01 مارس 2024
تسجيل الدخول الموحد أو SSO هو نظام مصادقة يتيح للمستخدمين تسجيل الدخول مرة واحدة باستخدام مجموعة واحدة من بيانات الاعتماد والوصول إلى تطبيقات متعددة خلال نفس الجلسة.
يعمل تسجيل الدخول الموحد على تبسيط مصادقة المستخدم، وتحسين تجربة المستخدم، وتحسين الأمان عند تنفيذه بشكل صحيح. يتم استخدامه غالبًا لإدارة المصادقة والوصول الآمن إلى الشبكات الداخلية أو الخارجية للشركة، وبوابات الطلاب، والخدمة السحابية، والبيئات الأخرى التي يحتاج فيها المستخدمون إلى التنقل بين التطبيقات المختلفة لإنجاز أعمالهم. كما أنه يُستخدم بشكل متزايد في مواقع الويب والتطبيقات التي تواجه العملاء - مثل المواقع المصرفية ومواقع التجارة الإلكترونية - لدمج التطبيقات من المزودين التابعين لجهات خارجية في تجربة مستخدم سلسة وغير متقطعة.
تعزيز الذكاء الأمني لديك
ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.
يعتمد تسجيل الدخول الموحد على علاقة الثقة الرقمية بين مزودي الخدمة- التطبيقات ومواقع الويب والخدمات - ومزود الهوية (IdP) أو حل تسجيل الدخول الموحد (SSO). غالبًا ما يكون حل تسجيل الدخول الموحد (SSO) جزءًا من حل أكبر لإدارة الهوية والوصول (IAM) .
بشكل عام، تعمل مصادقة تسجيل الدخول الموحد (SSO) على النحو التالي:
يقوم المستخدم بتسجيل الدخول إلى أحد مزودي الخدمة، أو إلى بوابة مركزية (مثل إنترانت الشركة أو بوابة طلاب الكلية) باستخدام بيانات اعتماد تسجيل الدخول من نوع تسجيل الدخول الموحد (SSO).
عندما تتم مصادقة المستخدم بنجاح، ينشئ حل تسجيل الدخول الموحد (SSO) رمزًا مميزًا لمصادقة الجلسة يحتوي على معلومات محددة حول هوية المستخدم - اسم المستخدم وعنوان البريد الإلكتروني وما إلى ذلك. يتم تخزين هذا الرمز المميز مع متصفح الويب الخاص بالمستخدم، أو في نظام تسجيل الدخول الموحد (SSO).
عندما يحاول المستخدم الوصول إلى مزود خدمة آخر موثوق به، يتحقق التطبيق من نظام تسجيل الدخول الموحد (SSO) لتحديد ما إذا كان المستخدم قد تمت مصادقته بالفعل لجلسة العمل. إذا كان الأمر كذلك، يقوم حل تسجيل الدخول الموحد (SSO) بالتحقق من صحة المستخدم من خلال توقيع الرمز المميز بشهادة رقمية، ويتم منح المستخدم حق الوصول إلى التطبيق. إذا لم يكن الأمر كذلك، فستتم مطالبة المستخدم بإعادة إدخال بيانات اعتماد تسجيل الدخول.
إن عملية تسجيل الدخول الموحد (SSO) الموضحة أعلاه - تسجيل دخول واحد ومجموعة من بيانات اعتماد المستخدم التي توفر الوصول إلى الجلسة لتطبيقات متعددة ذات صلة - تسمى أحيانًا تسجيل الدخول الموحد البسيط أو تسجيل الدخول الموحد الخالص. تشمل الأنواع الأخرى من تسجيل الدخول الموحد ما يلي:
تسجيل الدخول الموحد (SSO) التكيفي
يتطلب تسجيل الدخول الموحد (SSO) التكيفي مجموعة أولية من بيانات الاعتماد، ولكنه يُوجِّه بتقديم عوامل مصادقة إضافية أو تسجيل دخول جديد عند ظهور مخاطر إضافية - مثل عندما يقوم المستخدم بتسجيل الدخول من جهاز جديد أو عندما يحاول الوصول إلى بيانات أو وظائف حساسة على نحوٍ خاص.
إدارة الهوية الموحدة (FIM)
تُعد إدارة الهوية الموحدة، أو FIM، مجموعة شاملة من تسجيل الدخول الموحد (SSO). بينما يستند تسجيل الدخول الموحد (SSO) إلى علاقة ثقة رقمية بين التطبيقات داخل نطاق مؤسسة واحدة، فإن إدارة الهوية الموحدة توسع هذه العلاقة لتشمل جهات خارجية وبائعين ومزودي خدمات آخرين خارج المؤسسة موثوق بهم. على سبيل المثال، قد تمكن إدارة الهوية الموحدة (FIM) موظفاً قام بتسجيل الدخول من الوصول إلى تطبيقات الويب التابعة لجهات خارجية (على سبيل المثال، Slack أو WebEx) دون تسجيل دخول إضافي، أو من خلال تسجيل دخول بسيط باسم المستخدم فقط.
تسجيل الدخول الاجتماعي
يتيح تسجيل الدخول الاجتماعي للمستخدمين النهائيين إمكانية المصادقة على التطبيقات باستخدام نفس بيانات الاعتماد التي يستخدمونها للمصادقة على مواقع التواصل الاجتماعي الشهيرة. بالنسبة لمزودي تطبيقات الجهات الخارجية، يمكن أن يؤدي تسجيل الدخول الاجتماعي إلى تثبيط السلوكيات غير المرغوب فيها (على سبيل المثال، عمليات تسجيل الدخول الخاطئة، والتخلي عن عربة التسوق) وتوفير معلومات قيمة لتحسين تطبيقاتهم.
يمكن تنفيذ تسجيل الدخول الموحد (SSO) باستخدام أي من بروتوكولات وخدمات المصادقة المتعددة.
SAML/SAML 2.0
لغة ترميز تأكيد الأمان، أو SAML، هي البروتوكول القياسي المفتوح الأطول أمداً لتبادل بيانات المصادقة والتفويض المشفرة بين موفر الهوية وموفري الخدمة المتعددين. نظرًا لأنه يوفر تحكمًا أكبر في الأمان مقارنةً بالبروتوكولات الأخرى، يتم استخدام SAML عادةً لتنفيذ تسجيل الدخول الموحد (SSO) داخل وبين نطاقات تطبيقات المؤسسات أو التطبيقات الحكومية.
OAuth/OAuth 2.0
التفويض المفتوح، أو OAuth، هو بروتوكول قياسي مفتوح يتبادل بيانات التفويض بين التطبيقات دون الكشف عن كلمة مرور المستخدم. يتيح OAuth استخدام تسجيل دخول واحد لتبسيط التفاعلات بين التطبيقات التي تتطلب عادة عمليات تسجيل دخول منفصلة لكل منها. على سبيل المثال ، يتيح OAuth لمنصة LinkedIn البحث في جهات اتصال البريد الإلكتروني الخاصة بك عن أعضاء جدد محتملين لشبكة علاقاتك.
OpenID Connect (OIDC)
بروتوكول قياسي مفتوح آخر، يستخدم OICD واجهات برمجة تطبيقات REST والرموز المميزة لمصادقة JSON لتمكين موقع ويب أو تطبيق من منح المستخدمين حق الوصول عن طريق مصادقتهم من خلال مزود خدمة آخر.
يتم استخدام OICD، الذي يتم وضعه فوق OAuth، بشكل أساسي لتنفيذ عمليات تسجيل الدخول الاجتماعية إلى تطبيقات الجهات الخارجية وعربات التسوق وغير ذلك. OAuth/OIDC هو تنفيذ أخف وزنًا، غالبًا ما يستخدم SAML لتنفيذ تسجيل الدخول الموحد (SSO) عبر البرامج كخدمة (SaaS) وتطبيقات السحابة وتطبيقات الأجهزة المحمولة وأجهزة إنترنت الأشياء .
LDAP
يحدد بروتوكول الوصول إلى الدليل خفيف الوزن (LDAP) دليلاً لتخزين بيانات اعتماد المستخدم وتحديثها، وعملية لمصادقة المستخدمين مقابل الدليل. لا يزال LDAP، والذي تم تقديمه في عام 1993، حل دليل المصادقة المفضل للعديد من المؤسسات التي تطبق تسجيل الدخول الموحد (SSO)، لأن LDAP يتيح لهم توفير تحكم دقيق في الوصول إلى الدليل.
خدمات اتحاد الدليل النشط (ADFS)
يتم تشغيل خدمات اتحاد الدليل النشط، أو Active Directory Federation Services (ADFS)، على Microsoft Windows Server لتمكين إدارة الهوية الموحدة - بما في ذلك تسجيل الدخول الموحد - مع التطبيقات والخدمات المحلية والخارجية. تستخدم ADFS خدمات Active Directory Domain Services (ADDS) كموفر هوية.
يوفر تسجيل الدخول الموحد (SSO) للمستخدمين الوقت ويجنبهم المتاعب. على سبيل المثال: بدلاً من تسجيل الدخول إلى تطبيقات متعددة عدة مرات في اليوم، باستخدام تسجيل الدخول الموحد (SSO) يمكن للمستخدمين النهائيين في الشركة تسجيل الدخول إلى الشبكة الداخلية للشركة مرة واحدة فقط للوصول طوال اليوم إلى كل التطبيقات التي يحتاجون إليها.
ولكن من خلال تقليل عدد كلمات المرور التي يحتاج المستخدمون إلى تذكرها وعدد حسابات المستخدمين التي يحتاج المسؤولون إلى إدارتها، يمكن أن يوفر تسجيل الدخول الموحد (SSO) عددًا من الفوائد الأخرى.
غالبا ما ينزلق المستخدمون الذين لديهم الكثير من كلمات المرور لإدارتها إلى العادة السيئة والمحفوفة بالمخاطر المتمثلة في استخدام نفس كلمات المرور القصيرة والضعيفة - أو الاختلافات الطفيفة فيها - لكل التطبيقات. يمكن للمتسلل الذي يكسر إحدى كلمات المرور هذه الوصول بسهولة إلى تطبيقات متعددة. يتيح تسجيل الدخول الموحد (SSO) للمستخدمين دمج كلمات مرور قصيرة وضعيفة متعددة في كلمة مرور واحدة وطويلة وقوية يسهل على المستخدمين تذكرها ويصعب على المتسللين كسرها.
وفقًا لمؤشر IBM X-Force Threat Intelligence Index 2025، للعام الثاني على التوالي، كان استخدام بيانات اعتماد حسابات صالحة مخترقة هو ناقل الوصول الأولي الأكثر شيوعًا للهجوم الإلكتروني (هذا العام تعادل في المرتبة الأولى مع استغلال التطبيقات التي تواجه الجمهور). يمكن لتسجيل الدخول الموحد (SSO) أن يقلل أو يلغي الحاجة إلى مدير كلمات المرور، وكلمات المرور المخزنة في جدول بيانات، وكلمات المرور المكتوبة على الملاحظات اللاصقة وغيرها من أدوات الذاكرة المساعدة - وكلها توفر أهدافًا للقراصنة أو تجعل كلمات المرور أسهل على الأشخاص الخطأ سرقتها أو العثور عليها صدفة.
وفقًا لمحلل الصناعة Gartner، فإن 20 إلى 50 بالمائة من مكالمات مكتب مساعدة تكنولوجيا المعلومات تتعلق بكلمات المرور المنسية أو إعادة تعيين كلمات المرور. تسهل معظم حلول تسجيل الدخول الموحد (SSO) على المستخدمين إعادة تعيين كلمات المرور بأنفسهم، بمساعدة مكتب المساعدة.
توصلت دراسة أجراها معهد IBM لقيمة الأعمال إلى أن 52% من المديرين التنفيذيين يقولون إن التعقيد هو أكبر عائق أمام عمليات الأمن. يوفر تسجيل الدخول الموحد (SSO) للمسؤولين تحكماً أبسط وأكثر مركزية في توفير الحساب وأذونات الوصول. عندما يغادر المستخدم المؤسسة، يمكن للمسؤولين إزالة الأذونات وإيقاف تشغيل حساب المستخدم بخطوات أقل.
يمكن أن يسهّل تسجيل الدخول الموحد (SSO) تلبية المتطلبات التنظيمية المتعلقة بحماية معلومات الهوية الشخصية (PII) والتحكم في الوصول إلى البيانات، بالإضافة إلى المتطلبات المحددة في بعض اللوائح - مثل HIPAA - حول مهلة الجلسة.
يتمثل الخطر الرئيسي المرتبط بتسجيل الدخول الموحد (SSO) في أنه إذا تم اختراق بيانات اعتماد المستخدم، يمكنه منح المهاجم حق الوصول إلى جميع أو معظم التطبيقات والموارد على الشبكة. لكن مطالبة المستخدمين بإنشاء كلمات مرور طويلة ومعقدة - وتشفير كلمات المرور هذه وحمايتها بعناية أينما تم تخزينها - يقطع شوطاً طويلاً نحو منع هذا السيناريو الأسوأ.
بالإضافة إلى ذلك، يوصي معظم الخبراء باستخدام المصادقة الثنائية (2FA) أو المصادقة متعددة العوامل (MFA) كجزء من أي تنفيذ لتسجيل الدخول الموحد (SSO). تتطلب المصادقة الثنائية أو المصادقة متعددة العوامل من المستخدمين تقديم عامل مصادقة واحد على الأقل بالإضافة إلى كلمة المرور، على سبيل المثال، رمز يتم إرساله إلى الهاتف المحمول أو بصمة الإصبع أو بطاقة هوية. نظرًا لأن بيانات الاعتماد الإضافية هذه هي التي لا يمكن للمخترقين سرقتها أو انتحالها بسهولة، يمكن أن تقلل المصادقة متعددة العوامل بشكل كبير من المخاطر المتعلقة ببيانات الاعتماد المخترقة في تسجيل الدخول الموحد (SSO).