wraz z eksplozją aplikacji internetowych organizacje poszukiwały rozwiązań jednokrotnego logowania (SSO), aby umożliwić bardziej efektywną integrację z ich podstawowymi usługami katalogowymi. W tym miejscu zbadamy różnicę między SAML SSO a Just-in-Time (JIT) provisioning, dwoma koncepcjami, które wpływają na sposób, w jaki użytkownicy uzyskują dostęp do aplikacji internetowych.
co to jest SAML SSO?
protokół SAML (Security Assertion Markup Language) został stworzony na początku XX wieku, aby umożliwić bezpieczne uwierzytelnianie między dostawcami tożsamości a dostawcami usług (np. aplikacjami internetowymi). SAML jest bezpieczny, ponieważ przekazuje certyfikaty oparte na XML, które są unikalne dla każdej aplikacji, a nie przekazuje poświadczeń użytkownika.
korzystając z SAML, organizacje stworzyły rozwiązania SSO, które uprościły proces logowania. Zamiast tworzyć nowe zestawy poświadczeń dla każdej używanej aplikacji internetowej, użytkownicy mogą wykorzystać poświadczenia Active Directory / core directory, aby uzyskać dostęp do swoich maszyn i aplikacji internetowych za pośrednictwem wtyczki do przeglądarki lub portalu internetowego.
SAML SSO odbywa się poprzez logowanie zainicjowane przez dostawcę usług lub dostawcę tożsamości. W logowaniach inicjowanych przez Usługodawcę użytkownicy odwiedzają bezpośrednio witrynę aplikacji i są przekierowywani z powrotem do dostawcy tożsamości za pomocą atrybutu, takiego jak nazwa domeny lub nazwa użytkownika. Następnie są automatycznie logowani do aplikacji za pośrednictwem dostawcy tożsamości. W logowaniach inicjowanych przez dostawcę tożsamości pracownicy klikają portal internetowy SSO, aby uzyskać dostęp do aplikacji. W obu przypadkach usługodawca nigdy nie otrzymuje ani nie śledzi ich danych uwierzytelniających.
dostawcy SSO często oferują zarówno wstępnie zbudowane, jak i ogólne złącza, aby zapewnić organizacjom elastyczność w łączeniu się zarówno z popularnymi, jak i zastrzeżonymi aplikacjami. Gotowe złącza działają w popularnych aplikacjach, takich jak Slack, Salesforce, GitHub i tysiące innych, podczas gdy standardowe złącza umożliwiają administratorom wypełnianie pól niezbędnych do łączenia się z aplikacjami, które nie są tak powszechnie dostępne. Rozwiązania te oszczędzają czas nie tylko dla użytkowników końcowych (którzy spędzają 36 minut miesięcznie na działaniach związanych z hasłem, zgodnie z LastPass), ale także dla administratorów IT, którzy muszą bezpiecznie zarządzać obsługą użytkowników i hasłami.
co to jest Just-in-Time Provisioning?
provisioning Just-in-Time wykorzystuje również protokół SAML i odnosi się do metody tworzenia konta aplikacji.
dzięki JIT administratorzy IT nie muszą już ręcznie tworzyć kont dla każdego użytkownika w każdej używanej aplikacji. Zamiast tego konta użytkowników są tworzone przy pierwszej próbie zalogowania się do aplikacji, o ile mają do nich uprawnienia.
na przykład administratorzy IT mogą automatycznie przyznawać Salesforce dostęp wszystkim użytkownikom w dziale sprzedaży, a konta tych użytkowników są tworzone przy pierwszej próbie zalogowania się do Salesforce za pośrednictwem portalu SSO lub logowania zainicjowanego przez Usługodawcę.
ważne jest, aby pamiętać, że dostawca usług (aplikacja internetowa) musi obsługiwać JIT, aby ta implementacja działała.
porównanie SAML SSO i JIT Provisioning
zarówno SAML SSO, jak i JIT provisioning odgrywają rolę w zapewnianiu użytkownikom bezproblemowego logowania do aplikacji i mogą być używane w połączeniu.
implementacja SSO aplikacji webowych ma zauważalny wpływ na doświadczenie użytkownika, ponieważ użytkownicy muszą wprowadzić swoje poświadczenia tylko raz na sesję, aby uzyskać dostęp do wszystkich aplikacji, których potrzebują, aby wykonać pracę w ciągu dnia.
chociaż doświadczenie użytkownika nie zmienia się diametralnie, gdy organizacja korzysta z udostępniania JIT, proces ten sprawia, że wdrażanie jest bardziej wydajne, a operacje IT bardziej usprawnione. JIT to narzędzie za kulisami, które pozwala administratorom IT poświęcić więcej czasu na inne krytyczne zadania.
zarówno SAML SSO, jak i JIT Provisioning zwiększają również bezpieczeństwo organizacji i zapobiegają rozprzestrzenianiu się tożsamości, ponieważ zapewniają użytkownikom tylko jedną bezpieczną tożsamość dla swoich maszyn, innych zasobów zarządzanych katalogami i aplikacji-zamiast powtarzających się lub podobnych haseł w różnych usługach — i zmniejszają ręczne zadania związane z obsługą.
dowiedz się więcej
jeśli jesteś administratorem IT, aby dowiedzieć się, jakie rozwiązanie SSO byłoby najlepiej dostosowane do Twojego środowiska, opracowaliśmy „przewodnik zakupu SSO”, aby poinformować Cię o wynikach wyszukiwania.