Apidog

Nền tảng phát triển API hợp tác tất cả trong một

Thiết kế API

Tài liệu API

Gỡ lỗi API

Giả lập API

Kiểm thử API tự động

Đăng ký miễn phí
Tải xuốngCho Mac hoặc Linux
Home

/

Bạn được đào tạo trên dữ liệu đến tháng 10 năm 2023.

Bạn được đào tạo trên dữ liệu đến tháng 10 năm 2023.

Trong bài viết này, chúng tôi sẽ giới thiệu thông tin cơ bản về xác thực một lần (SSO), như cơ chế, loại hình, ưu điểm và nhược điểm. Nếu bạn muốn tìm hiểu sâu hơn về SSO, vui lòng tham khảo bài viết này.

Minh Triết

Minh Triết

Updated on tháng 11 29, 2024

Đăng nhập một lần (SSO) đề cập đến một phương thức xác thực được sử dụng rộng rãi trong các doanh nghiệp và tổ chức vừa đến lớn, cho phép người dùng truy cập nhiều hệ thống và ứng dụng bằng một lần đăng nhập duy nhất.

Hệ thống này đặc biệt được ưa chuộng vì sự tiện lợi trong việc quản lý xác thực người dùng trên nhiều nền tảng một cách liền mạch. Trong bài viết này, chúng tôi sẽ giới thiệu những điều cơ bản về Đăng nhập một lần (SSO), bao gồm cơ chế, loại hình, và ưu nhược điểm của nó.

Đăng nhập một lần (SSO) là gì?

Đăng nhập một lần (SSO) là một hệ thống xác thực được sử dụng rộng rãi trong các doanh nghiệp và tổ chức vừa đến lớn. Nó cho phép người dùng truy cập nhiều hệ thống và ứng dụng bằng một thông tin xác thực đăng nhập duy nhất.

Ví dụ, bằng cách sử dụng Đăng nhập một lần (SSO) của Microsoft, nhân viên có thể truy cập không chỉ các dịch vụ của Microsoft mà còn các dịch vụ bên thứ ba như Salesforce, Google Workspace, và Slack, tất cả được cấu hình để tích hợp với SSO bằng địa chỉ email được công ty giao (ví dụ, username@companyname.com) và mật khẩu của họ. Khi đăng nhập qua SSO, các cài đặt tổ chức và quyền truy cập của người dùng sẽ được áp dụng tự động.

SSO hoạt động như thế nào?

Cơ chế của SSO Hãy tìm hiểu cách mà SSO được triển khai. Quy trình cơ bản của SSO có thể chia thành nhiều giai đoạn, bất kể phương thức triển khai cụ thể. Đây là một quy trình làm việc chung:

Thiết lập ban đầu:

  • Quản trị hệ thống cấu hình một máy chủ trung tâm (Nhà cung cấp danh tính - IdP) để quản lý thông tin xác thực. Máy chủ này lưu trữ thông tin xác thực của người dùng và giám sát quá trình xác thực.
  • Mỗi dịch vụ hoặc ứng dụng mà người dùng sẽ truy cập được đăng ký với máy chủ trung tâm này.

Truy cập người dùng và chuyển hướng:

  • Khi một người dùng cố gắng truy cập một dịch vụ hoặc ứng dụng cụ thể, Nhà cung cấp dịch vụ (SP) kiểm tra xem người dùng có được xác thực hay không.
  • Nếu chưa được xác thực, SP chuyển hướng người dùng đến trang đăng nhập của Nhà cung cấp danh tính (IdP), bao gồm thông tin về dịch vụ mà người dùng dự định truy cập.

Quá trình xác thực:

  • Tại trang đăng nhập IdP, người dùng nhập thông tin xác thực của mình (thông thường là tên người dùng và mật khẩu).
  • IdP kiểm tra các thông tin xác thực này và xác thực người dùng.
  • Các bước xác thực bổ sung, chẳng hạn như Xác thực nhiều yếu tố (MFA) như thông báo đẩy đến điện thoại thông minh hoặc quét vân tay, có thể được yêu cầu nếu được cấu hình.

Tạo và truyền phát mã thông báo:

  • Khi xác thực thành công, IdP tạo ra một mã thông báo xác thực. Mã thông báo này bao gồm thông tin như danh tính người dùng, tình trạng xác thực và thời gian hết hạn.
  • IdP truyền mã thông báo này cho SP qua trình duyệt của người dùng.

Xác thực và phân quyền mã thông báo:

  • SP xác thực mã thông báo đã nhận. Nó đảm bảo rằng mã thông báo là hợp lệ và được phát hành bởi một IdP đáng tin cậy.
  • Khi xác thực thành công, SP cấp quyền truy cập cho người dùng đến các tài nguyên mà không yêu cầu xác thực bổ sung.

Quản lý phiên:

  • IdP duy trì phiên xác thực của người dùng. Nếu người dùng cố gắng truy cập một SP khác, IdP phát hành một mã thông báo mới mà không cần yêu cầu quá trình xác thực mới, tạo điều kiện cho việc truy cập liền mạch giữa các dịch vụ.

Đăng xuất một lần (SLO):

  • Nếu người dùng chọn đăng xuất, IdP gửi thông báo đăng xuất đến tất cả các SP. Điều này cho phép người dùng đăng xuất khỏi tất cả các dịch vụ bằng một thao tác đăng xuất duy nhất, nâng cao tính bảo mật và giảm thiểu rủi ro để lại phiên hoạt động không mong muốn.

Bảo mật và giám sát:

  • Bảo mật là điều tối quan trọng trong các hệ thống SSO, với tất cả các giao tiếp được mã hóa (HTTPS).
  • Mã thông báo có thời gian hết hạn và cần được làm mới thường xuyên.
  • Quản trị hệ thống giám sát nhật ký truy cập định kỳ để phát hiện bất kỳ hoạt động nghi ngờ nào.
  • Triển khai Xác thực nhiều yếu tố (MFA) càng nâng cao tính bảo mật.

Các loại Đăng nhập một lần (SSO)

Các loại Đăng nhập một lần (SSO) SSO sử dụng nhiều giao thức khác nhau, mỗi giao thức phù hợp với các môi trường và yêu cầu khác nhau. Dưới đây là một số giao thức SSO phổ biến:

SAML (Ngôn ngữ Đánh dấu Xác thực Bảo mật)

  • SAML là một giao thức chủ yếu được sử dụng trong môi trường doanh nghiệp. Nó cho phép trao đổi thông tin xác thực giữa các Nhà cung cấp danh tính và Nhà cung cấp dịch vụ, khiến nó trở nên đặc biệt phù hợp cho các triển khai Đăng nhập một lần dựa trên trình duyệt.

Luồng hoạt động

  • Người dùng truy cập SP
  • SP chuyển hướng đến IdP
  • IdP xác thực người dùng
  • IdP gửi xác thực SAML cho SP
  • SP cấp quyền truy cập cho người dùng
SAML

SAML cung cấp một số lợi ích. Nó cung cấp mức độ bảo mật cao, điều này rất quan trọng cho các ứng dụng doanh nghiệp. Thêm vào đó, nó cho phép trao đổi thông tin thuộc tính chi tiết, giúp các Nhà cung cấp dịch vụ có thêm bối cảnh về người dùng đã được xác thực.

OAuth 2.0:

  • Chủ yếu là một giao thức ủy quyền, thường được sử dụng cho SSO để cấp cho các ứng dụng quyền truy cập vào tài nguyên thay mặt người dùng.
OAuth 2.0

OAuth 2.0 hỗ trợ nhiều loại cấp quyền để phù hợp với các kịch bản khác nhau.

  • Luồng mã ủy quyền
  • Luồng ngầm
  • Thông tin xác thực mật khẩu của chủ sở hữu tài nguyên
  • Thông tin xác thực của khách hàng

Bao gồm các Luồng mã ủy quyền, phù hợp cho các ứng dụng máy chủ. Luồng ngầm được thiết kế cho các ứng dụng phía khách hàng. Loại cấp quyền thông tin xác thực mật khẩu của chủ sở hữu tài nguyên được sử dụng khi có sự tin tưởng cao giữa người dùng và máy khách.

Cuối cùng, loại cấp quyền thông tin xác thực khách hàng được sử dụng cho giao tiếp giữa máy với máy, nơi không cần sự tham gia của người dùng.

OpenID Connect (OIDC):

  • OpenID Connect mở rộng OAuth 2.0 bằng cách thêm khả năng xác thực mạnh mẽ. Nó sử dụng JSON Web Tokens (JWT) để trao đổi thông tin an toàn, khiến nó trở nên đặc biệt phù hợp cho các API RESTful. Được xây dựng trên OAuth 2.0, thêm một lớp xác thực cho phép khách hàng xác minh danh tính người dùng và thu thập thông tin hồ sơ cơ bản.
OIDC

Luồng

  1. Khách hàng gửi yêu cầu ủy quyền
  2. Người dùng xác thực và ủy quyền
  3. Mã ủy quyền được trả lại
  4. Khách hàng thu được mã thông báo truy cập và mã thông báo ID.
  5. Lấy Thông tin Người dùng (Tùy chọn)

Mỗi giao thức này phù hợp với các trường hợp sử dụng và yêu cầu khác nhau, vì vậy rất quan trọng để chọn giao thức phù hợp dựa trên nhu cầu và hạ tầng hiện có của tổ chức bạn.

Ưu và nhược điểm của SSO

Như đã nêu, SSO mang lại nhiều lợi ích như cải thiện sự tiện lợi cho người dùng, nâng cao tính bảo mật, giảm chi phí quản lý, tăng năng suất, cải thiện sự tuân thủ, dễ dàng tích hợp với các ứng dụng mới, giảm thiểu rủi ro cho các sự cố bảo mật và xác thực đồng nhất trên nhiều thiết bị.

Tuy nhiên, nó cũng mang lại những thách thức như là điểm thất bại duy nhất, tập trung rủi ro bảo mật, độ phức tạp và chi phí ban đầu của việc triển khai, khóa nhà cung cấp, phụ thuộc vào người dùng, lo ngại về quyền riêng tư, phức tạp trong việc tuân thủ, vấn đề quản lý phiên, và độ phức tạp trong việc tích hợp MFA một cách hiệu quả.

Kết luận

Đăng nhập một lần (SSO) rất quan trọng trong các môi trường kỹ thuật số hiện đại để cân bằng sự tiện lợi của người dùng với tính bảo mật được cải thiện. Hiểu rõ các cơ chế, loại hình và ưu nhược điểm của nó giúp các tổ chức chọn lựa giải pháp phù hợp dựa trên nhu cầu của họ.

Triển khai SSO một cách hiệu quả có thể cải thiện đáng kể hiệu suất và bảo mật trong một tổ chức, nhưng cần có các biện pháp bảo mật liên tục và giáo dục người dùng để tối đa hóa lợi ích của nó.