قابلیت فعالسازی و غیرفعالسازی احراز هویت دوعامله به ازای هر کلاینت یا اپلیکیشن
مقدمه:
امروزه با افزایش تهدیدات امنیتی در حوزه فناوری اطلاعات، استفاده از روشهای پیشرفتهتر برای احراز هویت کاربران امری ضروری است. SSO پلاس بهعنوان یک نرمافزار متمرکز و یکپارچهسازی احراز هویت، قابلیتهایی همچون احراز هویت دوعامله (2FA) را برای افزایش امنیت فراهم میکند. اما یکی از سوالات مهم این است که آیا امکان فعالسازی یا غیرفعالسازی این قابلیت بهصورت مجزا برای هر اپلیکیشن وجود دارد؟ این مقاله از سه منظر مختلف به بررسی این موضوع میپردازد.
منظر اول: فنی و استانداردهای SSO
از نظر فنی، تنوع در فرآیند احراز هویت به این معنا است که کاربر باید قبل از ورود به سیستم، مقصد یا کلاینت نهایی خود را مشخص کرده باشد. این امر در صورتی امکانپذیر است که فرآیند احراز هویت از سمت کلاینت آغاز شود. در چنین شرایطی:
- پس از احراز اولیه: پس از یک بار احراز هویت در سرور IDP (Identity Provider)، کاربر بهعنوان یک هویت احراز شده در نظر گرفته میشود. بنابراین در تلاشهای بعدی ورود، حتی به کلاینتهایی دیگری که نیاز به احراز دو عاملی با عامل دیگری دارند، دیگر نیازی به انجام مجدد فرآیند احراز هویت نیست.
- مشکل ایجاد شده: در این حالت، اگر کاربر ابتدا از طریق یک کلاینت با احراز هویت تکعاملی وارد شود، سپس بدون نیاز به احراز هویت مجدد، به کلاینتهایی که نیاز به دوعامله دارند، دسترسی پیدا میکند. این وضعیت میتواند از نظر امنیتی مطلوب نباشد.
مثلا در کلاینت اول تنظیم شده است که با استفاده نام کاربری و رمز عبور وارد کلاینت شود. پس از احراز هویت کاربر توسط SSOیا IDP ، دیگه کاربر احراز هویت شده و میتونه به کلاینتهای دیگه دسترسی داشته باشه و اینجوری وقتی بخواهد وارد کلاینتی شود که برای احراز هویت نیاز به عامل دوم مثلا OTP داره، دیگه از کاربر OTP نمیخواد و کاربر میتونه به اون کلاینت دسترسی داشته باشه.
- راهکار پیشنهادی: با توجه به رویکرد SSO Plus برای ارائه یک فرآیند احراز هویت یکپارچه، تاکید بر انجام احراز هویت بهصورت مرکزی و استاندارد ضروری است. این امر به جلوگیری از ورود غیرمجاز به کلاینتهای حساس کمک میکند.
منظر دوم: لایه امنیتی اضافی در SSO پلاس
برخلاف بسیاری از راهکارهای مشابه ، SSO پلاس یک لایه امنیتی اضافی پس از ورود اولیه کاربر فراهم میکند:
- بررسیهای امنیتی پس از ورود اولیه: این لایه امنیتی امکان اعمال کنترلهای اضافی را بر اساس پارامترهایی مانند نقش، گروه، کاربر یا وضعیت فعال/غیرفعال بودن کلاینتها فراهم میکند.
- امکان سختگیری ثانویه: میتوان فرآیند ورود اولیه را سادهتر طراحی کرد و کنترلهای سختگیرانهتری را برای ورود به برخی کلاینتهای خاص اعمال نمود. این کنترلها میتوانند شامل فاکتورهایی مانند کدهای امنیتی، IP کاربر، ساعت ورود و سایر معیارهای امنیتی باشند.
منظر سوم: نیازمندیها و شخصیسازی
یکی از اهداف اصلی SSO پلاس ارائه انعطافپذیری و پاسخگویی به نیازهای خاص سازمانها است. از این منظر:
- تعریف سیاستهای امنیتی خاص برای هر اپلیکیشن: میتوان سیاستهای احراز هویت را برای هر اپلیکیشن بهصورت جداگانه تعریف کرد. این سیاستها میتوانند شامل فعال یا غیرفعال کردن احراز هویت دوعامله باشند.
- پیادهسازی راهکارهای ترکیبی: در صورتی که برخی از اپلیکیشنها نیاز به سطح امنیتی بالاتری داشته باشند، میتوان از ترکیب روشهای احراز هویت اولیه و ثانویه (مجاز شماری سطح اول ) برای دسترسی به آنها استفاده کرد.
- بهبود تجربه کاربری: با ارائه راهکارهای ساده و یکپارچه، کاربران میتوانند بدون احساس پیچیدگی در فرآیند احراز هویت، به اپلیکیشنهای مختلف دسترسی پیدا کنند.
نتیجهگیری:
فعالسازی یا غیرفعالسازی احراز هویت دوعامله برای هر اپلیکیشن در SSO پلاس، نهتنها امکانپذیر است، بلکه میتوان آن را بر اساس نیازهای سازمان و سطح حساسیت اپلیکیشنها شخصیسازی کرد. با استفاده از لایههای امنیتی اضافی و رویکرد یکپارچهسازی، SSO پلاس قابلیتهایی برای مدیریت امنیت در سطوح مختلف ارائه میدهد که هم امنیت و هم تجربه کاربری بهینه را تضمین میکند.
