Jak funguje ověřování SSO (Single-Sign-On) v systému Windows 10

16. března 2020 Matt Mills Tipy a triky 0

Když dnes mluvíme o metodách ověřování, obecně to znamená, že si zapisujeme své přihlašovací údaje nebo přihlašovací údaje pokaždé, když chceme. Zdá se však, že metoda SSO nebo Single-Sign-On usnadňuje život lidem, kteří potřebují přístup k několika službám a aplikacím současně. Dnes v tomto článku budeme hovořit o jednotném přihlášení v Windows 10.

Není pochyb o tom, že Windows 10 je široce používaný operační systém, pokud jde o firemní prostředí. Využijte nejen výhod daného systému, ale i jiných proprietárních a externích aplikací. Ty mají schopnost integrace s podnikovým prostředím Windows, což velmi usnadňuje přístup k 10, 15 nebo více aplikacím.

Pokud uživatel musí autentizovat pokaždé, když má přístup k aplikaci, může to být docela ztráta času, stejně jako několik problémů a rizik. Například, pokud uživatel potřebuje ověření rychle a nevěnuje dostatečnou pozornost, může zablokovat jejich firemní účet pokusem vstoupit několikrát. I když existují Systémy IAM (Identity Access Management) které zvládnou tento typ situace, nemusí být zážitek koncového uživatele příliš dobrý a nepochybně ovlivňuje vaši každodenní produktivitu.

jednotné přihlašování do oken

SSO (nebo jednotné přihlášení) je centralizovaná služba ověřování uživatelů a zařízení. Funguje to následovně: sada přihlašovacích údajů uživatele slouží jako přímá brána do všech aplikací, kterým byla udělena příslušná autorizace. Tato pověření se mohou skládat z e-mail, uživatelské jméno a heslo. Vzniká přímá výhoda, že nebude nutné, aby daná osoba zadávala své přihlašovací údaje ke všem aplikacím a službám, které musí používat. Jednoduše použijete Klávesové zkratky typu SSO (například adresa URL, pokud se jednalo o webovou aplikaci) a během několika sekund se ověříte.

Další výhodou je, že koncový uživatel by měl mít pouze single opravdu bezpečné heslo . To znamená, že s dostatečným počtem číslic, čísel, speciálních znaků a dalších specifikací zásad týkajících se hesel. Jedním z důvodů, proč si lidé nezvolí silná hesla, je doba, po kterou je třeba myslet na jedno pro každou z aplikací. Díky SSO můžeme změnit myšlení uživatelů podporou vytváření silných a obtížně uhodnutelných hesel. A pokud je čas ji obnovit, bude se tato změna vztahovat na všechny aplikace, které mají SSO povoleno.

Provoz SSO ve Windows 10

Tato služba je k dispozici pro následující kategorie aplikací:

  • Autentizační služby a integrované aplikace Windows.
  • Aplikace připojené k Azure AD. Včetně sady Office 365 a všech aplikací publikovaných u serverů Azure AD proxy.
  • Aplikace se službou Active Directory Federation Services.
  • Azure AD a zařízení připojená k doméně (která se připojují k vaší doméně pracoviště pomocí síťových údajů).

S SSO získáte speciální token (token) pro každý z typů aplikací, které jsou kompatibilní s SSO. Díky této speciální kartě získáte další karty pro přístup ke konkrétním aplikacím.

Je to, jako by zvláštní token byl „mateřským tokenem“, který se v angličtině nazývá jako Primární obnovovací token (PRT) . To je v zásadě generováno během procesu přihlášení k systému Windows: přihlášení uživatele nebo odemknutí počítače. Obsahuje všechna potřebná data, která nám umožňují vědět o zařízení a doméně, do které patří. Což znamená, že pokud nemáte tuto kartu PRT, žádné zásady podmíněného přístupu na základě zařízení, nebudete mít přístup k aplikaci.

Dále vám ukážeme, jak je vygenerována karta PRT:

  1. Uživatel zadá přihlašovací údaje do systému Windows.
  2. Pověření jsou předávána Cloud AP Azure AD rozšíření pro autentizaci.
  3. Proces ověření se provádí pro uživatele i pro jeho zařízení, aby získal kartu PRT od Azure AD.
  4. Vyrovnávací paměť na kartě PRT je generována pro Správce webových účtů k přístupu během autentizace aplikace.
  5. Aplikace požaduje přístup ke kartě PRT od Web Account Manager, který odpovídá konkrétní aplikaci nebo službě.

SSO založené na hesle

Jednou z nejčastěji používaných metod SSO je heslo nebo na základě hesla. Uživatelé se do aplikace přihlašují pomocí uživatelského jména a hesla pouze při prvním přístupu. Po tomto spuštění poskytuje Azure AD uvedené pověření podporovaným aplikacím.

Tato metoda je jednoduše založena na existující metodě ověřování, což je metoda zadávání přihlašovacích údajů. Pokud zvolíte metodu založenou na hesle, Azure AD tato data shromažďuje a ukládá a poté je zašifruje do vašeho adresáře.

Pro informaci se uživatel může autentizovat touto metodou, pokud používá následující programy:

  • Internet Explorer od Windows 7 a dále.
  • Okraje od vydání Windows 10 Anniversary Edition.
  • Edge ve své mobilní verzi pro Android a iOS.
  • Chrome od Windows 7 a MacOS X.
  • Spravovaný prohlížeč Intune.
  • Firefox verze 26.0 a vyšší, od Windows XP Service Pack 2 a Mac OS X 10.6 a dále.

Bez ohledu na to, jak inovativní nebo zajímavé to může být, metoda SSO nám ukazuje, že je možný život bez nutnosti zadávat hesla několikrát denně. Možná jste použili tuto metodu a pravděpodobně si toho nevšimli. Většina, ne-li všechny, společnosti používající Windows Active Directory mají SSO jako svého spojence.