak egy biztonságos identitásuk legyen a gépeikhez, más címtár által kezelt erőforrásokhoz és alkalmazásokhoz-a szolgáltatások között Ismétlődő vagy hasonló jelszavak helyett—, és csökkentik a rendszergazdák által elvégzendő kézi kiépítési feladatokat.
További információ
ha Ön IT-adminisztrátor, aki azt vizsgálja, hogy melyik SSO megoldás lenne a legjobban a környezetéhez igazítva, összeállítottunk egy “SSO vásárlási útmutatót”, amely tájékoztatja a keresést.