ما المقصود بتسجيل الدخول الموحد (SSO)؟ كيف يعمل تسجيل الدخول الموحد؟

أرت ويتمان | مدير المحتوى | 22 أكتوبر 2024

في هذه المقالة

جميعنا يفعل ذلك، ونعلم أننا لا ينبغي علينا ذلك. هناك هذا الملف على هاتفنا أو قطعة من الورق في محفظتنا - أو الأسوأ من ذلك، ملاحظة ما بعد ذلك عالقة في الجزء الخلفي من لوحة المفاتيح لدينا - تسرد أسماء المستخدمين وكلمات المرور الخاصة بنا. ثم هناك عادة استخدام اسم كلبنا بجانب عدد قليل من الأرقام وبعض علامات الترقيم.

الحقيقة هي أن الحياة الحديثة في عالم الويب تعني أننا بحاجة إلى تتبع عشرات أسماء الحسابات وكلمات المرور بطريقة أو بأخرى. ما لم تكن موهوبًا بذاكرة رائعة، فلن تكون جميعها مختلفة. إنها بسيطة في الغالب، وهي قديمة، وإذا جربها شخص ما حقًا، فسيكون من الممكن تخمينه. إنها هدية لمجرمي الإنترنت المحتملين، ويمكن تجنبها بنسبة 100%.

ما هو SSO (تسجيل الدخول الموحد)؟

تقنية تسجيل الدخول الموحد هي حل جزئي لمشكلة كلمة المرور التي تصيبنا في العمل وفي حياتنا الشخصية. يسمح لنا بتسجيل الدخول مرة واحدة إلى خادم المصادقة، والذي يصدر بعد ذلك شهادات نيابة عنا تعمل كبيانات اعتماد تم التحقق منها للتطبيقات المشاركة.

هناك احتمالات أنك استخدمت مثل هذا النظام. إذا اخترت "تسجيل الدخول باستخدام Apple" أو Google أو نظام إدارة هوية بائع كبير آخر بدلاً من إنشاء كلمة مرور جديدة لتطبيق ويب، فأنت تستخدم SSO. بشكل متزايد، يتم استخدام SSO في المؤسسة أيضًا، في كثير من الأحيان بالاقتران مع تقنيات التفويض الأخرى لتأمين أنظمة المؤسسة وجعل صيانة كلمة المرور قابلة للاستمرار عبر عشرات إلى مئات التطبيقات والخدمات.

النقاط الرئيسة

  • يخفف تسجيل الدخول الموحد من عبء تذكر الفرد للعديد من مجموعات كلمة المرور واسم المستخدم.
  • يجعل تسجيل الدخول الموحد الحياة أسهل لفرق تكنولوجيا المعلومات من خلال منحهم نظام مصادقة واحد فقط لإدارته للمؤسسة بأكملها.
  • كما يتيح تسجيل الدخول الموحد للتطبيقات مصادقة المستخدمين على الخدمات التي يحتاج التطبيق إلى تشغيلها، مثل تلك التي تدير اتصالات الشبكة أو تتحقق من تحديثات البرامج.

شرح SSO

مفهوم تسجيل الدخول الموحد واضح: بدلاً من توفير اسم مستخدم وكلمة مرور أو تعريف نفسك بطريقة أخرى لكل تطبيق تستخدمه، فإنك تقدم هذه المعلومات مرة واحدة فقط إلى خادم مصادقة. وبمجرد الانتهاء من ذلك، يرسل خادم المصادقة شهادات التعريف نيابة عنك عند الوصول إلى أي تطبيق يشارك في نظام SSO.

يقلل الدخول الموحد من عدد أسماء المستخدمين وكلمات المرور التي تحتاج إلى معرفتها. كما أنه يمكن أن يقلل بشكل كبير من عدد المرات التي يطلب منك فيها تقديم بيانات اعتماد الهوية، مما يسهل استخدام مجموعة واسعة من التطبيقات ومن المرجح أن تقوم بإنشاء كلمات مرور أقوى. من وجهة نظر مخططي تكنولوجيا المعلومات في المؤسسة، يتيح تسجيل الدخول الموحد لهم تحديث إجراءات الأمان ونشر آليات مصادقة أكثر تقدمًا لاستخدامها بواسطة خادم المصادقة، مما يتيح لجميع التطبيقات المشاركة التمتع بمصادقة أكثر أمانًا دون الحاجة إلى التعديل.

في حياتك الشخصية، فإن استخدام نظام مصادقة البائع الرئيس بدلاً من إعداد اسم مستخدم وكلمة مرور جديدين يدويًا في كل تطبيق يأتي مع العديد من المزايا. أحد الجوانب الرئيسية هو أن البائعين الكبار الذين يقدمون خدمات إدارة الهوية الموحدة جيدون في حماية كلمات المرور والبيانات الشخصية الأخرى التي يعهد بها العملاء إليهم. قد لا يحمي البائع الجديد الذي لديه تطبيق جديد بيانات الاعتماد التي تزوده بها جيدًا.

كيف يعمل تسجيل الدخول الموحد؟

يعمل SSO من خلال مطالبة المستخدمين بالتصديق على خادم SSO بدلاً من التطبيقات الفردية. بمجرد اكتمال عملية المصادقة هذه، يوفر خادم SSO شهادات للتطبيقات التي يرغب الفرد المصدق عليه في الوصول إليها. تعمل الشهادات على التحقق من هوية المستخدم.

عادةً ما تكون الشهادات صالحة لفترة زمنية معينة فقط وعادة ما تكون مرتبطة بالنظام الذي قام المستخدمون الفرديون بالتصديق على أنفسهم منه. للمشاركة، يجب كتابة التطبيقات بطريقة تمكنها من استخدام خدمة SSO. في المؤسسة، يختار مخططو تكنولوجيا المعلومات عادةً نموذج تسجيل دخول موحد واحد ثم يطلبون من التطبيقات استخدامه للتحقق من هويات الموظفين. قد تكون هذه مشكلة للتطبيقات القديمة والمتجانسة التي تنشئ مستودعات بيانات اعتماد المستخدم الخاصة بها أو التي قد لا تدعم بنيات SSO الشائعة.

طريقة عمل تسجيل الدخول الموحد لتبسيط مخطط الوصول الرقمي
إليك طريقة عمل تسجيل الدخول الموحد (SSO) لزيادة الأمان وتحسين تجربة المستخدم وتحسين الإنتاجية.

أنواع تكوين تسجيل الدخول الموحد العامة

تشترك مكونات ومفاهيم تسجيل الدخول الموحد المشتركة في العديد من الخصائص، بما في ذلك إدارة الهوية المركزية والتوحيد القياسي وتدابير الأمان القوية. يتمثل أحد المفاتيح في قابلية التشغيل البيني—تحتاج هذه الأنظمة إلى العمل معًا للتأكد من أن عملية المصادقة سهلة الاستخدام وتعمل بسلاسة عبر تطبيقات متعددة. عند تحقيق ذلك، ستجد فِرق تكنولوجيا المعلومات أنها قادرة على التفويض بكلمات مرور أكثر أمانًا ومصادقة ثنائية العوامل بأقل قدر من التراجع.

  • SAML. لغة ترميز تأكيد الأمان هي مواصفات فنية تصف بنية المستند الذي سيعمل على مصادقة المستخدمين على التطبيقات. يستخدم SAML معيار XML المقبول على نطاق واسع لتحديد هيكل المستند الذي تقوم خوادم الهوية - المعروفة أيضًا باسم موفري الهوية - بإنشائه وإرساله إلى التطبيقات. وغالبا ما تسمى هذه التطبيقات "مزودي الخدمة" في لغة SSO. سيقوم أي موفر هوية يستخدم SAML بتكوين بيانات اعتماد التصديق التي يمكن استخدامها بواسطة أي تطبيق على دراية بـ SAML، مما يجعله خيارًا جيدًا لتطبيقات الإنترنت.

    لا يوفر SAML آلية لضمان عدم تغيير معلومات التصديق التي يتلقاها التطبيق. يتم التعامل معها من قبل التكنولوجيا الأخرى.

  • Kerberos. تم إنشاؤه في معهد ماساتشوستس للتكنولوجيا في أواخر الثمانينات كجزء من مشروع أثينا، يعد Kerberos بنية تصديق واعتماد كاملة. سعى مشروع أثينا إلى إنشاء شبكة من موارد الكمبيوتر المتاحة عالميًا لطلاب معهد ماساتشوستس للتكنولوجيا في جميع أنحاء الحرم الجامعي. استخدم Kerberos في الأصل معيار تشفير البيانات (DES) لتشفير الرسائل التي تم تمريرها بين خوادم التصديق والتطبيقات. استخدم مفاتيح متماثلة 48 بت، مما يعني أن نفس المفتاح يستخدم لتشفير الرسائل وفك تشفيرها. في ذلك الوقت، كان DES هو الشكل الأكثر أمانًا للتشفير المتاح كمعيار يحتفظ به المعهد الوطني للمعايير والتقانة (NIST).

    في الوقت الحالي، يستخدم Kerberos معيار التشفير المتقدم (AES)، الذي حل محل DES في معايير التشفير NIST. يحدد AES مفاتيح أطول - يصل طولها إلى 256 بت - ويسمح بجولات متعددة من التشفير، مما يجعل النظام صعبًا للغاية.

    ونظرًا لأن Kerberos يستخدم تشفير مفتاح متماثل، فإنه يتطلب من طرف ثالث موثوق به إدارة المفاتيح، مما يجعله أكثر ملاءمة لتطبيقات المؤسسة حيث يمكن إنشاء نطاق استخدام بإحكام، وعادة ما يقتصر على شبكات LAN وشبكات VPN الخاصة بالمؤسسة. على الرغم من أنه يمكن استخدام Kerberos عبر الإنترنت إذ لن يتم إنشاء أي مجال باستخدام معيار مصادقة مختلف—تشفير المفتاح العام—لبدء العملية، إلا أنه نادرًا ما يتم استخدامه بهذه الطريقة. يمكن لـ Kerberos استخدام تنسيق بيانات الاعتماد الخاصة به أو تكوينه لاستخدام SAML. لا يزال شائعًا، بما في ذلك مع Microsoft، التي يتم ضبطها افتراضيًا على Kerberos بدلاً من نظام مصادقة NTLM الأقل أمانًا لشبكات المؤسسات.

  • OAuth. كإطار عمل اعتماد مفتوح لا يتضمن إطار عمل تصديق، فإن OAuth هو النظام الافتراضي عندما يحتاج تطبيق الإنترنت إلى الوصول إلى موارد خدمة محمية نيابة عن مستخدم. يستخدم معظم موفري السحابة، بما في ذلك Oracle باستخدام Oracle Cloud Infrastructure (OCI)، OAuth لإدارة الوصول إلى موارد السحابة الخاصة بهم. تقدم Oracle أيضًا المكتبات والخدمات التي تسهل على المطورين إنشاء تطبيقاتهم الخاصة التي تستخدم OAuth.

    فيما يلي المكونات الأساس لنظام OAuth:

    • نظام العميل، وهو تطبيق مستخدم نهائي بصفة عامة قد يرغب في الوصول إلى موارد الخدمات المختلفة المتاحة على الإنترنت.
    • خادم الاعتماد، الذي يستقبل طلبات الرموز المميزة التي ستسمح للعميل بالوصول إلى الخدمات المحمية. سيتلقى خادم الاعتماد طلبات الرموز المميزة بالإضافة إلى شهادة مصادقة العميل. سيصدر رموز الوصول التي تم اعتمادها بواسطة مالك المورد.
    • خادم الموارد، الذي يحتوي على المعلومات أو يوفر الخدمة التي يسعى العميل إلى استخدامها. يوفر البيانات أو الخدمات عندما يتلقى رموز وصول صالحة من العميل.

    يمكن تحديد مجموعة متنوعة من أنواع منح الوصول بواسطة رمز الوصول المميز. يتم إصدار أنواع مختلفة اعتمادًا على مستوى الثقة المطلوبة وطبيعة جهاز العميل. على سبيل المثال، قد يتلقى التلفاز الذكي منحة وصول مختلفة عن الكمبيوتر المحمول.

  • OpenID Connect (OIDC). OpenID Connect هو نظام إدارة الهوية الذي تم إنشاؤه للاستخدام مع OAuth. توفر OIDC وOAuth معًا بيئة تسجيل دخول موحد كاملة للتطبيقات المستندة إلى الويب والأنظمة الأصلية للإنترنت، مثل تطبيقات الأجهزة المحمولة. بدلاً من استخدام SAML كأساس لإرجاع معلومات بيانات الاعتماد، يستخدم OIDC مستند JSON المعروف باسم مقاطع ويب JSON، الموضح أدناه، وبروتوكولات RESTful؛ كلاهما أصلي على الإنترنت وبسيط للمطورين لاستخدامه.

    بدلاً من استخدام تشفير المفتاح المتماثل مثل Kerberos، يستخدم OIDC تشفير المفتاح العام، الذي يفسح المجال بشكل أفضل للشبكات التي لا مجال لها مثل الإنترنت.

  • مصادقة البطاقة الذكية. تستخدم أنظمة مثل OIDC تشفير المفتاح العام لضمان أن المستلمين المقصودين فقط يمكنهم رؤية البيانات المتبادلة مع موفر إدارة الهوية أثناء التصديق وبعده. تشفير المفتاح العام غير متماثل ويتضمن مفتاحًا عامًا، يمكن استخدامه لتشفير الرسائل المطلوب إرسالها إلى عميل أو خادم، ومفتاحًا خاصًا سريًا ويجب استخدامه لفك تشفير الرسائل.

    عادةً، يتم تخزين المفاتيح الخاصة على جهاز المستخدم. تأتي معظم أجهزة الكمبيوتر المحمولة مزودة بشريحة مقاومة للتلاعب تستخدم تقنية "وحدة منصة موثوق بها" (TPM) لفك تشفير الرسائل المخصصة للنظام. تستخدم هواتف Apple وAndroid أنظمة مختلفة، ولكنها متشابهة. ويطلق على Apple اسم Secure Enclave، ويطلق على Android اسم Android Knox. تتيح هذه التقنيات للجهاز توفير مفتاحه العام لأي نظام يطلبه بشكل صحيح وسيستخدم مفتاحه الخاص الذي لم يتم الكشف عنه مطلقًا لفك تشفير الرسائل التي يتلقاها.

    ميزة هذه الأنظمة في أن مستخدم الجهاز لا يحتاج إلى معرفة أي شيء عن كيفية التعامل مع التشفير على أنظمته. العيب هو أن كل جهاز يملكه المستخدم سيكون له زوج مفاتيح عام/خاص فريد، لذا تُعرف الأجهزة بشكل فردي في عملية التشفير. إذا فُقد كمبيوتر محمول أو هاتف أو سُرق، فلن يساعد نظام التشفير الخاص به في منع الوصول إذا كان اللص يعرف كلمة مرور المالك.

    يتيح استخدام بطاقة ذكية مع شريحة مماثلة للشرائح المضمنة في بطاقات الائتمان للمستخدمين مصادقة مجموعة واحدة من المفاتيح، بغض النظر عن الأجهزة التي يستخدمونها. الرقاقة الموجودة على البطاقة هي المعالج الدقيق الخاص بها، لذلك يجب إدخالها في قارئ بطاقة أو تنشيطها وتشغيلها باستخدام تقنية RFID، مثل الاتصالات القريبة من الميدان. يشبه أمان البطاقة الذكية تلك التي توفرها شرائح TPM.

  • تسجيل الدخول الموحد للمؤسسة. يمكن للمؤسسات الكبيرة ذات البنى التحتية المعقدة للتطبيقات إنشاء نظام تسجيل دخول موحد للمؤسسات أو تسجيل دخول موحد eSSO يقتصر على حدود شبكاتها. سيقدر الموظفون الحاجة إلى معرفة كلمة مرور واحدة أو كلمتين فقط وأسماء المستخدمين للوصول إلى التطبيقات التي يتطلبها عملهم، وستستفيد المؤسسة من أمان أفضل وأكثر قابلية للإدارة للأنظمة والبيانات. قد تفضل أنظمة eSSO هذه تشفير المفاتيح المتماثل استنادًا إلى قدرتها على سحب المفاتيح بسهولة أكبر وSAML لتنسيقها المعروف، وغالبًا ما تستخدم أنواعًا مختلفة من المصادقة متعددة العوامل لتحسين أمان نقطة النهاية.

    نظرًا لأن تطبيقات SaaS أصبحت أكثر شيوعًا، فإن المؤسسات لديها خيار الانتقال إلى نظام مثل OAuth الأكثر استخدامًا على الإنترنت أو يتطلب أن تتلاءم تطبيقات SaaS مع إطار eSSO الذي اختارته الشركة. يمكن استخدام SAML داخل شبكة المؤسسة وعبر الإنترنت. ستدعم العديد من تطبيقات SaaS كلا إطاري تصديق المستخدم.

  • تسجيل الدخول الموحد (SSO) للويب من المحتمل أن تعمل تطبيقات الويب بشكل أفضل مع OAuth أو تقتصر عليها لاعتماد نشاط المستخدم وOpenID Connect للتصديق على المستخدمين. نظرًا لأنه من المفترض أن يكون الإنترنت هو النقل، يتم تعريف مكونات نظام تسجيل الدخول الموحد عبر الويب على أنها معيار IETF وبالتالي تميل إلى العمل بطريقة يتوقعها مطورو الويب ويقدرونها. علاوة على ذلك، يقترن التصديق بإحكام بالترخيص ويستخدم طرق الوصول مثل بروتوكولات REST ومعايير المعلومات استنادًا إلى JSON لإنشاء نظام كامل وقابل للتوسيع. تهدف أنظمة تسجيل الدخول الموحد عبر الويب أيضًا إلى العمل عبر المجالات وعلى نطاق واسع.

  • LDAP. تم تقديم بروتوكول الوصول الخفيف إلى الدليل لأول مرة في التسعينات للسماح للمستخدمين بالعثور على الموارد التي قد يرغبون في استخدامها على شبكة محلية، مثل الخوادم أو الطابعات. وهو يتصور خادمًا موثوقًا به سيعرف عن جميع الموارد داخل النطاق. على هذا النحو، فهي ليست مناسبة لاستخدام الإنترنت.

    نظرًا لاستخدام LDAP لمنح الوصول إلى موارد الشبكة، فإنه يتضمن نظام تصديق مستخدم بصلاحيات المستخدم المخزنة على خادم LDAP. آليات مصادقة المستخدم ليست قوية؛ على سبيل المثال، ترسل كلمات المرور عبر الشبكة كنص واضح. قد يتم توفير التشفير بواسطة بروتوكول آخر، مثل SSL/TLS.

    تتمتع LDAP بميزة المرونة والقابلية للتوسعة، بحيث يمكن للمؤسسات استخدامها لتخزين معلومات إضافية حول الموظفين، مثل الأدوار التنظيمية وعضويات المجموعة، وسمات مثل موقع المكتب ورقم الهاتف. ومع ذلك، غالبًا ما تكون هناك حاجة إلى امتيازات وصول أكثر دقة في المؤسسة—فكر في معلومات حول من لديه حق الوصول إلى بيانات معينة—ولا يمكن إدارة حقوق الوصول هذه بسهولة بواسطة LDAP.

  • JWT. رموز الويب المميزة لـ JSON هي مستندات مضغوطة تستخدم لنقل المعلومات بشكل آمن بين الأطراف بطريقة منظمة. إنها تملأ نفس الحاجة مثل مستندات SAML، ولكن بتنسيق أكثر وضوحًا، مما يجعلها مناسبة للتضمين في عناوين URL. يتم توقيع رموز JWT بشكل مشفر باستخدام تقنيات تشفير المفتاح العام لضمان الأصالة. في Open Authentication (Oath)، بمجرد مصادقة المستخدم، سيرجع خادم الهوية رمز معرف JSON.

    سترجع طلبات الاعتماد للوصول إلى الموارد المحمية لاحقًا رمز وصول JSON، والذي يجب تضمينه بعد ذلك مع كل طلب إلى خادم الموارد. وتنقل هذه المعاملات حالة العميل - في هذه الحالة، المصدق عليها والمصرح بها - كجزء من كل طلب، مما يجعلها ما يسمى تبادلات RESTful. يعد REST، الذي يشير إلى "نقل الحالة التمثيلية"، مفيدًا لأن خوادم الموارد لا تحتاج إلى إنشاء جلسات وصيانتها مع كل عميل يرغب في استخدام موارد الخادم.

    رموز JWT هي مستندات نصية واضحة، لذلك يجب استخدامها عبر اتصالات مشفرة HTTPS. وعادةً ما يتم تصميم الرموز بحيث لا تحتوي على بيانات حساسة، مثل معلومات التعريف الشخصية. نظرًا لتوقيع كل رمز مميز وفقًا لـ X.509، وهو المعيار الدولي لتنسيق شهادات المفاتيح العامة، سيتم التحقق من صحة هذا التوقيع بواسطة خوادم الموارد للتأكد من عدم العبث بالرمز المميز. رموز JWT هي مكونات نظام تصديق واعتماد OAuth/OpenID. تم تصميمها للاستخدام بواسطة تطبيقات الويب، والتوسع بشكل جيد، والغرض منها هو استخدامها عبر المجالات.

مزايا الدخول الموحد

يميل متخصصو تكنولوجيا المعلومات والأمن إلى أن يكونوا معجبين بتسجيل الدخول الموحد؛ فهم يدركون أنه يعني مركزية مصادقة المستخدم وحماية المعلومات الحساسة المحتملة وإدارة التكامل مع أنظمة المؤسسة وتطبيقاتها. إنهم سعداء بشكل عام بمعالجة تدريب المستخدمين المطلوب ومعالجة المراقبة والصيانة المستمرة. هذه نتيجة مباشرة للعديد من الفوائد المهمة التي تأتي مع التكنولوجيا.

  • الوصول المركزي. تعمل أنظمة SSO على تبسيط عبء إدارة حسابات المستخدمين والوصول إلى العديد من التطبيقات التي تحتفظ بها معظم المؤسسات وموفري سحابة الإنترنت. يمكن منح حق وصول المستخدم إلى جميع التطبيقات وإلغاؤه في مكان واحد. لذلك، على سبيل المثال، إذا ترك الموظف مؤسسة، فلن يحتاج المسئولون إلى إزالة بيانات اعتماد الموظف لكل تطبيق على حدة. يمكن لمحترفي الأمان أيضًا إجراء تغييرات على أنظمة المصادقة في مكان واحد فقط، بدلاً من الحاجة إلى إجراء تغييرات على كل تطبيق.
  • تحسين الأمان. يقلل الدخول الموحد بشكل كبير من عدد أزواج اسم المستخدم وكلمة المرور التي يجب على الموظفين تثبيتها في الذاكرة. مع انخفاض هذا العبء، من المعقول خاصةً بالنسبة للمؤسسات، تحسين أمان تبادلات المصادقة مع المصادقة متعددة العوامل وسياسات كلمات المرور القوية.
  • زيادة إنتاجية الموظفين. سيواجه الموظفون صعوبة أقل في تذكر أسماء المستخدمين وكلمات المرور عند وجود تسجيل الدخول الموحد. بمجرد التصديق، يمكن للأشخاص عادةً الوصول إلى التطبيقات دون إعادة التصديق. لذلك يجب على SSO السماح للموظفين بالوصول إلى عملهم المقصود بسرعة أكبر. ووفقًا لتفاصيل التنفيذ، قد يظل مطلوبًا منهم المصادقة على التطبيقات التي يستخدمونها، ولكن على الأقل سيتعين عليهم تذكر بيانات اعتماد الدخول الموحد الخاصة بهم فقط.
  • تقليل إجهاد كلمة المرور. دعونا نواجه الأمر، لا أحد يريد التعامل مع العشرات من أزواج اسم المستخدم وكلمة المرور. يمكن أن تؤدي صعوبة تذكر كلمات المرور المعقدة - خاصةً إذا كانت بحاجة إلى تغييرها بشكل متكرر - إلى الإحباط وتؤدي إلى استخدام الأشخاص كلمات مرور سهلة التخمين أو إعادة استخدام نفس كلمة المرور لحسابات متعددة أو استخدام طريقة ما بعد الملاحظة لإدارة كلمات المرور. SSO يخفف العبء.
  • الامتثال التنظيمي. قد يخفف تسجيل الدخول الموحد من الامتثال التنظيمي من خلال فوائد إدارة الوصول المركزية الموضحة للتو. كما يتم تبسيط التدقيق والمعالجة نظرًا لوجود إطار تسجيل دخول موحد واحد فقط للتحقق منه.
  • تكامل مبسط. تدير المؤسسة النموذجية وحدات بيتابايت من البيانات المخزنة في العديد من مثيلات قاعدة البيانات. ليس من الصعب تخيل قاعدة بيانات واحدة لبيانات التصنيع، وقاعدة بيانات أخرى لبيانات سلسلة التوريد، وغيرها للبيانات المالية وبيانات التسويق وبيانات المبيعات، وما إلى ذلك. من السهل أيضًا فهم مدى فائدة وصول مندوبي المبيعات إلى بيانات المخزون، على سبيل المثال. يمكن لنظام CRM الوصول إلى هذه البيانات، ولكن يجب أن يكون كل مندوب مبيعات معروفًا بقاعدة بيانات إدارة المخزون بالإضافة إلى نظام CRM الخاص به. يمكن أن يوفر تسجيل الدخول الموحد الهوية اللازمة التي تم التحقق منها للطالب، ويمكن أن تساعد رموز الوصول في تحديد البيانات التي يجب السماح للشخص في كل دور برؤيتها. وبدون تسجيل الدخول الموحد، سيكون التكامل بين إدارة علاقات العملاء ونظام المخزون أكثر صعوبة في الإنشاء والإدارة وسيتضمن خطوة مصادقة أخرى للمستخدمين أو قد يكون ضعف الأمان لبيانات المخزون.
  • تجربة مستخدم مبسطة. ويؤدي تقليل الحاجة إلى المصادقة على تطبيقات المؤسسة وتطبيقات الويب بشكل عام إلى تحسين تجربة المستخدم. ولأن العديد من الأشخاص اعتادوا على تسجيل الدخول الموحد عبر وجودهم الشخصي عبر الإنترنت، فغالبًا ما يكون هناك الحد الأدنى من التدريب المطلوب.

SSO والأمان: هل SSO آمن؟

أولاً، لا يوجد شيء آمن، هناك درجات فقط من الأمان. ومع ذلك، فإن أي إطار SSO متوفر تجاريًا سيكون آمنًا للغاية - وهذا جزء من نقطة التكنولوجيا. بشكل عام، نظام SSO في حد ذاته ليس حلاً أمنيًا كاملاً. بدلاً من ذلك، إنه عنصر مهم في بيئة آمنة. ويعد دوره كنظام لمصادقة المستخدمين وتوفير بيانات اعتماد المصادقة للتطبيقات والأنظمة الأخرى التي توفر الموارد جزءًا مهمًا من استراتيجية الأمان الشاملة.

تسجيل الدخول الموحد والخصوصية

يفسح SSO المجال لتحسين الخصوصية، ولكن الخصوصية يمكن أن تختلف مع كل عملية تنفيذ. على سبيل المثال، ستحتوي ردود SAML وJWT، كحد أدنى، على تأكيد المصادقة. قد تحتوي أيضًا على معلومات، مثل المجموعات والأدوار التي تنطبق على المستخدم، بالإضافة إلى البيانات الأخرى التي يختار المنفذون تقديمها.

في البيع بالتجزئة أو الوسائط الاجتماعية المستندة إلى الويب، قد يكون من المفيد للتطبيق معرفة عمر المستخدم وموقعه ومعلومات شخصية أخرى. بشكل عام، إذا كنت تثبت هذه المعلومات الشخصية على Facebook، فافترض أن Facebook سيوفرها للآخرين ما لم تنص سياسة الخصوصية على أنها لن تفعل ذلك أو يسمح لك التطبيق بالقول صراحة عدم مشاركة بعض المعلومات.

في المؤسسة، يجب أن تُرجع أنظمة SSO تأكيدات المصادقة إلى جانب الأدوار ذات الصلة التي يمتلكها المستخدم في المؤسسة. قد يكون من المفيد أيضًا تقديم مكتب الشركة حيث يعمل المستخدم ورقم هاتف العمل. يجب أن تكون المعلومات الأخرى أكثر صعوبة في الحصول عليها. عادةً ما يتم تحديد ما يتم توفيره افتراضيًا بواسطة سياسات الموارد البشرية.

حالات استخدام SSO

تم تصميم تسجيل الدخول الموحد لتزويد المستخدمين بالوصول السلس إلى تطبيقات وأنظمة متعددة مع مجموعة واحدة فقط من بيانات اعتماد تسجيل الدخول. في حين أن المؤسسات التي لديها متطلبات صارمة للامتثال التنظيمي قد تجد أنها بحاجة إلى تنفيذ تدابير أمنية إضافية، إلا أن هناك الكثير من حالات الاستخدام لتسجيل الدخول الموحد. وهي تشمل ما يلي:

  • التطبيقات المؤسسية. تدير المؤسسة عادةً العشرات إلى مئات التطبيقات، كل منها يتطلب مصادقة المستخدمين. إن إنشاء أنظمة إدارة الهوية والحفاظ عليها على أساس كل تطبيق ليس عمليًا للمستخدمين أو فرق تكنولوجيا المعلومات. يوفر تسجيل الدخول الموحد طريقة لمصادقة الموظفين مرة واحدة ثم إدارة اعتمادهم لاستخدام الموارد استنادًا إلى تلك المصادقة لمرة واحدة.

    عادةً ما تكون تأكيدات المصادقة صالحة لفترة معينة فحسب وعلى نظام واحد. يمكن الاحتفاظ بمزيد من التفاصيل الدقيقة حول أدوار كل موظف داخل الشركة بواسطة نظام تسجيل الدخول الموحد (SSO) واستخدامه بواسطة التطبيقات أو أنظمة الاعتماد لتوفير وصول محدود إلى التطبيقات والبيانات والموارد الأخرى.

  • التطبيقات المستندة إلى السحابة. بالنسبة لكل من استخدام الأعمال والمستهلكين، تأتي الأنظمة المستندة إلى السحابة مع احتياجات تعريف واعتماد مختلفة مقابل أنظمة SSO المخصصة للمؤسسة. بالنسبة للمستهلكين، قد تفرض الراحة أنه بمجرد مصادقة المستخدمين، يمكنهم استخدام الخدمة دائمًا من هذا الجهاز. بمجرد تسجيل الدخول إلى Gmail، على سبيل المثال، يمكنك استخدامه وتطبيقات Google الأخرى، مثل المستندات أو الأوراق، دون إعادة المصادقة. في مجال الأعمال التجارية، سيسمح موفرو الخدمات السحابية الذين يقدمون تطبيقات SaaS أو المنصات والبنية التحتية كخدمة أيضًا بالوصول الواسع إلى خدماتهم بمجرد تأكيد هوية المستخدم. المصادقة هي الخطوة الأولى في مخطط تصريح خدمة أكبر يتيح للمستخدمين تسجيل الدخول مرة واحدة واستخدام مجموعة واسعة من الخدمات. يعتمد الوصول إلى الخدمة على دور كل مستخدم لكل تطبيق - ربما يكون مسؤولاً عن تطبيق ما ومطورًا لتطبيق ثاني ومستخدمًا نهائيًا في تطبيق ثالث. سيعتمد الوصول أيضًا على ما دفعته المؤسسة.

تنفيذ SSO

لا تدع عدم وجود خبرة أمنية داخلية يثنيك عن اعتماد SSO. هناك مقدمي خدمات الأمن المدارة وكذلك فرق تنفيذ موردي SSO للمساعدة. تختار العديد من الشركات استخدام خدمات SSO التي يقدمها مقدمو الخدمات الخارجيون. وتستفيد الشركة من الخبرة وميزات الأمان المتقدمة وقابلية التوسع، ويمكن لفرق تكنولوجيا المعلومات التركيز على المساعدة في تنمية الأعمال مع ترك إدارة تسجيل الدخول الموحد للخبراء.

وعلى مستوى عال، يتطلب التنفيذ ثلاثة عناصر رئيسية.

  1. اختيار أنظمة تصديق العميل وتوزيعها التي ستجمع إدخال المستخدم النهائي بأمان، مثل اسم المستخدم وكلمة المرور. حتى في المؤسسة، يتم توفير هذه الأنظمة غالبًا كصفحات ويب، لذلك من السهل الحفاظ على توحيد عمليات المصادقة عبر الأجهزة. بشكل عام، في المؤسسة، يجب أن يكون المستخدم إما على شبكة الشركة أو يمكنه الوصول إليها من خلال VPN. يسمح هذا المطلب للمؤسسة بإنشاء نظام إدارة هوية واحد وموثوق به.
  2. إعداد مدير معرف يقوم بتصديق المستخدمين وإصدار الشهادات نيابة عن المؤسسة. في معظم المتاجر، سيكون مدير الهوية إما جزءًا من نظام يوفر أيضًا رموز تفويض المستخدم التي تتيح للتطبيقات معرفة ما يُسمح للفرد القيام به داخل التطبيق أو يرتبط ارتباطًا وثيقًا بخادم التفويض.
  3. تكوين التطبيقات أو تعديلها لاستخدام الشهادات والرموز المميزة من تسجيل الدخول الموحد وأنظمة الاعتماد بدلاً من الاحتفاظ بنظام معرف المستخدم الخاص بها.

أفضل ممارسات تسجيل الدخول الموحد

سواء كنت تنفذ داخل الشركة أو بمساعدة طرف ثالث أو تستخدم نموذجًا كخدمة، فهناك أسس للنجاح. وهي تشمل ما يلي:

  1. التفويض بالتصديق متعدد العوامل (MFA). ومثلما يتيح تسجيل الدخول الموحد للمؤسسات فرض سياسات كلمات المرور من إطار عمل واحد، فإنه يمكن أيضًا السماح للمؤسسات بتنفيذ تقنية تعريف أقوى، والمعروفة بشكل جماعي باسم المصادقة متعددة العوامل. ويمكن أن تشمل هذه العوامل البطاقات الذكية والتطبيقات التي تعمل على الهواتف الذكية وأشكال مختلفة من المصادقة البيومترية وغيرها.
  2. استخدام التحكم في الوصول المستند إلى الأدوار (RBAC). يؤدي تصديق المستخدمين إلى حل جزء فقط من مشكلة إدارة الوصول إلى موارد المؤسسة. التحدي الآخر هو الحد من وصول المستخدمين إلى الموارد المسموح لهم باستخدامها فقط. من خلال إنشاء مجموعات - مثل التسويق والإدارة المالية والتصنيع والمبيعات - ومن خلال إنشاء أدوار داخل كل مجموعة لأعضائها، يمكن ضبط التحكم في الوصول والاحتفاظ به في موقع مركزي يمكن إدارته.
  3. مراجعة المعايير وتحديثها. إن وجود مصادقة تتمحور حول إطار واحد من الآليات يبسط إلى حد كبير عملية التدقيق وعملية إجراء التحديثات لتلبية المعايير الجديدة عند ظهورها.
  4. تنفيذ إدارة الأدوار والأذونات. يفسح SSO المجال لفلسفة الثقة الصفرية. يمكن للمستخدمين الوصول إلى تلك الموارد المطلوبة صراحةً لأدوارهم فقط والاطلاع على البيانات التي لديهم إذن صريح برؤيتها فقط.
  5. الالتزام بقوانين خصوصية البيانات. لا يضمن استخدام إطار تسجيل الدخول الموحد الامتثال لقوانين خصوصية البيانات، ولكنه يمكن أن يجعل مثل هذا الامتثال أسهل بكثير لتحقيقه وإظهاره.

التحكم في الوصول بأمان وسهولة باستخدام Oracle

هل تحتاج إلى إدارة هويات المستخدمين والوصول إلى Oracle Cloud Infrastructure (OCI) وعبر التطبيقات السحابية والمحلية؟ بالنسبة للمؤسسات التي تتبع إستراتيجية أمان بدون ثقة، توفر Oracle Cloud Infrastructure Identity and Access Management (IAM) أدوات الإدارة والتكامل التي تحتاجها.

هل أنت مهتم بنشر مصادقة عالمية مع دعم المصادقة متعددة العوامل؟ توفر Oracle Access Management نظامًا مرنًا يمكنه تشغيله محليًا أو في السحابة. يمكن للمؤسسات تمكين هذه السياسات من اتباع المستخدم بغض النظر عن الجهاز والموقع، للمساعدة في تأمين الوصول إلى البيانات في كل مكان وفي أي وقت من أي جهاز. إلى جانب MFA، تدعم مجموعة IAM من Oracle تسجيل الدخول الموحد للأجهزة الموثوق بها وتسجيل الدخول الموحد للتطبيقات—كل ذلك ضروري لتحقيق مبادئ بنية الثقة الصفرية والتفويضات.

نظرًا إلى اعتماد الشركات على المزيد من التطبيقات، وتعتمد التطبيقات على المزيد من الخدمات ومصادر البيانات للقيام بعملها، تزداد صعوبة إدارة مصادقة المستخدم واعتماده. تُبسط أطر عمل تسجيل الدخول الموحد الحياة لكل من المستخدمين النهائيين ومهندسي التطبيقات من خلال تبسيط عملية التصديق والاعتماد.

يمكن للذكاء الاصطناعي تحسين إمكانات وأمان أنظمة تسجيل الدخول الموحد بشكل كبير من خلال التحقق البيومتري والكشف عن أوجه الخلل والإمداد وغيرها من الإمكانات. تعرف على كيفية إعداد برنامج الذكاء الاصطناعي وتشغيله بأمان وفعالية من حيث التكلفة.

الأسئلة الشائعة حول تسجيل الدخول الموحد

ما الذي يشير إليه SSO؟

يشير SSO إلى تسجيل الدخول الموحد.

ما هو حساب SSO الخاص بي؟

حساب الدخول الموحد الخاص بك هو خدمة مصادقة مركزية تسمح لك باستخدام مجموعة واحدة من صلاحيات الدخول للوصول إلى تطبيقات وأنظمة متعددة. وهذا يعني أنه يتعين عليك تذكر اسم مستخدم وكلمة مرور واحد فقط للوصول إلى جميع الخدمات والموارد التي تقدمها مؤسستك. تبسط حسابات SSO من عملية تسجيل الدخول، وتحسن الأمان، وتسهل وصول المستخدمين إلى المعلومات والأدوات التي يحتاجون إليها للقيام بمهامهم.

ما المثال على تسجيل الدخول الموحد؟

في مجال المستهلك، يمكن للموردين الكبار مثل Amazon وGoogle وMeta وMicrosoft العمل كمصدر لبيانات اعتماد المستخدم للتطبيقات الأخرى. إذا تم عرض مربع حوار يتيح لك إدخال بيانات الاعتماد الخاصة بك أو تسجيل الدخول باستخدام إحدى الخدمات أعلاه، فأنت تستخدم تسجيل الدخول الموحد.