प्रमाणीकरण बनाम फेडरेशन बनाम एसएसओ

सबवे ऑफ़ लाइफ 8/52 / डेनिस स्कली

प्रमाणीकरण। फेडरेशन। सिंगल साइन ऑन (एसएसओ)। मैंने कई बार इन अवधारणाओं का उल्लेख किया है। मैंने वास्तव में औपचारिक रूप से परिभाषित नहीं किया है कि इनमें से प्रत्येक शब्द का क्या अर्थ है, भले ही मैंने अपने लेखन के दौरान इनका कई बार उपयोग किया हो - ये अवधारणाएं निकट से संबंधित हैं।

प्रमाणीकरण: एक इकाई की प्रक्रिया (प्रिंसिपल) किसी अन्य इकाई (सिस्टम) के लिए अपनी पहचान साबित करती है।

एकल साइन ऑन (एसएसओ): एक प्रमाणीकरण तंत्र की विशेषता जो उपयोगकर्ता की पहचान से संबंधित है, जिसका उपयोग कई सेवा प्रदाताओं में पहुंच प्रदान करने के लिए किया जाता है।

फेडरेशन: संगठनों और (और सुरक्षा डोमेन) के बीच पहचानकर्ता प्रदाताओं के बीच उपयोगकर्ता पहचान को प्रबंधित और मैप करने के लिए सामान्य मानक और प्रोटोकॉल (जो आमतौर पर डिजिटल हस्ताक्षर, एन्क्रिप्शन और पीकेआई के माध्यम से स्थापित होते हैं)।

सबसे पहले, पहचान और पहुंच प्रबंधन (IAM) एक सूचना प्रौद्योगिकी संगठन के भीतर पहचान की चिंताओं का प्रबंधन है। IAM शब्द, टीम या टीम की जिम्मेदारियों को संदर्भित कर सकता है। आदर्श रूप से, IAM एक केंद्रीकृत टीम है, लेकिन इतिहास, राजनीति या संगठनात्मक संरचना के कारण यह हमेशा संभव नहीं होता है। अगला सबसे अच्छा विकल्प बिजनेस-टू-बिजनेस (बी 2 बी), बिजनेस-टू-कंज्यूमर (बी 2 सी) और बिजनेस-टू-एम्प्लॉई (बी 2 ई) चिंताओं में से प्रत्येक के लिए समर्पित एक केंद्रीय टीम है। सभी अक्सर, प्रत्येक व्यक्ति समूह अपनी स्वयं की IAM जिम्मेदारियों को संभालता है - यह एक संगठन में फेडरेशन और एसएसओ को अपनाने के लिए अतिरिक्त बाधाएं पैदा करता है। IAM में उपयोगकर्ताओं और प्रणाली का प्रमाणीकरण, उन उपयोगकर्ताओं और प्रणालियों का प्राधिकरण, उपयोगकर्ता प्रावधान, पहचान प्रणालियों का ऑडिट, उपयोगकर्ता भंडार प्रबंधन (सोचें LDAP या सक्रिय निर्देशिका), पासवर्ड नीतियां और अन्य चिंताएं शामिल हो सकती हैं।

प्रमाणीकरण

प्रमाणीकरण सेवाएं प्रदान करना IAM की एक प्रमुख जिम्मेदारी है। प्रमाणीकरण शीर्षक शीर्षक में उल्लिखित तीन अवधारणाओं में से सबसे सामान्य है। थिंकमाडेलवेयर डॉट कॉम पर पहले की पोस्ट से, मैंने प्रमाणीकरण की परिभाषा के रूप में निम्नलिखित दिया। प्रमाणीकरण एक इकाई (प्रिंसिपल) की प्रक्रिया है जो किसी अन्य इकाई (सिस्टम) के लिए अपनी पहचान साबित करता है। प्रधानाचार्य एक कंप्यूटर प्रोग्राम (एक बैच की नौकरी, उदाहरण के लिए, पृष्ठभूमि में चल रहा है), एक अंत उपयोगकर्ता (मानव), एक कंप्यूटर सिस्टम, हार्डवेयर का एक टुकड़ा, मोबाइल डिवाइस या अन्य विदेशी चीजें हो सकती हैं। सिस्टम, हमारे उद्देश्यों के लिए, कोई भी कंप्यूटर सिस्टम है जिसे एक्सेस करने से पहले कॉलर को पहचानने की आवश्यकता होती है - अक्सर यह सिस्टम सर्वर पर होगा, कभी-कभी यह एक डिवाइस (सेलफोन, डेस्कटॉप, लैपटॉप, टैबलेट) पर होता है, कभी-कभी यह एक ब्राउज़र में हो। प्रिंसिपल सिस्टम को क्रेडेंशियल प्रदान करता है जिसे सिस्टम द्वारा कुछ प्रकार की पहचान प्रणाली (उपयोगकर्ता रिपॉजिटरी, फेडरेशन सर्वर या अन्य सहित) का उपयोग करके प्रमाणित किया जाना चाहिए। क्रेडेंशियल संवेदनशील जानकारी है जो क्लाइंट को सकारात्मक रूप से पहचानती है और कई रूपों में आ सकती है:

  • उपयोगकर्ता नाम और पासवर्ड
  • डिजिटल हस्ताक्षर
  • X509v3 क्लाइंट प्रमाणपत्र
  • पिन # + एक एफओबी, Google प्रमाणीकरण, या इसी तरह की तकनीक से यादृच्छिक संख्या।

पूर्णता के लिए, एक उपयोगकर्ता रिपॉजिटरी में उपयोगकर्ता (प्रिंसिपल), उनके क्रेडेंशियल्स, समूह, समूह सदस्यता और अन्य उपयोगकर्ता विशेषताओं के बारे में जानकारी होती है। LDAP सर्वर या सक्रिय निर्देशिका उपयोगकर्ता रिपॉजिटरी का एक विशिष्ट उदाहरण है। इन अवधारणाओं का अधिक विस्तृत विवरण यहां पाया जा सकता है। मैंने पहले एक पिछली पोस्ट में फेडरेशन सर्वर और आइडेंटिटी प्रोवाइडर को परिभाषित किया था।

एक बार दर्ज करना

सिंगल साइन ऑन (एसएसओ) एक प्रमाणीकरण तंत्र की एक विशेषता है जो उपयोगकर्ता की पहचान से संबंधित है, जिसका उपयोग कई सेवा प्रदाता तक पहुंच प्रदान करने के लिए किया जाता है। SSO एक एकल प्रमाणीकरण प्रक्रिया (एकल पहचान प्रदाता, निर्देशिका सर्वर या अन्य प्रमाणीकरण तंत्र द्वारा प्रबंधित) को एक ही संगठन के भीतर या कई संगठनों में कई प्रणालियों (सेवा प्रदाताओं) में उपयोग करने की अनुमति देता है। वह एकल प्रमाणीकरण तंत्र हो सकता है:

  • LDAP सर्वर, सक्रिय निर्देशिका, डेटाबेस या समान निर्देशिका सर्वर
  • एक प्रणाली जो प्रमाणीकरण के प्रयोजनों के लिए अनुप्रयोगों के लिए एक विश्वसनीय टोकन उत्पन्न और पास करती है।
  • कभी-कभी, SSO शब्द का उपयोग पासवर्ड मैनेजर के साथ एप्लिकेशन में साइन इन करने के लिए किया जाता है।
  • 2005 से पहले, SSO का मतलब हो सकता है कि क्रेडेंशियल्स का एक सामान्य सेट कई प्रणालियों में उपयोग किया जाता था (शायद कुछ प्रकार के एसिंक्रोनस पासवर्ड सिंक्रनाइज़ेशन सिस्टम के साथ), लेकिन उन क्रेडेंशियल्स को उपयोगकर्ता द्वारा प्रत्येक अलग सिस्टम में लॉग इन करने के लिए प्रदान किया जाना था - कुछ संदर्भों, यह शायद अभी भी मामला है।
  • नीचे वर्णित के अनुसार फेडरेशन।

एकल साइन ऑन (SSO) प्रमाणीकरण के साथ काम करता है और पूरे सिस्टम में कॉमन लॉगिन क्रेडेंशियल्स प्रदान करने के लिए इसमें शामिल अभिनेताओं की तकनीकी अंतर-क्षमता होती है।

कई अनुप्रयोगों के लिए निर्देशिका सर्वर-आधारित SSO समाधान निम्न आरेख जैसा कुछ दिखता है।

SSO एक सामान्य निर्देशिका सर्वर के माध्यम से

एक एकल पहचान प्रदाता (IdP) पर भरोसा करने वाले संगठन के भीतर एक अन्य SSO उदाहरण एन सर्विस प्रोवाइडर (एसपी) है जो निम्न की तरह दिखता है (यह वास्तव में पहचान महासंघ है, अगला भाग देखें)।

एन एसपी एक एकल आईडीपी पर भरोसा करते हैं

फेडरेशन

फेडरेटेड आइडेंटिटी मैनेजमेंट IAM का एक उप-अनुशासन है, लेकिन आमतौर पर एक ही टीम (एस) इसके समर्थन में शामिल होती है। फेडरेशन एक प्रकार का एसएसओ है जहां अभिनेता कई संगठनों और सुरक्षा डोमेन का विस्तार करते हैं।

डब्लूएस-फेडरेशन (कई एसएसओ प्रोटोकॉल में से एक जो फेडरेशन को सक्षम बनाता है) से हमारे पास है, "फेडरेशन का लक्ष्य सुरक्षा प्रिंसिपल पहचान और विशेषताओं को स्थापित नीतियों के अनुसार ट्रस्ट सीमाओं में साझा करने की अनुमति देना है।" यह एक अच्छा वर्णन है। महासंघ सामान्य रूप में; इसमें आम रिश्तों और संगठनों (और सुरक्षा डोमेन) के बीच उपयोगकर्ता पहचान को प्रबंधित करने और मैप करने के लिए सामान्य मानक और प्रोटोकॉल शामिल हैं, जो विश्वास संबंधों (आमतौर पर डिजिटल हस्ताक्षर, एन्क्रिप्शन और पीकेआई के माध्यम से स्थापित) के माध्यम से होते हैं। फेडरेशन विश्वास संबंध है जो इन संगठनों के बीच मौजूद है; यह इस बात से संबंधित है कि उपयोगकर्ता की क्रेडेंशियल वास्तव में कहाँ संग्रहीत की जाती हैं और उन पर भरोसा किए बिना तीसरे पक्ष के लोग वास्तव में उन्हें देखे बिना कैसे प्रमाणित कर सकते हैं।

फेडरेशन संबंध कई अलग-अलग प्रोटोकॉलों में से एक के माध्यम से पूरा किया जा सकता है, (लेकिन, तक सीमित नहीं):

  • SAML1.1
  • SAML2
  • WS-फेडरेशन
  • OAuth2
  • ओपेनआईडी कनेक्ट
  • WS-ट्रस्ट
  • विभिन्न मालिकाना प्रोटोकॉल

फेडरेशन कई रूप ले सकता है। एक संगठन (विभागों, व्यापार इकाइयों) के भीतर, पैटर्न जैसे दिख सकते हैं:

  • एन सर्विस प्रोवाइडर (एसपी) एक एकल पहचान प्रदाता (आईडीपी) पर भरोसा करने वाले संगठन के भीतर - अंतिम खंड में आरेख देखें।
  • एक ही तृतीय-पक्ष IdP पर भरोसा करने वाले कई संगठनों में N SPs
एक ही तृतीय-पक्ष IdP पर भरोसा करने वाले कई संगठनों में N SPs
  • एक एसपी द्वारा एक संगठन के भीतर एन आईडीपी।
एक एसपी द्वारा एक संगठन के भीतर एन आईडीपी
  • एक एकल ईपीपी पर भरोसा करने वाले संगठन के भीतर एन आईडीपी
एक एकल ईपीपी पर भरोसा करने वाले संगठन के भीतर एन आईडीपी
  • N SPs (उन्हें API प्रदाता कहते हैं) एक एकल IdP पर भरोसा करने वाले कई संगठनों में, जो तब एक सामान्य प्रणाली (जैसे API गेटवे) द्वारा भरोसा किया जाता है
एक एकल आईडीपी पर भरोसा करने वाले कई संगठनों में एन एसपी, जो बदले में एक सामान्य प्रणाली (एपीआई गेटवे) पर भरोसा करते हैं।
  • N SPs और N IdPs के बीच अंतर-संबद्ध महासंघों के साथ कई संगठनों के साथ पहचान ब्रोकर (IdP के बीच संबंधों का प्रबंधन)।
N SPs और N IdPs के साथ पहचान ब्रोकर पैटर्न

2017 और उसके बाद, सभी अंत उपयोगकर्ता प्रमाणीकरण में एंटरप्राइज़ स्थान में एक प्रसिद्ध पहचान प्रदाता उत्पाद के साथ एकल साइन ऑन शामिल होना चाहिए। अन्य संदर्भों में भी यही सच है। इसी तरह, उद्यम अंतरिक्ष में, स्थानीय संगठन के बाहर के अभिनेताओं के साथ एसएसओ को फेडरेशन रिश्तों को शामिल करना चाहिए। विभिन्न संगठनों के भीतर सिस्टम के बीच फेडरेशन रिश्तों का उपयोग किया जाना चाहिए क्योंकि यह समझ में आता है।

चित्र: जीवन का सबवे 8/52 / डेनिस स्कली