Single Sign-On (SSO) konečně komfort pro uživatele Konference ISSS – duben 2008 Pavel Novotný, NESS
Typický informační systém Skládačka několika samostatných systémů •více či méně integrovaných (kromě autentizace) Snaha o zvýšení bezpečnosti •autentizace (nejčastěji heslem) •politika hesel (síla, neuhádnutelnost, omezená platnost,...) Dopad na uživatele •X přihlašovacích oken •X silných (= těžko zapamatovatelných) hesel
Výsledek přísnější politiky hesel
Základní typy řešení SSO Enterprise SSO •aplikace na klientské stanici •odchytává a vyplňuje za uživatele přihlašovací okna •pamatuje si hesla (generuje nová) = lokálně + na serveru •výhody – pokryje téměř vše, propojení s kartami •nevýhody – bezpečnost na klientské straně, instalace na klienty, nutnost zabezpečit komunikaci C S
Základní typy řešení SSO Web SSO •řešeno na serverech (+ Kerberos na klientské stanici) •centrální Policy Manager (nebo KDC) + agenti pro WS, AS,... •ověřuje autentizaci, kterou provedla centrální serverová služba •výhody – bezpečnost řešena na serverové straně, není potřeba zabezpečovat komunikaci •nevýhody – ne pro C/S aplikace (primárně pro webové aplikace)
Jak postupovat při rozhodování o SSO Předpoklad = pořádek v uživatelích –jednoznačný identifikátor –v adresářovém serveru Zodpovědět si otázky: •Které aplikace chceme do SSO zařadit? –Které jsou ty nejdůležitější, kolik je používá uživatelů? –Jsou C/S nebo webové? Jaké budou v příští verzi? –Jakou autentizaci podporují? •Chceme současně přejít na silnější autentizaci? •Technologická kompatibilita: –Převládající serverová platforma? –Používáme už někde Kerberos?