راهکارهای احراز هویت یکپارچه (Single Sign-on یا SSO) در سالهای اخیر از اهمیت زیادی برخوردار گشتهاند. در سالهای اخیر استفاده از نرمافزارهای مبتنی بر وب بسیار افزایش یافته است و به همین دلیل در بین کاربران روشی کارا برای احراز هویت بین سامانههای مختلف اهمیت فراوانی پیدا کرده است.
امروزه با ایجاد محیطهای کاری دورکاری و ترکیبی، پذیرش و استفاده حتی سریعتر برنامههای مبتنی بر وب را ایجاد کرده است و پذیرش احراز هویت یکپارچه را حتی بیشتر از این پیش برده است. از مزایای اصلی که احراز هویت یکپارچه ارائه میکند بهبود امنیت، انطباق و بهرهوری است که برای کاربران داخلی و از راه دور به طور یکسان است.
احراز هویت یکپارچه یک روش احراز هویت میباشد که این قابلیت را به کاربران ارائه میدهد تا به صورت امن با چندین برنامه مختلف (برنامههای مبتنی بر وب، برنامههای ویندوزی، لینوکسی و ...) تنها با استفاده از یک مجموعه از اعتبار ارتباط برقرار کنند.
روش احراز هویت چگونه عمل میکند؟ روش احراز هویت یکپارچه بر اساس یک رابطه اعتماد ایجاد شده بین یک برنامه کاربردی که به عنوان ارائه دهندهی خدمات (service provider) شناخته میشود و یک ارائه دهندهی هویت (identity provider) کار میکند. این رابطه اعتماد اغلب بر اساس گواهی است که بین ارائه دهندهی هویت و ارائه دهندهی خدمات رد و بدل می شود. این گواهی معمولا برای این استفاده میشود تا اطلاعاتی که قرار هست بین ارائهدهندهی خدمات و همچنین ارائه دهندهی هویت جابهجا میشود، امضای الکتریکی (signed) شوند تا ارائه دهندهی خدمات هنگام دریافت اطلاعات هویتی مطمئن باشد که این اطلاعات را از ارائه دهندهی هویتی معتبر و درست دریافت کرده است.
در روش احراز هویت یکپارچه، اطلاعات هویتی که بین ارائهدهندهها جابهجا میشوند، معمولا به صورت توکنهایی هستند که اطلاعاتی در مورد کاربر مثل ایمیل، نام کاربری و ... را شامل میشوند. معمولا جریان ورود با وجود فرایند احراز هویت یکپارچه برای ورودی به سامانههای مختلف به صورت زیر میباشد:
هنگامی که کاربر سعی میکند به وب سایت دیگری دسترسی پیدا کند، وب سایت جدید باید یک رابطه اعتماد مشابه با راهحل SSO پیکربندی شده داشته باشد و جریان احراز هویت مراحل مشابهی را دنبال میکند.
اما سوال اصلی این که چرا یک سازمان باید از احراز هویت یکپارچه استفاده کند؟ مهمترین مزیت که استفاده از این روش برای یک سازمان خواهد داشت این است که سازمان میتواند برای تمامی کاربران خود یک مجموعه یکسان از اطلاعات هویتی را برای دسترسی به تمامی سرویسهای فناوری اطلاعات (IT) فراهم کند. همچنین استفاده از احراز هویت یکپارچه میزان بهرهوری، امنیت و تجربه کاربری کاربران و تیمها را افزایش میدهد.
زمانی که کاربران از روش احراز هویت یکپارچه استفاده میکنند، حجم زیادی از ارتباط میان کاربران با تیمهای فناوری اطلاعات (IT) کاهش پیدا میکند که این هم در وقت کاربران و هم تیم توسعه زیرساخت صرفهجویی میکند. همچنین زمانی که امنیت را در یک راهحل کامل که شامل احراز هویت یکپارچه میشود بررسی میکنیم، مدیران فناوری اطلاعات میتوانند به طور متمرکز الزامات رمز عبور، احراز هویت چند عاملی و دسترسی مشروط را در تمام منابع فناوری اطلاعات مورد استفاده در سازمان خود اعمال کنند و آنها میتوانند با اطمینان بدانند که فقط افراد مناسب به منابع حیاتی شرکت دسترسی دارند.
راهحلهای پیادهسازی احراز هویت یکپارچه متنوع بوده و تنها به یک روش خاص منتهی نمیشوند. هر کدام از این روشها، مزایا و معایب خود را به دنبال خواهند داشت. اگر چه مزایا بسیار بیشتر از هرگونه معایب احتمالی است، مهم است که هنگام تصمیمگیری، تمام اطلاعات را در ذهن داشته بایم.
خوشبختانه، بسیاری از معایب احراز هویت یکپارچه را میتوان با استفاده از یک راهحل بزرگتر مثل سرویس مدیریت دسترسی (IAM) که شامل احراز هویت یکپارچه نیز میباشد، به همراه اجرای سیاستهای خاص برای کارمندان، حل نمود.
این سرویس، یک سرویس منبعباز (open source) میباشد که برای مدیریت دسترسی و هویت (IAM) استفاده میشود. این نرمافزار به راحتی سرویسی امن و احراز هویت قوی را ارائه میدهد. این ابزار امکاناتی از جمله موارد زیر ا فراهم میکند:
این نرمافزار، یک نرمافزار منبع باز (open source) میباشد که به راحتی قابلیتهای مدیریت دسترسی و هویت را برای شما فراهم میکند. امنیت برنامهها و سرویسها را با کد کم یا بدون کد آسان میکند.
کاربران با Keycloak به جای تک تک برنامههای مختلف احراز هویت میکنند. این بدان معنی است که برنامههای شما نیازی به تعبیهی فرآیندی برای ورود به سیستم، احراز هویت کاربران و ذخیره کاربران ندارند. پس از ورود به Keycloak، کاربران برای دسترسی به یک برنامه دیگر نیازی به ورود مجدد به سیستم ندارند. این در مورد خروج نیز اعمال میشود. Keycloak یک خروجی یکتا را نیز فراهم میکند، به این معنی که کاربران فقط باید یک بار از سیستم خارج شوند تا از همه برنامههایی که از Keycloak استفاده میکنند خارج شوند.
فعال کردن ورود به سیستم با شبکه های اجتماعی به راحتی از طریق کنسول مدیریت اضافه میشود. فقط مسئلهی انتخاب شبکه اجتماعی است که می خواهید اضافه کنید و هیچ کد یا تغییری در برنامه لازم نیست!
نرمافزار Keycloak دارای پشتیبانی داخلی برای اتصال به سرورهای LDAP یا Active Directory موجود است. همچنین از طریق کنسول مدیریت، مدیران میتوانند تمام جنبههای سرور Keycloak را به صورت مرکزی مدیریت و شخصیسازی کنند. آنها می توانند ویژگیهای مختلف را به سادگی فعال و غیرفعال کنند. آنها میتوانند کارگزاری هویت و فدراسیون کاربر را پیکربندی کنند. آنها میتوانند برنامهها و خدمات را ایجاد و مدیریت کنند و خط مشیهای مجوز دقیق را تعریف کنند. آنها همچنین میتوانند کاربران از جمله مجوزها و جلسات را با مطابق با نیاز خود مدیریت کنند.
از طریق صفحهی مدیریت حساب، کاربران میتوانند حسابهای خود را مدیریت کنند. آنها میتوانند تنظیمات خود را به روز کنند، رمزهای عبور را تغییر دهند و احراز هویت دو مرحلهای را در صورت نیاز برای خود فعال و تنظیم کنند. کاربران همچنین میتوانند جلسات را مدیریت کنند و همچنین تاریخچه حساب خود را مشاهده کنند. اگر ورود به سیستم اجتماعی یا واسطهگری هویت را فعال کرده باشند، کاربران میتوانند حسابهای خود را با ارائهدهندگان دیگری پیوند دهند تا به آنها اجازه دهند تا در همان حساب با ارائهدهندگان هویت مختلف احراز هویت شوند.
شرکت آتین، یک شرکت دانشبنیان و مستقر در پارک علم و فناوری دانشگاه تهران میباشد که در سال 1396 فعالیت خود را در حوزه ارائهی خدمات احراز هویت آغاز کرده است.
این شرکت با بررسی نمونههای مشابه خارجی و بر اساس نیازهای داخلی کشور، درحوزه احراز هویت، اقدام به توسعه سامانه مدیریت هویت و دسترسی نموده است. تیم فنی آتین از فارغ التحصیلان دانشگاههای برتر کشور در حوزه نرمافزار و امنیت اطلاعات و با پشتوانه سابقه چندین ساله در حوزه احراز هویت و کنترل دسترسی تشکیل شده است.
آتین یک سرویس مدیریت هویت و دسترسی است که با تمرکز ویژه بر رضایت مشتری بر بستر زیرساخت ابری توسعه یافته است. با استفاده از سامانه آتین مراکز و سرویس دهندههای فناوری اطلاعات به راحتی میتوانند دسترسی دستگاههای مختلف داخل سازمان یا اشخاصی از جمله کارمندان، شرکای تجاری و مشتریان را به تمامی سامانهها به صورت متمرکز مدیریت نمایند. آتین تضمین میکند که دسترسی همه کاربران بر اساس سیاست واحد صورت گیرد و تمامی افراد و سرویسها، احراز هویت، مجوزدهی و نظارت شوند.
این شرکت در حوزههای مختلفی از جمله احراز هویت یکپارچه و ورود متمرکز یا احراز هویت چندعاملی برای سازمانهای و نهادهای دولتی مختلف، دانشگاهها و موسسات عالی، بانکها، شرکتهای تولیدی و صنعتی راهحل ارائه میدهد. با معرفی شرکت و نیازمندی خود به این شرکت، میتوانید از سرویسهای این شرکت در حوزهی احراز هویت یکپارچه بهرهمند شوید.
برای اطلاعات بیشتر نسبت به مزایای این شرکت و نحوهی استفاده از آن میتوانید به آدرس «سامانهی احراز هویت متمرکز آتین» مراجعه نمایید.
شرکت دانش بنیان فناوران هویت الکترونیکی امن (هویتا)، فعالیت خود را از سال 1381 در کشور آغاز نموده و هدف آن، توسعه محصولات و خدمات حوزه زیرساخت مانند احراز هویت و هویتسنجی دیجیتال و ... به منظور تأمین امنیت اطلاعات و ارتباطات میباشد.
سامانه احراز هویت ParsSSO شرکت هویتا، سرویسهای احراز هویت و امضای دیجیتال مبتنی بر PKI را ارائه میدهد. احراز هویت در این سامانه به صورت Single Sign-On است یعنی تنها با یکبار احراز هویت، کاربر میتواند از تمامی سامانه های سازمان بدون نیاز به احراز هویت مجدد استفاده نماید. همچنین مدیریت یکپارچه کاربران، مشکلات مربوط به سرپرستی سامانه ها را به صورت چشمگیری کاهش میدهد. با تعریف یک کاربر، دسترسی کاربر در تمامی سامانهها به صورت خودکار ایجاد میگردد و با حذف دسترسی، در تمامی سامانهها از ورود کاربر جلوگیری خواهد شد. علاوه بر این، محصول ParsSSO با ارائه درگاه امضای دیجیتال، باعث حذف فرآیند PK-Enabling در سامانههای نرم افزاری میگردد که منجر به کاهش چشمگیر زمان و هزینههای سازمان در تجهیز سامانهها به زیرساخت کلید عمومی میشود. این سامانه از دو زیرسامانه Identity Provider و Digital Signature Gateway تشکیل شده است.
برای اطلاعات بیشتر نسبت به مزایای این سرویس و نحوهی استفاده از آن میتوانید به آدرس «سامانهی احراز هویت متمرکز هویتا» مراجعه نمایید.
این مطلب، بخشی از تمرینهای درس معماری نرمافزار در دانشگاه شهیدبهشتی است.
