सिंगल साइन-ऑन एसएसओ क्या है?

सिंगल साइन-ऑन (SSO) एक प्रमाणीकरण विधि है जो उपयोगकर्ताओं को एक ही लॉगिन क्रेडेंशियल के साथ कई अनुप्रयोगों या सेवाओं तक पहुंचने की अनुमति देती है।

सिंगल साइन-ऑन क्या है?

एकल साइन-ऑन एक पहचान संघटन पैटर्न है जिसमें एक उपयोगकर्ता एक बार विश्वसनीय पहचान प्रदाता (आईडीपी) के साथ प्रमाणीकरण करता है और फिर क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित दावे या टोकन प्राप्त करता है जो अन्य पहचान प्रदाताओं द्वारा प्रमाणित नहीं होते हैं। अनुप्रयोगों (जिन्हें सेवा प्रदाता कहते हैं) पहचान के प्रमाण के रूप में स्वीकार करते हैं। प्रारंभिक लॉगिन के बाद, IdP समय-बद्ध क्रेडेंशियल (जैसे, SAML अभिकथन या OpenID कनेक्ट ID टोकन) जारी करता है, जिन्हें ब्राउज़र or ग्राहक प्रत्येक एप्लिकेशन को प्रस्तुत किया जाता है, जो अपना स्वयं का सत्र स्थापित करने से पहले हस्ताक्षर, दर्शकों और समाप्ति को सत्यापित करता है।

क्योंकि विश्वास IdP में निहित है और मानक-आधारित प्रोटोकॉल के माध्यम से व्यक्त किया जाता है, SSO स्वतंत्र प्रणालियों को एक सुसंगत दृष्टिकोण साझा करने देता है कि उपयोगकर्ता कौन है, उनके पास क्या विशेषताएं हैं, और उनका उपयोग कितने समय तक किया जाएगा। प्रमाणीकरण वैध माना जाना चाहिए.

सिंगल साइन-ऑन के प्रकार

नीचे सबसे आम प्रकार दिए गए हैं जिनसे आप सामना करेंगे और प्रत्येक से क्या हासिल होगा।

SAML 2.0 फेडरेशन

सुरक्षा अभिकथन मार्कअप भाषा (एसएएमएल) यह एक XML-आधारित मानक है जिसका व्यापक रूप से ब्राउज़र SSO के लिए एंटरप्राइज़ में उपयोग किया जाता है सासपहचान प्रदाता (आईडीपी) पर प्रमाणीकरण के बाद, उपयोगकर्ता के ब्राउज़र को एक हस्ताक्षरित SAML अभिकथन प्राप्त होता है जिसे सेवा प्रदाता (एसपी) सत्र स्थापित करने के लिए सत्यापित करता है।

SAML परिपक्व है, एंटरप्राइज़ विशेषता रिलीज़ (भूमिकाएं, समूह) में उत्कृष्ट है, और HRIS-से-SaaS और ADFS-से- के लिए सामान्य हैcloud एकीकरण।

ओपनआईडी कनेक्ट (OIDC)

OIDC, OAuth 2.0 के शीर्ष पर स्थित है और पहचान के लिए JSON वेब टोकन (JWT) का उपयोग करता है। IdP से प्रमाणीकरण के बाद, क्लाइंट को एक ID टोकन (आप कौन हैं) और अक्सर एक एक्सेस टोकन (जिसे आप कॉल कर सकते हैं) प्राप्त होता है।

OIDC, SAML, मोबाइल और से हल्का है API-अनुकूल, और आधुनिक के लिए आदर्श वेब और मोबाइल ऐप्स, एकल पृष्ठ अनुप्रयोग (एसपीए), तथा microservices जिन्हें मानकीकृत, कॉम्पैक्ट टोकन की आवश्यकता होती है।

केर्बेरोस/एकीकृत विंडोज़ प्रमाणीकरण (IWA)

केर्बेरोस-आधारित एसएसओ (जैसे, एक्टिव डायरेक्टरी के साथ) में, ऑपरेटिंग सिस्टम एक कुंजी वितरण केंद्र से एक टिकट प्राप्त करता है और उसे पारदर्शी रूप से सेवाओं के सामने प्रस्तुत करता है, जिससे कॉर्पोरेट नेटवर्क पर "साइलेंट" एसएसओ सक्षम होता है। यह तेज़, पारस्परिक-प्रमाणीकरण सक्षम है, और ऑन-प्रिमाइसेस ऐप्स और इंट्रानेट के लिए बेहतरीन है, क्योंकि आधुनिक सेटअप अक्सर केर्बेरोस पहचानों को एक दूसरे से जोड़ते हैं। cloud महासंघ के माध्यम से.

OAuth 2.0–समर्थित SSO (टोकन-आधारित पहुँच)

OAuth स्वयं एक प्राधिकरण ढाँचा है, कोई पहचान प्रोटोकॉल नहीं, लेकिन कई SSO परिनियोजन इसे OIDC या कस्टम पहचान एंडपॉइंट के साथ जोड़ते हैं ताकि उपयोगकर्ता एक बार साइन इन कर सकें और API के लिए एक्सेस टोकन प्राप्त कर सकें। इसका परिणाम वेब और सेवा स्तरों पर SSO है जिसमें अल्पकालिक टोकन, स्कोप और रीफ़्रेश फ़्लो उपयुक्त होते हैं। शून्य-विश्वास डिज़ाइन.

डब्ल्यूएस-फेडरेशन (डब्ल्यूएस-फेड)

एक पुराना, SOAP-उन्मुख Microsoft फ़ेडरेशन प्रोटोकॉल अभी भी लीगेसी ADFS और SharePoint परिदृश्यों में मौजूद है। यह SAML के समान ब्राउज़र SSO को सक्षम बनाता है, लेकिन ग्रीनफ़ील्ड प्रोजेक्ट्स में कम आम है। इसके बजाय, संगठन अक्सर WS-Fed ऐप्स को OIDC/SAML में माइग्रेट करते हैं। cloud आधुनिकीकरण.

CAS (केंद्रीय प्रमाणीकरण सेवा)

यह उच्च शिक्षा में लोकप्रिय एक सरल, टिकट-अनुदान प्रोटोकॉल है। उपयोगकर्ता एक केंद्रीय CAS को प्रमाणित करते हैं। server, जो सेवा टिकट जारी करता है जिन्हें अनुप्रयोग सत्यापित करते हैं। CAS को संचालित करना और विस्तारित करना सरल है, लेकिन इसमें SAML/OIDC के समृद्ध दावा और टोकन पारिस्थितिकी तंत्र का अभाव है।

रिवर्स-प्रॉक्सी/हेडर-आधारित SSO

एक गेटवे उपयोगकर्ताओं को प्रमाणित करता है (केर्बेरोस, एसएएमएल, ओआईडीसी, या एमएफए के माध्यम से) और उन बैकएंड ऐप्स में पहचान हेडर (जैसे, एक्स-रिमोट-यूज़र) इंजेक्ट करता है जो फ़ेडरेशन प्रोटोकॉल नहीं बोलते। यह पुराने ऐप्स को रेट्रोफिट करने के लिए उपयोगी है, लेकिन सुरक्षा केवल उसी पर पूरी तरह से भरोसा करने पर निर्भर करती है। प्रतिनिधि और सीधे ऐप तक पहुंच को सख्त बनाना।

पासवर्ड वॉल्टिंग/फॉर्म-भरने वाला SSO

फ़ेडरेशन समर्थन के बिना ऐप्स के लिए अंतिम उपाय के रूप में, एक एक्सेस गेटवे प्रति-उपयोगकर्ता क्रेडेंशियल्स को सुरक्षित रूप से संग्रहीत करता है और प्रोग्रामेटिक रूप से उन्हें लॉग इन करता है। यह सुविधा में सुधार करता है लेकिन वास्तविक फ़ेडरेशन प्रदान नहीं करता है, और क्रेडेंशियल रोटेशन जैसे कार्य, एमएफए मानक-आधारित एसएसओ की तुलना में प्रवर्तन और लेखा-परीक्षण अधिक जटिल हो जाते हैं।

सिंगल साइन-ऑन कैसे काम करता है?

SSO उपयोगकर्ता को एक विश्वसनीय पहचान प्रदाता के साथ एक बार प्रमाणीकरण करने और उस प्रमाण का पुनः उपयोग करके कई एप्लिकेशन (सेवा प्रदाता, SP) तक सुरक्षित रूप से पहुँचने की सुविधा देता है। यह कैसे काम करता है, यहाँ बताया गया है:

1. आरंभ और IdP खोज. उपयोगकर्ता एक ऐप खोलने का प्रयास करता है। ऐप (SP) किसी स्थानीय सत्र का पता नहीं लगाता और उपयोगकर्ता को (अक्सर SAML/OIDC मेटाडेटा के माध्यम से) सही IdP पर रीडायरेक्ट करता है, जिससे यह तय होता है कि ट्रस्ट और लॉगिन कहाँ होगा।
2. IdP पर उपयोगकर्ता प्रमाणीकरण. आईडीपी कॉन्फ़िगर किए गए तरीकों, जैसे पासवर्ड और एमएफए, पासकी या डिवाइस पोस्चर जांच का उपयोग करके पहचान को सत्यापित करता है, तथा एक सटीक टाइमस्टैम्प और आश्वासन स्तर के साथ एक नया प्रमाणीकरण संदर्भ बनाता है।
3. टोकन/अभिकथन जारी करना। सफलता मिलने पर, IdP एक हस्ताक्षरित, समयबद्ध क्रेडेंशियल (जैसे, SAML अभिकथन, OIDC ID टोकन और एक्सेस टोकन) जारी करता है, जिसमें उपयोगकर्ता का पहचानकर्ता और दावे/विशेषताएं शामिल होती हैं।
4. ऐप पर सुरक्षित डिलीवरी। ब्राउज़र या क्लाइंट सुरक्षित बाइंडिंग (POST/रीडायरेक्ट फ्रंट-चैनल या बैक-चैनल टोकन एक्सचेंज) के माध्यम से क्रेडेंशियल को लेकर SP के पास वापस लौटता है, जिससे अखंडता बनी रहती है और छेड़छाड़ या रीप्ले को रोका जा सकता है।
5. सत्यापन और सत्र निर्माण. एसपी ने पुष्टि की हस्ताक्षर, ऑडियंस, जारीकर्ता, नॉन्स और समाप्ति। यदि जाँच पास हो जाती है, तो यह एक ऐप सत्र (कुकी या टोकन) स्थापित करता है और भूमिकाओं या दावों के आधार पर प्राधिकरण लागू करता है।
6. टोकन रिफ्रेश और स्टेप-अप (आवश्यकतानुसार)। जैसे-जैसे सत्र की आयु या पहुंच संवेदनशीलता बढ़ती है, क्लाइंट नए टोकन या स्टेप-अप MFA प्राप्त करने के लिए रिफ्रेश या पुनः-प्रमाणीकरण प्रवाह का उपयोग करता है, जिससे बार-बार पूर्ण लॉगिन के बिना पहुंच निरंतर बनी रहती है।
7. लॉगआउट और निरसन. जब उपयोगकर्ता साइन आउट करता है या जोखिम का पता चलता है, तो SP अपना सत्र समाप्त कर देता है। वैकल्पिक रूप से, IdP पर सिंगल लॉगआउट (SLO) या बैक-चैनल निरस्तीकरण, शेष सत्रों को बंद करने के लिए अन्य ऐप्स पर साइन-आउट प्रसारित करता है।

एसएसओ का उदाहरण क्या है?

SSO का एक उदाहरण यह है कि जब कोई कर्मचारी बिना किसी स्थानीय सत्र के Salesforce ब्राउज़ करता है, तो Salesforce उसे Okta (संगठन का पहचान प्रदाता) पर रीडायरेक्ट कर देता है। उपयोगकर्ता Okta का लॉगिन और MFA पूरा करता है, और Okta उपयोगकर्ता की ID और भूमिकाओं वाला एक हस्ताक्षरित, अल्पकालिक SAML अभिकथन जारी करता है।

ब्राउज़र इस दावे को Salesforce पर वापस पोस्ट करता है, जो हस्ताक्षर, ऑडियंस और समाप्ति तिथि की पुष्टि करता है, फिर अपना स्वयं का सत्र बनाता है और उपयोगकर्ता की अनुमतियाँ लागू करता है, इसलिए किसी अलग Salesforce पासवर्ड की आवश्यकता नहीं होती। अन्य कनेक्टेड ऐप्स (जैसे, ServiceNow, Box) में बाद के लॉगिन Okta सत्र का पुन: उपयोग करते हैं, जिससे केंद्रीकृत नीति और ऑडिट के साथ ऐप्स में निर्बाध पहुँच मिलती है।

सिंगल साइन-ऑन के क्या लाभ और नुकसान हैं?

सिंगल साइन-ऑन उपयोगकर्ताओं को एक बार प्रमाणीकरण करने और कई ऐप्स तक पहुँचने की सुविधा देकर पहुँच को सुव्यवस्थित करता है, जिससे उपयोगकर्ता अनुभव बेहतर होता है और सुरक्षा नियंत्रण केंद्रीकृत होते हैं। हालाँकि, प्रमाणीकरण को केंद्रित करने से जोखिम और जटिलता भी बढ़ जाती है: यदि पहचान स्तर विफल हो जाता है या गलत तरीके से कॉन्फ़िगर किया जाता है, तो एक साथ कई ऐप्स प्रभावित होते हैं। इस कारण, सुविधा और मज़बूत सुरक्षा उपायों के बीच संतुलन बनाने के लिए सावधानीपूर्वक डिज़ाइन की आवश्यकता होती है।

सिंगल साइन-ऑन के क्या लाभ हैं?

SSO उपयोगकर्ता अनुभव को बेहतर बनाता है और एक विश्वसनीय पहचान प्रदाता के माध्यम से प्रमाणीकरण को एकीकृत करके नियंत्रण को केंद्रीकृत करता है। इसके मुख्य लाभ इस प्रकार हैं:

• कम पासवर्ड, बेहतर UX. उपयोगकर्ता एक बार साइन इन करके सभी ऐप्स तक पहुंच सकते हैं, जिससे लॉग-इन संबंधी परेशानी और थकान कम हो जाती है।
• मजबूत सुरक्षा नियंत्रण. केंद्रीकृत एमएफए, पासकी, डिवाइस पोस्चर जांच और सशर्त पहुंच सभी ऐप्स पर समान रूप से लागू होती है।
• तेज़ ऑनबोर्डिंग/ऑफबोर्डिंग। पहुँच प्रदान करना या रद्द करना एक पहचान रिकॉर्ड से होता है, इसलिए परिवर्तन सभी जुड़ी सेवाओं तक प्रसारित होता है।
• कम समर्थन लागत. कम पासवर्ड रीसेट और खाता लॉकआउट का मतलब है कम हेल्प-डेस्क टिकट.
• सुसंगत शासन. भूमिकाएँ, समूह और विशेषता-आधारित नीतियाँ हर जगह एक ही तरह से लागू की जाती हैं, कम से कम विशेषाधिकार.
• बेहतर दृश्यता और लेखापरीक्षा। केंद्रीय लॉग और मानकीकृत टोकन निगरानी को सरल बनाते हैं, घटना की प्रतिक्रिया, और अनुपालन रिपोर्टिंग।
• घटी फ़िशिंग जोखिम. उपयोगकर्ता एकल, कठोर IdP लॉगिन प्रवाह को पहचानते हैं, इसलिए चुराने के लिए ऐप-विशिष्ट पासवर्ड कम होते हैं।
• आधुनिक ऐप और एपीआई तत्परता। मानक (OIDC/SAML/OAuth) अल्पकालिक टोकन के साथ वेब, मोबाइल और माइक्रोसर्विसेज के लिए सुरक्षित पहुंच सक्षम करते हैं।
• सुरक्षित परिवर्तन प्रबंधन. टोकन जीवनकाल, सत्र नीतियां और स्टेप-अप प्रमाणीकरण आपको नए लॉगिन के बिना संवेदनशील कार्यों के लिए आश्वासन बढ़ाने की सुविधा देते हैं।
• उत्पादकता में सुधार. निर्बाध क्रॉस-ऐप एक्सेस संदर्भ स्विच को छोटा करता है और वर्कफ़्लो को तेज़ करता है।

सिंगल साइन-ऑन के नुकसान क्या हैं?

प्रमाणीकरण को केंद्रीकृत करने से वास्तविक लाभ तो मिलते हैं, लेकिन इससे तकनीकी और परिचालन संबंधी जोखिम भी पैदा होते हैं जिनका आपको प्रबंधन करना होगा। मुख्य चुनौतियाँ इस प्रकार हैं:

• असफलता की एक भी वजह और विस्फोट त्रिज्या. यदि IdP डाउन है या गलत तरीके से कॉन्फ़िगर किया गया है, तो कई ऐप्स एक साथ अप्राप्य हो जाते हैं।
• ग़लत कॉन्फ़िगरेशन का जोखिम. कमजोर टोकन सत्यापन (ऑडियंस/जारीकर्ता/नॉन्स), लंबी समाप्ति, या अनुमेय विशेषता रिलीज प्रतिरूपण और विशेषाधिकार वृद्धि के द्वार खोल सकते हैं।
• सत्र और टोकन स्वच्छता। सुरक्षा के साथ सुविधा को संतुलित करना (जैसे निष्क्रिय और पूर्ण टाइमआउट का प्रबंधन, रिफ्रेश टोकन, स्टेप-अप एमएफए) मुश्किल है, और अत्यधिक लंबे सत्र अधिग्रहण जोखिम को बढ़ाते हैं।
• प्रमाणपत्र और मुख्य प्रबंधन. घूर्णन हस्ताक्षर कुंजियाँ, हैंडलिंग मेटाडेटा अद्यतन, और घड़ी तिरछापन के लिए अनुशासित संचालन की आवश्यकता होती है अन्यथा लॉगिन चुपचाप विफल हो सकता है।
• लॉगआउट जटिलता. एकल लॉगआउट (SLO) समर्थन असंगत है और आंशिक साइन-आउट के कारण अवशिष्ट ऐप सत्र रह जाते हैं।
• विरासत और किनारे के मामले. गैर-फेडरेटेड ऐप्स पासवर्ड वॉल्टिंग या हेडर इंजेक्शन को बाध्य करते हैं, जिससे वास्तविक फेडरेशन की तुलना में नाजुकता और कमजोर सुरक्षा बढ़ जाती है।
• खाता लिंकिंग और जीवनचक्र. निर्देशिकाओं और किरायेदारों में पहचानों का मानचित्रण, जेआईटी प्रावधान, और समय पर डीप्रोविजनिंग स्वच्छ एचआर और के बिना त्रुटि-प्रवण हैं आई ए एम सूत्रों का कहना है।
• पहुँच नीति का विस्तार. सशर्त पहुंच, डिवाइस स्थिति और प्रति-ऐप अपवादों के बारे में तर्क करना कठिन हो सकता है, जिसके कारण व्यवधान या अंतराल उत्पन्न हो सकते हैं।
• विक्रेता और मानक लॉक-इन। स्वामित्व संबंधी विशेषताएं या प्रोटोकॉल संबंधी विचित्रताएं माइग्रेशन को महंगा और बहु-आईडीपी रणनीतियों को कठिन बना देती हैं।
• गोपनीयता और डेटा न्यूनीकरण. ऐप्स में विशेषताओं को अत्यधिक साझा करने से एक्सपोज़र बढ़ जाता है, इसलिए न्यूनतम-विशेषता रिलीज़ और सहमति नियंत्रण की आवश्यकता होती है।
• फ़िशिंग और दुरुपयोग एकाग्रता. एक एकल कठोर प्रवाह मदद करता है, लेकिन यदि हमलावर IdP क्रेडेंशियल्स/सत्र पर कब्जा कर लेते हैं, तो उन्हें व्यापक पहुंच प्राप्त हो जाती है।

एकल साइन-ऑन FAQ

यहां सिंगल साइन-ऑन के बारे में सबसे अधिक पूछे जाने वाले प्रश्नों के उत्तर दिए गए हैं।

एसएसओ और एडी के बीच क्या अंतर है?

आइए सिंगल साइन-ऑन और एक्टिव डायरेक्ट्री (AD) के बीच अंतरों की अधिक विस्तार से जांच करें:

क्या सिंगल साइन-ऑन सुरक्षित है?

हाँ, सही तरीके से लागू होने पर, सिंगल साइन-ऑन बहुत सुरक्षित होता है क्योंकि यह मज़बूत नियंत्रणों (MFA/पासकी, सशर्त पहुँच, डिवाइस स्थिति जाँच) को एक मज़बूत पहचान प्रदाता पर केंद्रीकृत करता है और अल्पकालिक, हस्ताक्षरित टोकन जारी करता है जिन्हें प्रत्येक ऐप सत्यापित करता है। मुख्य जोखिम SSO से नहीं, बल्कि आर्किटेक्चर से उत्पन्न होते हैं। एक IdP आउटेज या गलत कॉन्फ़िगरेशन कई ऐप्स को प्रभावित कर सकता है, और दीर्घकालिक या कमज़ोर रूप से सत्यापित टोकन अधिग्रहण के जोखिम को बढ़ा देते हैं।

एसएसओ को न्यूनतम विशेषाधिकार दावों, सख्त टोकन सत्यापन (जारीकर्ता/श्रोता/नॉन्स/समाप्ति), कुंजी रोटेशन और घड़ी सिंक, विसंगति का पता लगाने के साथ निरंतर निगरानी, ​​संवेदनशील कार्यों के लिए स्टेप-अप प्राधिकरण और लचीला आईडीपी आर्किटेक्चर (अतिरेक, दर-सीमित, डीडीओएस सुरक्षा) इन सुरक्षा उपायों के साथ, SSO आमतौर पर अलग-अलग, प्रति-ऐप लॉगिन पर सुरक्षा में सुधार करता है।

क्या सिंगल साइन-ऑन लाभदायक है?

हाँ, सिंगल साइन-ऑन ज़्यादातर संगठनों के लिए उपयोगी है क्योंकि यह प्रमाणीकरण को आसान बनाता है और साथ ही सुरक्षा और उत्पादकता में सुधार करता है। केंद्रीकृत लॉगिन पासवर्ड की थकान, कमज़ोर क्रेडेंशियल के दोबारा इस्तेमाल और पासवर्ड रीसेट से होने वाले हेल्प-डेस्क के बोझ को कम करता है। यह सभी कनेक्टेड ऐप्स पर मल्टी-फ़ैक्टर ऑथेंटिकेशन और कंडीशनल एक्सेस जैसी नीतियों को लगातार लागू करने में भी सक्षम बनाता है।

शुरुआती सेटअप प्रयास और एक विश्वसनीय पहचान प्रदाता पर निर्भरता वास्तव में नुकसानदेह हैं, लेकिन दीर्घकालिक लाभ भी हैं। मज़बूत सुरक्षा व्यवस्था, तेज़ ऑनबोर्डिंग और ऑफबोर्डिंग, बेहतर अनुपालन दृश्यता, और सहज उपयोगकर्ता अनुभव आमतौर पर कार्यान्वयन की जटिलता और लागत से कहीं ज़्यादा होते हैं।