Jak działa uwierzytelnianie jednokrotne (Single-Sign-On) w systemie Windows 10

16 marca 2020 r. Matt Mills Sztuczki i kruczki 0

Kiedy mówimy dzisiaj o metodach uwierzytelniania, zazwyczaj oznacza to, że zapisujemy nasze dane logowania lub dane uwierzytelniające za każdym razem, gdy chcemy. Wydaje się jednak, że metoda logowania jednokrotnego lub jednokrotnego logowania ułatwia życie osobom, które muszą mieć dostęp do kilku usług i aplikacji jednocześnie. Dzisiaj w tym artykule porozmawiamy o jednokrotnym logowaniu Windows 10.

Nie ma wątpliwości, że Windows 10 to szeroko stosowany system operacyjny w środowiskach korporacyjnych. Korzystaj nie tylko z zalet tego systemu, ale także z innych zastrzeżonych i zewnętrznych aplikacji. Mają one możliwość integracji z korporacyjnym środowiskiem Windows, dzięki czemu dostęp do 10, 15 lub więcej aplikacji jest bardzo łatwy.

Jeśli użytkownik musi uwierzytelniać się za każdym razem, gdy musi uzyskać dostęp do aplikacji, może to być strata czasu, a także szereg problemów i zagrożeń. Na przykład, jeśli użytkownik musi szybko się uwierzytelnić i nie zwraca wystarczającej uwagi, może to zrobić zablokuj swoje konto firmowe próbując wejść kilka razy. Jednak są Systemy IAM (Identity Access Management) które radzą sobie z tego rodzaju sytuacjami, wrażenia użytkownika końcowego mogą nie być zbyt dobre i niewątpliwie wpływają na codzienną wydajność.

Windows z pojedynczym logowaniem

Jednokrotne logowanie (lub logowanie jednokrotne) to scentralizowana usługa uwierzytelniania użytkowników i urządzeń. Działa w następujący sposób: zestaw poświadczeń użytkownika służy jako bezpośrednia brama do wszystkich aplikacji, które otrzymały odpowiednią autoryzację. Te poświadczenia mogą składać się z E-mail, Nazwa użytkownika i hasło. Bezpośrednia korzyść, która się pojawia, polega na tym, że dana osoba nie będzie musiała wprowadzać swoich poświadczeń do wszystkich aplikacji i usług, z których musi korzystać. Po prostu używasz Skróty SSO (np. adres URL, jeśli była to aplikacja internetowa), w ciągu kilku sekund uwierzytelniasz się.

Kolejną zaletą jest to, że użytkownik końcowy powinien mieć tylko Pojedynczy naprawdę bezpieczne password . To znaczy, z odpowiednią liczbą cyfr, cyfr, znaków specjalnych i innych specyfikacji zasad haseł. Jednym z powodów, dla których ludzie nie wybierają silnych haseł, jest czas potrzebny na wymyślenie jednego dla każdej aplikacji. Dzięki jednokrotnemu logowaniu możemy zmienić sposób myślenia użytkowników, promując tworzenie silnych i trudnych do odgadnięcia haseł. A jeśli nadszedł czas, aby go odnowić, ta zmiana będzie obowiązywać dla wszystkich aplikacji, które mają włączone logowanie jednokrotne.

Operacja jednokrotnego logowania w systemie Windows 10

Ta usługa jest dostępna dla następujących kategorii aplikacji:

  • Usługi uwierzytelniania i zintegrowane aplikacje Windows.
  • Aplikacje połączone z usługą Azure AD. W tym Office 365 i wszystkie aplikacje opublikowane z serwerami proxy usługi Azure AD.
  • Aplikacje z usługami federacyjnymi Active Directory.
  • Azure AD i urządzenia przyłączone do domeny (które łączą się z domeną miejsca pracy przy użyciu poświadczeń sieciowych).

Dzięki jednokrotnemu logowaniu otrzymujesz specjalny token (token) dla każdego typu aplikacji zgodnego z jednokrotnym logowaniem. Dzięki tej specjalnej zakładce otrzymujesz inne zakładki umożliwiające dostęp do określonych aplikacji.

To tak, jakby specjalny token był „tokenem macierzystym”, który nazywa się w języku angielskim jako Główny token odświeżania (PRT) . Jest to generowane w zasadzie podczas procesu logowania do systemu Windows: logowanie użytkownika i / lub odblokowywanie komputera. Zawiera wszystkie niezbędne dane, które pozwalają nam dowiedzieć się o urządzeniu i domenie, do której należy. Co oznacza, że ​​wszelkie zasady dostępu warunkowego oparte na urządzeniach, jeśli nie masz tej karty PRT, nie będziesz mieć dostępu do aplikacji.

Następnie pokażemy, jak generowana jest karta PRT:

  1. Użytkownik wprowadza poświadczenia w systemie Windows.
  2. Poświadczenia są przekazywane do Punkt dostępowy usługi Azure AD Cloud rozszerzenie do uwierzytelnienia.
  3. Proces uwierzytelniania jest wykonywany zarówno dla użytkownika, jak i jego urządzenia w celu uzyskania karty PRT z usługi Azure AD.
  4. Pamięć podręczna karty PRT jest generowana dla pliku Menedżer kont internetowych aby uzyskać do niego dostęp podczas uwierzytelniania aplikacji.
  5. Aplikacja żąda dostępu do karty PRT z Menedżera kont internetowych, który odpowiada konkretnej aplikacji i / lub usłudze.

Jednokrotne logowanie na podstawie hasła

Jedną z najczęściej stosowanych metod SSO jest password na podstawie lub „na podstawie hasła”. Użytkownicy logują się do aplikacji przy użyciu nazwy użytkownika i hasła tylko przy pierwszym dostępie. Po tym uruchomieniu usługa Azure AD zapewnia wskazane poświadczenia dla obsługiwanych aplikacji.

Ta metoda opiera się po prostu na istniejącej metodzie uwierzytelniania, która jest metodą wprowadzania poświadczeń. Jeśli wybierzesz metodę opartą na haśle, usługa Azure AD zbiera i przechowuje te dane, a następnie szyfruje je w katalogu.

W celach informacyjnych użytkownik może się uwierzytelnić za pomocą tej metody, jeśli korzysta z następujących programów:

  • Internet Explorer od systemu Windows 7 i nowszych.
  • Edge od Windows 10 Anniversary Edition i nowszych.
  • Edge w wersji mobilnej na Androida i iOS.
  • Chrome od Windows 7 i MacOS X.
  • Przeglądarka zarządzana przez usługę Intune.
  • Firefox w wersji 26.0 i nowszych, od Windows XP Service Pack 2 i nowszych oraz Mac OS X 10.6 i nowszych.

Niezależnie od tego, jak innowacyjna lub interesująca może być, metoda SSO pokazuje nam, że życie bez konieczności wprowadzania haseł kilka razy dziennie jest możliwe. Być może użyłeś tej metody i najprawdopodobniej tego nie zauważyłeś. Większość, jeśli nie wszystkie, firmy korzystające z Windows Active Directory mają SSO jako sojusznika.