Logon único - Single sign-on

O logon único ( SSO ) é um esquema de autenticação que permite a um usuário fazer logon com um único ID e senha em qualquer um dos vários sistemas de software relacionados, mas independentes.

O logon único verdadeiro permite que o usuário efetue logon uma vez e acesse os serviços sem inserir novamente os fatores de autenticação.

Não deve ser confundido com o mesmo logon (Autenticação do servidor de diretório), geralmente realizado usando o protocolo LDAP ( Lightweight Directory Access Protocol ) e bancos de dados LDAP armazenados em servidores (diretório).

Uma versão simples de logon único pode ser obtida em redes IP usando cookies, mas somente se os sites compartilharem um domínio DNS pai comum.

Para maior clareza, é feita uma distinção entre Autenticação do Servidor de Diretório (mesmo logon) e logon único: Autenticação do Servidor de Diretório refere-se a sistemas que requerem autenticação para cada aplicativo, mas usando as mesmas credenciais de um servidor de diretório, enquanto logon único se refere para sistemas em que uma única autenticação fornece acesso a vários aplicativos, passando o token de autenticação perfeitamente para os aplicativos configurados.

Por outro lado, a assinatura ou o logout único ( SLO ) é a propriedade pela qual uma única ação de desconexão encerra o acesso a vários sistemas de software.

Como diferentes aplicativos e recursos oferecem suporte a diferentes mecanismos de autenticação , o logon único deve armazenar internamente as credenciais usadas para autenticação inicial e convertê-las nas credenciais necessárias para os diferentes mecanismos.

Outros esquemas de autenticação compartilhada, como OpenID e OpenID Connect , oferecem outros serviços que podem exigir que os usuários façam escolhas durante um logon em um recurso, mas podem ser configurados para logon único se esses outros serviços (como consentimento do usuário) estão desativados. Um número crescente de logons sociais federados, como o Facebook Connect , exige que o usuário insira opções de consentimento no primeiro registro com um novo recurso e, portanto, nem sempre é um logon único no sentido mais estrito.

Benefícios

Os benefícios de usar o logon único incluem:

• Mitigar o risco de acesso a sites de terceiros ("autenticação federada") porque as senhas dos usuários não são armazenadas ou gerenciadas externamente
• Reduz o cansaço da senha de diferentes combinações de nome de usuário e senha
• Reduza o tempo gasto para inserir senhas novamente para a mesma identidade
• Reduza os custos de TI devido ao menor número de chamadas ao help desk de TI sobre senhas

• Administração mais simples. As tarefas relacionadas ao SSO são realizadas de forma transparente como parte da manutenção normal, usando as mesmas ferramentas usadas para outras tarefas administrativas.
• Melhor controle administrativo. Todas as informações de gerenciamento de rede são armazenadas em um único repositório. Isso significa que há uma lista única e autorizada dos direitos e privilégios de cada usuário. Isso permite que o administrador altere os privilégios de um usuário e saiba que os resultados serão propagados por toda a rede.
• Maior produtividade do usuário. Os usuários não se atrapalham mais com vários logons, nem são obrigados a lembrar várias senhas para acessar os recursos da rede. Isso também é um benefício para a equipe de help desk, que precisa atender a menos solicitações de senhas esquecidas.
• Melhor segurança de rede. A eliminação de várias senhas também reduz uma fonte comum de violações de segurança - os usuários anotam suas senhas. Por fim, devido à consolidação das informações de gerenciamento da rede, o administrador pode saber com certeza que, ao desabilitar a conta de um usuário, a conta é totalmente desabilitada.
• Consolidação de redes heterogêneas. Ao ingressar em redes distintas, os esforços administrativos podem ser consolidados, garantindo que as melhores práticas administrativas e as políticas de segurança corporativa sejam aplicadas de maneira consistente.

O SSO compartilha servidores de autenticação centralizados que todos os outros aplicativos e sistemas usam para fins de autenticação e combina isso com técnicas para garantir que os usuários não tenham que inserir ativamente suas credenciais mais de uma vez.

Crítica

O termo logon reduzido (RSO) tem sido usado por alguns para refletir o fato de que o logon único é impraticável para atender à necessidade de diferentes níveis de acesso seguro na empresa e, como tal, mais de um servidor de autenticação pode ser necessário .

Como o logon único fornece acesso a muitos recursos depois que o usuário é autenticado inicialmente ("chaves do castelo"), aumenta o impacto negativo caso as credenciais estejam disponíveis para outras pessoas e sejam mal utilizadas. Portanto, o logon único requer um foco maior na proteção das credenciais do usuário e, de preferência, deve ser combinado com métodos de autenticação fortes, como cartões inteligentes e tokens de senha de uso único .

O logon único também torna os sistemas de autenticação altamente críticos; a perda de sua disponibilidade pode resultar na negação de acesso a todos os sistemas unificados sob o SSO. O SSO pode ser configurado com recursos de failover de sessão para manter a operação do sistema. No entanto, o risco de falha do sistema pode tornar o logon único indesejável para sistemas cujo acesso deve ser garantido o tempo todo, como sistemas de segurança ou de chão de fábrica.

Além disso, o uso de técnicas de logon único utilizando serviços de rede social , como o Facebook, pode tornar sites de terceiros inutilizáveis ​​em bibliotecas, escolas ou locais de trabalho que bloqueiam sites de mídia social por motivos de produtividade. Ele também pode causar dificuldades em países com regimes de censura ativos , como a China e seu " Projeto Escudo Dourado " , onde o site de terceiros pode não ser censurado ativamente, mas é efetivamente bloqueado se o login social de um usuário for bloqueado.

Segurança

Em março de 2012, um artigo de pesquisa relatou um extenso estudo sobre a segurança dos mecanismos de login social . Os autores encontraram 8 falhas lógicas sérias em provedores de ID de alto perfil e sites de terceiros, como OpenID (incluindo Google ID e PayPal Access), Facebook , Janrain , Freelancer , FarmVille e Sears.com . Como os pesquisadores informaram aos provedores de ID e sites de terceiros antes do anúncio público da descoberta das falhas, as vulnerabilidades foram corrigidas e nenhuma violação de segurança foi relatada.

Em maio de 2014, uma vulnerabilidade chamada Covert Redirect foi divulgada. Foi relatado pela primeira vez como "Vulnerabilidade de redirecionamento oculto relacionada ao OAuth 2.0 e OpenID" por seu descobridor Wang Jing, um estudante de doutorado em matemática da Universidade Tecnológica de Nanyang , Cingapura. Na verdade, quase todos os protocolos de logon único são afetados. O Covert Redirect tira proveito dos clientes de terceiros suscetíveis a um XSS ou Open Redirect.

Em dezembro de 2020, foi descoberto que falhas nos sistemas de autenticação federada foram utilizadas por invasores durante a violação de dados do governo federal dos Estados Unidos em 2020 .

Devido à forma como o logon único funciona, enviando uma solicitação ao site conectado para obter um token SSO e enviando uma solicitação com o token ao site desconectado, o token não pode ser protegido com o sinalizador de cookie HttpOnly e, portanto, pode ser roubado por um invasor se houver uma vulnerabilidade de XSS no site desconectado, para fazer o sequestro de sessão . Outro problema de segurança é que se a sessão usada para SSO for roubada (que pode ser protegida com o sinalizador de cookie HttpOnly ao contrário do token SSO), o invasor pode acessar todos os sites que estão usando o sistema SSO.

Privacidade

Conforme implementado originalmente em Kerberos e SAML, o logon único não dava aos usuários nenhuma escolha sobre a liberação de suas informações pessoais para cada novo recurso que o usuário visitava. Isso funcionou bem dentro de uma única empresa, como o MIT, onde o Kerberos foi inventado, ou grandes corporações, onde todos os recursos eram sites internos. No entanto, conforme os serviços federados como os Serviços de Federação do Active Directory proliferaram, as informações privadas do usuário foram enviadas para sites afiliados que não estavam sob controle da empresa que coletou os dados do usuário. Como as regulamentações de privacidade agora estão ficando mais rígidas com a legislação como o GDPR , os métodos mais recentes, como o OpenID Connect , começaram a se tornar mais atraentes; por exemplo, MIT, o originador do Kerberos, agora suporta OpenID Connect .

Endereço de e-mail

Em teoria, o logon único pode funcionar sem revelar informações de identificação, como endereços de e-mail para a parte confiável (consumidor de credencial), mas muitos provedores de credencial não permitem que os usuários configurem quais informações são repassadas ao consumidor de credencial. A partir de 2019, o login do Google e do Facebook não exige que os usuários compartilhem endereços de e-mail com o consumidor da credencial. ' Sign in with Apple ' introduzido no iOS 13 permite que um usuário solicite um endereço de e-mail de retransmissão exclusivo cada vez que o usuário se inscreve em um novo serviço, reduzindo assim a probabilidade de vinculação de conta pelo consumidor de credencial.

Configurações comuns

Baseado em Kerberos

• O logon inicial solicita ao usuário as credenciais e obtém um tíquete de concessão de tíquete Kerberos (TGT).
• Aplicativos de software adicionais que requerem autenticação, como clientes de e-mail , wikis e sistemas de controle de revisão , usam o tíquete de concessão de tíquetes para adquirir tíquetes de serviço, provando a identidade do usuário para o servidor de e-mail / servidor wiki / etc. sem solicitar que o usuário volte a insira as credenciais.

Ambiente Windows - o login do Windows busca o TGT. Os aplicativos cientes do Active Directory buscam tíquetes de serviço, de forma que o usuário não seja solicitado a se autenticar novamente.

Ambiente Unix / Linux - Login via módulos Kerberos PAM obtém TGT. Os aplicativos cliente Kerberizados, como Evolution , Firefox e SVN, usam tíquetes de serviço, de forma que o usuário não seja solicitado a se autenticar novamente.

Baseado em cartão inteligente

O logon inicial solicita ao usuário o cartão inteligente . Os aplicativos de software adicionais também usam o cartão inteligente, sem solicitar que o usuário insira novamente as credenciais. O logon único baseado em cartão inteligente pode usar certificados ou senhas armazenadas no cartão inteligente.

Autenticação Integrada do Windows

Autenticação integrada do Windows é um termo associado aosprodutos da Microsoft e refere-se aosprotocolos de autenticação SPNEGO , Kerberos e NTLMSSP com relação àfuncionalidade SSPI introduzida no Microsoft Windows 2000 e incluídanos sistemas operacionais baseados no Windows NT posteriores. O termo é mais comumente usado para se referir às conexões autenticadas automaticamente entre o Microsoft Internet Information Services e o Internet Explorer . Os fornecedores de integração deplataforma cruzada do Active Directory ampliaram o paradigma de autenticação integrada do Windows para sistemas Unix (incluindo Mac) e Linux.

Linguagem de marcação para asserção de segurança

Security Assertion Markup Language (SAML) é um método baseado em XML para trocar informações de segurança do usuário entre um provedor de identidade SAML e um provedor de serviços SAML . O SAML 2.0 oferece suporte à criptografia W3C XML e às trocas de logon único do navegador da Web iniciadas pelo provedor de serviços. Um usuário empunhando um agente de usuário (geralmente um navegador da web) é chamado de assunto no logon único baseado em SAML. O usuário solicita um recurso da web protegido por um provedor de serviços SAML. O provedor de serviços, desejando saber a identidade do usuário, emite uma solicitação de autenticação a um provedor de identidade SAML por meio do agente do usuário. O provedor de identidade é aquele que fornece as credenciais do usuário. O provedor de serviços confia nas informações do usuário do provedor de identidade para fornecer acesso a seus serviços ou recursos.

Configurações emergentes

Dispositivos móveis como credenciais de acesso

Uma variação mais recente de autenticação de logon único foi desenvolvida usando dispositivos móveis como credenciais de acesso. Os dispositivos móveis dos usuários podem ser usados ​​para conectá-los automaticamente a vários sistemas, como sistemas de controle de acesso a edifícios e sistemas de computador, por meio do uso de métodos de autenticação que incluem OpenID Connect e SAML, em conjunto com um X.509 ITU-T certificado de criptografia usado para identificar o dispositivo móvel para um servidor de acesso.

Um dispositivo móvel é "algo que você tem", em oposição a uma senha que é "algo que você conhece", ou biometria (impressão digital, varredura de retina, reconhecimento facial etc.), que é "algo que você é". Os especialistas em segurança recomendam o uso de pelo menos dois desses três fatores ( autenticação multifator ) para obter a melhor proteção.

Veja também

• Serviço de autenticação central
• Gerenciamento de identidade
• Sistemas de gerenciamento de identidade
• Lista de implementações de logon único
• Linguagem de marcação para asserção de segurança
• Usabilidade de sistemas de autenticação na web

Referências

links externos

• Introdução de logon único com diagramas