ĐỒ ÁN MÔN HỌC Cơ Sở An Toàn Thông Tin Đề tài: Tìm hiểu về hệ thống single sign on

Người sử dụng chỉ cần đăng ký và đăng nhập duynhất một lần vào hệ thống, khi đó trong phiên làm việc của mình họ có thể truy cậpngay lập tức vào các dịch vụ liên kết của hệ thống phân tá

Tìm hiểu về hệ thống single sign on

Sinh viên thực hiện: Đỗ Minh Quyết AT150147

Nguyễn Thu Thảo AT150154

Giảng viên hướng dẫn: Thầy Nguyễn Mạnh Thắng

Hà Nội, 9-2021

2.2.5 Security Assertion Markup Language (SAML) 21

Chương 4: Xây dựng hệ thống single sign on trên ứng dụng web 29

Bước 7: Cấu hình chuyển hướng trang khi đăng nhập và xác thực thành công40

Hình 9: Người dùng truy cập khi đã chứng thực với CAS máy chủ 18Hình 10: Người dùng truy cập mà chưa chứng thực với CAS 19

M Đ U Ở ĐẦU ẦU

Trong thời đại phát triển mạnh mẽ của hệ thống mạng máy tính như hiện nay,

xu hướng các dịch vụ cùng nhau chia sẻ dữ liệu người dùng đang là hướng pháttriển chung của công nghệ thông tin, một người dùng phải quản lý rất nhiều tàikhoản, mật khẩu cho các dịch vụ, ứng dụng mà họ tham gia Khi người sử dụngphải lưu trữ quá nhiều các thông tin bí mật như trên sẽ dẫn đến những vấn đề nhưkhông đảm bảo tính an ninh, an toàn và tăng thêm những chi phí khác Do vậy nhucầu đăng nhập một lần – Single Sign On (SSO) cho các ứng dụng và dịch vụ này làrất cấp thiết Cơ chế SSO đảm bảo cho người dùng hợp pháp có thể truy nhập vàorất nhiều những dịch vụ khác nhau trên hệ thống mạng phân tán nhưng chỉ phải sửdụng một tài khoản duy nhất Người sử dụng chỉ cần đăng ký và đăng nhập duynhất một lần vào hệ thống, khi đó trong phiên làm việc của mình họ có thể truy cậpngay lập tức vào các dịch vụ liên kết của hệ thống phân tán mà không phải đăng kýthêm định danh và thông qua quá trình đăng nhập lần nữa Hiện nay có nhiềuphương pháp khác nhau được đưa ra nhằm mục đích ứng dụng cơ chế này, nhưngtrên các thử nghiệm thực tế hầu hết các phương pháp đó đều không ngăn chặnđược các tấn công một cách có chủ ý từ bên ngoài Một số phương pháp có kèmtheo cơ chế đồng bộ thời gian để loại bỏ các truy nhập trái phép, nhưng điều đódẫn đến việc tăng chi phí tính toán

Trước khi có SSO, một người sử dụng đã phải nhập các tài khoản và mật khẩucho từng ứng dụng mỗi khi họ đăng nhập vào các ứng dụng khác nhau hoặc các hệthống trong cùng một phiên Điều này rõ ràng có thể tốn nhiều thời gian, đặc biệt

là trong môi trường thông tin đa phương tiện như hiện nay, khi mà người sử dụngphải đăng nhập mỗi khi họ truy cập vào một hệ thống mới từ máy tính của họ Dovậy, với hệ thống có nhiều website và ứng dụng thì việc sử dụng SSO là rất cầnthiết nhằm đem lại nhiều thuận tiện cho người dùng và tăng tính năng bảo mật

Ví dụ: người dùng sử dụng các dịch vụ của google: gmail, scholar, youtube,google plus, drive… khi chưa có SSO thì với mỗi dịch vụ ta phải nhập thông tin đểxác thực Với SSO người dùng chỉ cần sử dụng một email duy nhất của google để

có thể đăng nhập và khai thác sử dụng tất cả các dịch vụ và ứng dụng của google.Điều đó thực sự mang lại sự thuận tiện và tiết kiệm thời gian cho người dùng tin,khi không phải đăng kí bất kì tài khoản nào khác nữa

Hình 1Một số ứng dụng và dịch vụ của GoogleĐăng nhập là quá trình người dùng sử dụng định danh và các thông tin bí mậtkhác thiết lập một kết nối bảo mật với hệ thống, định danh và các thông tin bí mậtcủa người dùng đã được người dùng đăng ký từ trước với hệ thống Quá trìnhngười dùng đăng nhập bao gồm hai bước xác thực và ủy quyền, trong đó:

● Xác thực (Authentication): Kiểm tra một người dùng có hợp lệ hay

không thông qua các phương thức xác thực của hệ thống Xác thực đượccoi là cốt lõi của quá trình đăng nhập trong một hệ thống thông tin.Chúng ta có thể sử dụng các phương pháp xác thực như: username,password, thẻ thông minh, hay dùng sinh trắc học…

● Ủy quyền (Authorization): Là quá trình kiểm chứng một người dùng đã

được xác thực có đủ quyền truy cập vào tài nguyên mà người dùng yêucầu hay không Tài nguyên yêu cầu có thể phụ thuộc vào chính sách tênmiền (cấp quyền theo tên miền) hoặc một chính sách đặc biệt nào đó (ví

dụ cấp quyền theo cấp)

SSO chỉ được triển khai sau khi đã xây dựng được hệ thống xác thực và phânquyền SSO có nhiệm vụ cung cấp cho người dùng quyền truy cập nhiều tàinguyên web, các ứng dụng trong phạm vi cho phép chỉ với một lần đăng nhập (xácthực)

1.2 Các gi i pháp đăng nh p m t l n ảnh ập một lần ột lần ần

Hiện nay có khá nhiều giải pháp SSO được giới thiệu và đưa vào sử dụng trênthực tế:

● Open Single SignOn (OpenSSO) hoạt động dựa trên Token

● Central Authentication Service (CAS)

● Tivoli Access Manager for Enterprise Single SignOn

● Java Open SSO (JOSSO)

1.3 u khuy t đi m c a c ch đăng nh p m t l n Ưu khuyết điểm của cơ chế đăng nhập một lần ết điểm của cơ chế đăng nhập một lần ểm của cơ chế đăng nhập một lần ủa cơ chế đăng nhập một lần ơng 1: Tổng quan về Single Sign On ết điểm của cơ chế đăng nhập một lần ập một lần ột lần ần

1.3.1 u đi m Ưu khuyết điểm của cơ chế đăng nhập một lần ểm của cơ chế đăng nhập một lần

● Tiết kiệm thời gian cho người sử dụng trong việc đăng nhập vào nhiều dịch

vụ được cung cấp trên các nền tảng khác nhau của hệ thống phân tán

● Tăng cường khả năng bảo mật thông qua việc giúp người sử dụng không cầnnhớ nhiều thông tin đăng nhập (định danh và mật khẩu)

● Giúp cho người quản trị hệ thống tiết kiệm thời gian trong việc tạo lập hayloại bỏ người dùng trên hệ thống, cũng như thay đổi quyền của một hay mộtnhóm người dùng nào đó

● Tiết kiệm thời gian khi tái lập lại mật khẩu cho người dùng

● Bảo mật các cấp độ của việc thoát hay truy xuất hệ thống

● Người phát triển ứng dụng không cần thiết phải hiểu và thực hiện nhận dạngbảo mật trong ứng dụng của họ, điều họ cần làm là liên kết đến một máy chủ

định danh đã được bảo đảm, việc này giúp những người dùng của họ có thểtruy cập vào các dịch vụ khác cũng liên kết đến máy chủ đó như họ.

● Tạo nên sự đồng bộ giữa các dịch vụ và ứng dụng trong cùng một hệ thốngthông tin phục vụ người dùng

1.3.2 Khuy t đi m ết điểm của cơ chế đăng nhập một lần ểm của cơ chế đăng nhập một lần

● Đòi hỏi cơ sở hạ tầng của toàn bộ hệ thống phải bảo đảm

● Do nhiều domain cùng sử dụng chung cơ sở dữ liệu người dùng nên việc xácthực khi người dùng đăng ký với hệ thống phải chặt chẽ, nếu không sẽ rất dễ

vi phạm việc đảm bảo an ninh cho hệ thống

● Cần có cơ chế xác thực đảm bảo khi truyền các thông tin định danh ngườidùng giữa người sử dụng với các máy chủ dịch vụ khác nhau

● Chi phí để triển khai hệ thống SSO là rất tốn kém, cả về phần mềm, phầncứng lẫn nguồn nhân lực, cần phải có sự tính toán cẩn thận trước khi triểnkhai

1.4.C ch ho t đ ng ơng 1: Tổng quan về Single Sign On ết điểm của cơ chế đăng nhập một lần ạt động ột lần

Vậy SSO hoạt động như thế nào?

Khi bạn đăng nhập vào trang web A thì domain của A sẽ tự động lưu ngaythông tin đăng nhập của bạn vào cookie Sau đó, để bạn được tiếp tục đăng nhậpkhi truy cập vào trang web B thì domain B sẽ phải đọc được cookie do trang web

A tạo ra Xét trên lý thuyết, điều này gần như là không thể vì domain của các trìnhduyệt hiện nay chỉ truy cập cookie do chính nó tạo ra

SSO có nhiệm vụ chia sẻ thông tin cookie cho các domain của các trang web với nhau SSO gồm nhiều giai thức với cơ chế chia sẻ khác nhau, nhưng cuối cùng đều tạo ra một domain trung tâm Thông qua domain này, thông tin về cookie của

các trang web sẽ được chia sẻ với domain con

Để có thể dễ hình dung, mình sẽ lấy cho các bạn một ví dụ Ví dụ, domain

trung tâm tạo ra một json web token (jwt) và mã hóa nó Khi bạn truy cập vào

trang web mang domain con thì sẽ được điều hướng đến domain trung tâm nàytoken sẽ được trả lại và lưu ở trình duyệt Sau đó, nếu bạn tiếp tục truy cập vàonhững domain con khác thì tương tự, cũng sẽ được điều hướng đến domain trungtâm, nhưng do lần này đã có token nên việc đăng nhập lại là không cần thiết nữa

2.1.2 Complex SSO.

Complex SSO (single sign on) là dịch vụ xác thực phiên và người dùng chophép người dùng cuối nhập một bộ thông tin đăng nhập (có thể gồm tên và mậtkhẩu) để có quyền truy cập vào nhiều ứng dụng

Điều này giúp người dùng có thể dễ dàng đăng nhập/đăng ký nhiều ứngdụng chỉ bằng duy nhất một tài khoản Dịch vụ xác thực người dùng cuối cho tất cảcác ứng dụng mà người dùng đã được cấp quyền và loại bỏ lời nhắc nhập mật khẩutiếp theo cho các ứng dụng riêng lẻ trong cùng một phiên.

Đặc điểm nổi bật:

● Có thể có nhiều cơ chế xác thực khác nhau

● Được triển khai trên nhiều nền tảng khác nhau và có thể được quản lýbởi các tổ chức khác nhau

● Có thể được triển khai trên internet và extrannet

Một ví dụ điển hình về OAuth 2.0 Authorization là đăng nhập nhiều trang web

sử dụng tài khoản Google hay Facebook

2.2 Các lo i giao th c SSO ạt động ức SSO

Hiện nay có khá nhiều giải pháp SSO được giới thiệu và đưa vào sử dụng trênthực tế:

● OpenID

● OAuth 2.0 Authorization

● Open Single SignOn (OpenSSO) hoạt động dựa trên Token

● Central Authentication Service (CAS)

● IBM Taivoli Access Manager for Enterprise Single SignOn (TSM)

● Java Open SSO (JOSSO)

2.2.1 OpenID.

OpenID là một tiêu chuẩn mở và là một giao thức authen được phân cấp

Được phát triển bởi tổ chức phi lợi nhuận OpenID Foundation, OpenID chophép user có thể được authen bởi rất nhiều website (Relying Parties hoặc RP) sửdụng service của bên thứ 3 Nó giảm được việc phái thiết lập riêng logic signup/login cho mỗi website, cho phép các user có thể login tới nhiều webstie ko hềliên quan tới nhau mà ko cần phải có những định danh và password riêng cho mỗisite

Người dùng thể chọn việc liên kết thông tin với OpenID của họ - thông tin này

sẽ được share tới các website mà họ đã truy cập (ví dụ như tên or mail của người

dùng) Với OpenID, người dùng có thể kiếm soát được lượng thông tin mà họmuốn cho phép các website họ đến thăm biết được.

Với OpenID, chỉ duy nhất identity provider quản lý password, và provider này

sẽ confirm identity của người dùng tới các website mà họ đến thăm, ko có mộtwebsite nào có thể biết được password của họ - đây là một yếu tố bảo mật rất cao.OpenID nhanh chóng nhận được sự công nhận và sự dụng của cộng đồng web,với hơn 1 tỷ OpenID account được thiết lập và 50,000 webstie sử dụng phươngthức OpenID để login Một vài tổ chức lớn cho phép hoặc phát hành OpenIDs ortái sử dụng lại OpenID ví dụ như Google, Facebook, Yahoo!, Microsoft, AOL,MySpace, Sears, Universal Music Group, France Telecom, Novell, Sun, TelecomItalia v.v

Chính vì thế OpenID có nhiều lợi thế có thể kể đến như

● Đăng ký dễ dàng:

Hình 3: Sử dụng OpenID đăng ký tài khoản dễ dàng

● Đăng nhập dễ dàng:

Hình 4: Sử dụng OpenID để đăng nhập một cách dễ dàng

● Cơ chế hoạt động:

Hình 5: Tổng quan giao thức OpenID Connect core 1.0Giao thức OpenID Connect, tóm tắt, thực hiện theo các bước sau: Bước 1: RP (Máy khách) gửi yêu cầu đến Nhà cung cấp OpenID (OP)

Bước 2: OP xác thực Người dùng cuối và được ủy quyền.

Bước 3: OP trả lời bằng Mã thông báo ID (ID Token) và thường là Mã thôngbáo truy cập

Bước 4: RP có thể gửi yêu cầu với Mã thông báo truy cập đến Điểm cuốiUserInfo

Bước 5: Điểm cuối UserInfo trả về Phản hồi về Người dùng cuối

2.2.2 OAuth 2.0 Authorization

OAuth 2.0 Authorization là viết tắt của Open với Authentication hoặc Authorization OAuth ra đời nhằm giải quyết vấn đề trên và xa hơn nữa, đây là

một phương thức chứng thực giúp các ứng dụng có thể chia sẻ tài nguyên với nhau

mà không cần chia sẻ thông tin username và password

OAuth 2.0 Authorization được sinh ra để:

● Authentication: xác thực người dùng

● Authorization: người dùng ủy quyền cho ứng dụng truy cập tài nguyêncủa họ

Cách thức hoạt dộng của OAuth 2.0 Authorization

Khi người dùng đăng nhập bằng Facebook hay Gmail, website sẽ dẫn họ đếntrang (hoặc phần mềm) Facebook và liệt kê những quyền mà nó cần phải có để chophép người dùng đăng nhập và sử dụng dịch vụ

Nếu người dùng đồng ý thì lúc này Facebook sẽ phát cho website một cái tokenToken này chứa một số quyền hạn nhất định giúp cho website có thể xác minhngười dùng đó là ai cũng như giúp cho website có thể hoạt động được

Nếu website này bị hacker tấn công thì nó chỉ lấy được thông tin hay hoạt độngcủa người dùng trên website đó mà không ảnh hưởng đến những website khác màngười dùng đang sử dụng

Do đó cách đăng nhập bằng phương thức OAuth này rất an toàn cho ngườidùng cuối như chúng ta

Quy trình hoạt động được thể hiện qua hình 1:

Hình 6: Quy trình hoạt động của OAuth 2.0 Authorization

● Ứng dụng (website hoặc mobile app) yêu cầu ủy quyền để truy cập vàoResource Server (Gmail, Facebook, Twitter hay Github…) thông quaUser

● Nếu User ủy quyền cho yêu cầu trên, Ứng dụng sẽ nhận được ủy quyền

từ phía User (dưới dạng một token string)

● Ứng dụng gửi thông tin định danh (ID) của mình kèm theo ủy quyền củaUser tới Authorization Server

● Nếu thông tin định danh được xác thực và ủy quyền hợp lệ,Authorization Server sẽ trả về cho Ứng dụng access_token Đến đây quátrình ủy quyền hoàn tất

● Để truy cập vào tài nguyên (resource) từ Resource Server và lấy thôngtin, Ứng dụng sẽ phải đưa ra access_token để xác thực

● Nếu access_token hợp lệ, Resource Server sẽ trả về dữ liệu của tàinguyên đã được yêu cầu cho Ứng dụng

2.2.3 Open Single SignOn (OpenSSO)

OpenSSO là một sản phẩm mã nguồn mở của SUN Nó là một sản phẩm đơn

lẻ, kết hợp các tính năng của Sun Java System Access Manager, Sun Java SystemFederation Manager và Sun System SAML v2 Java Plugin, kiểm soát truy nhập,đảm bảo an toàn các dịch vụ web và các dịch vụ định danh Web Khi truy cập vàonhững tài nguyên được bảo vệ của người dùng, yêu cầu truy cập cần được xác thực

và phải có đủ quyền truy cập Khi một người gửi yêu cầu để truy cập tài nguyên

được bảo vệ, policy agent chặn yêu cầu này và kiểm tra Nếu OpenSSO token đượctìm thấy không hợp lệ, policy agent sẽ yêu cầu máy chủ tiến hành xác thực và cấpphép (Hình 5).

Hình 7: Mô hình đăng nhập duy nhất OpenSSO

Policy agent là ứng dụng web với nhiệm vụ ngăn tất cả yêu cầu đến ứng dụng,

để kiểm tra xem người dùng đã xác thực hay chưa (Hình 2)

Hình 8: Cơ chế hoạt động của OpenSSO

Cơ chế hoạt động của OpenSSO như sau:

- Từ trình duyệt, người dùng kết nối đến ứng dụng web

- Policy Agent sẽ kiểm tra token có tồn tại trong URL hay không Nếu tokenchưa tồn tại thì Policy Agent sẽ chuyển trình duyệt đến OpenSSO máy chủ

- OpenSSO máy chủ xác thực người dùng thông qua trang đăng nhập Ngườidùng nhập tên truy cập/mật khẩu để xác thực

- OpenSSO (tạo ra session cho người dùng và kích hoạt nó nếu xác thực thànhcông)

- OpenSSO gửi token cho trình duyệt (trình duyệt sẽ lưu token dưới dạngcookie) và Trình duyệt sẽ gửi token đến cho Agent

- Policy Agent sẽ lấy thông tin token gửi đến OpenSSO máy chủ để kiểm tra

- OpenSSO sẽ gửi thông tin đăng nhập (tên truy cập, mật khẩu) và thông tin vaitrò đến Agent nếu kiểm tra token hợp lệ.

- Policy Agent sẽ quyết định cho phép truy cập ứng dụng hay không và ghithông tin session trên URL

2.2.4 Central Authentication Service (CAS)

CAS (Central Authenticate Service) là một giải pháp SSO mã nguồn mở đượcphát triển bởi đại học Yale, với các tính năng như sau:

- CAS hỗ trợ nhiều thư viện phía máy khách được viết bởi nhiều ngôn ngữ:PHP, Java, PL/SQL Nó lấy thông tin SSO thông qua cookie Cookie này sẽ bị hủykhi người dùng đăng xuất khỏi CAS hoặc đóng trình duyệt Cookie được sinh rabởi CAS, còn được gọi là TGC (Ticket Granting Cookie) chứa một ID duy nhất

- CAS cung cấp nhiều trình quản lý xác thực (authenticate handler) khác nhau.CAS xác thực nhiều loại thông tin người dùng như tên truy cập/mật khẩu, chứngchỉ khóa công khai X509, để xác thực những thông tin người dùng khác nhaunày, CAS sử dụng những trình quản lý xác thực tương ứng

- CAS cung cấp tính năng “Remember me” Người phát triển có thể cấu hìnhtính năng này trong nhiều file cấu hình khác nhau và khi người dùng chọn

“Remember me” trên khung đăng nhập, thì thông tin đăng nhập sẽ được ghi nhớvới thời gian được cấu hình Khi người dùng mở trình duyệt thì CAS sẽ chuyểnđến service URL tương ứng mà không cần hiển thị khung đăng nhập

Nguyên tắc hoạt động của CAS như sau:

Chứng thực người dùng với máy chủ CAS

- Người dùng nhập tên truy cập/mật khẩu vào khung đăng nhập Các thông tinnày được truyền cho CAS máy chủ thông qua giao thức HTTPS

- Xác thực thành công, TGC được sinh ra và thêm vào trình duyệt dưới hìnhthức là cookie TGC này sẽ được sử dụng để đăng nhập với tất cả các ứng dụng(Hình 7)

Hình 9: Người dùng truy cập khi đã chứng thực với CAS máy chủ

Truy cập vào ứng dụng của người dùng

Trường hợp người dùng truy cập vào ứng dụng khi đã chứng thực với CASmáy chủ:

- Người dùng truy xuất ứng dụng thông qua trình duyệt

- Ứng dụng lấy TGC từ trình duyệt và chuyển nó cho CAS máy chủ thông quagiao thức HTTPS

- Nếu TGC này là hợp lệ, CAS máy chủ trả về một Service Ticket (ST) chotrình duyệt, trình duyệt truyền ST vừa nhận cho ứng dụng

- Ứng dụng sử dụng ST nhận được từ trình duyệt và sau đó chuyển nó choCAS máy chủ

- CAS máy chủ sẽ trả về ID của người dùng cho ứng dụng, mục đích là đểthông báo với ứng dụng là người dùng này đã được chứng thực bởi CAS máy chủ.

- Ứng dụng đăng nhập cho người dùng và bắt đầu phục vụ người dùng

Trường hợp người dùng truy cập vào ứng dụng mà chưa chứng thực với CASmáy chủ:

- Người dùng truy xuất ứng dụng thông qua trình duyệt Vì chưa nhận đượcTGC nên ứng dụng sẽ chuyển hướng người dùng cho CAS máy chủ

- Người dùng cung cấp tên truy cập/mật khẩu của mình thông qua khung đăngnhập để CAS xác thực Thông tin được truyền đi thông qua giao thức HTTPS

- Xác thực thành công, CAS máy chủ sẽ trả về cho trình duyệt đồng thời cảTGC và ST

- Trình duyệt sẽ giữ lại TGC để sử dụng cho các ứng dụng khác (nếu có) vàtruyền ST cho ứng dụng nêu trên

- Ứng dụng chuyển ST cho CAS máy chủ và nhận về ID của người dùng

- Ứng dụng đăng nhập cho người dùng và bắt đầu phục vụ người dùng (Hình8)

Hình 10: Người dùng truy cập mà chưa chứng thực với CAS

2.2.5 Security Assertion Markup Language (SAML)

SAML là gì:

SAML hoặc “Ngôn ngữ đánh dấu xác nhận bảo mật” là một trong những giaothức web được sử dụng phổ biến nhất cho phép đăng nhập một lần (SSO) Nó đượchầu hết mọi người dùng internet và các tổ chức sử dụng hàng ngày Đây là mộtgiao thức phổ quát giúp giảm khoảng cách giữa miền cục bộ và bất kỳ ứng dụng /dịch vụ web bên ngoài nào cần biết thông tin đăng nhập, do đó loại bỏ sự gia tăngmật khẩu không an toàn Ví dụ: bạn có thể coi xác thực SAML như một chứngminh thư: một cách đơn giản, cởi mở và được tiêu chuẩn hóa để cho biết ai đó là

ai Bạn không cần phải tiến hành một loạt các xét nghiệm DNA để tìm ra danh tínhcủa ai đó Tất cả những gì bạn phải làm là nhìn vào thẻ ID của họ

Ngoài ra, một trong những thách thức lớn trong tính toán và mạng là khả năngtương tác; đưa các hệ thống khác nhau với các thông số kỹ thuật khác nhau do cácnhà cung cấp khác nhau xây dựng để hoạt động song song Xác thực SAML là mộttiêu chuẩn có thể tương tác và được chấp nhận rộng rãi bởi nhiều ngành côngnghiệp, cơ quan chính phủ và doanh nghiệp lớn để triển khai danh tính liên kết

Cách thức hoạt động của SAML

Quy trình xác thực SAML điển hình bao gồm ba thành phần (hình 9):

Chủ đề: Đây luôn là người dùng hoặc nhân viên đang cố gắng truy cập vào

dịch vụ được lưu trữ trên đám mây

Nhà cung cấp danh tính (IdP): Dịch vụ phần mềm đám mây lưu trữ và kiểm

tra danh tính người dùng, thường thông qua quy trình đăng nhập Về cơ bản, côngviệc của IdP là nói, “Tôi biết cá nhân này, và đây là những điều họ được phéplàm” Trên thực tế, một hệ thống SAML có thể tách rời khỏi IdP và hoạt động nhưmột đại diện của IdP

Nhà cung cấp dịch vụ (SDP): Ứng dụng được lưu trữ trên đám mây hoặc dịch

vụ web mà người dùng muốn sử dụng Ví dụ: các nền tảng email đám mây nhưGmail hoặc Microsoft Outlook, các dịch vụ lưu trữ đám mây như AWS s3 hoặcGoogle Drive và các ứng dụng liên lạc như Skype hoặc Slack Thông thường ngườidùng sẽ đăng nhập trực tiếp vào các ứng dụng này Tuy nhiên, trong trường hợp

SAML, người dùng đăng nhập vào SAML để cấp cho họ quyền truy cập cần thiếtthay vì đăng nhập trực tiếp.

Hình 11: Quy trình xác thực SAML

● Nếu người dùng cố gắng truy cập tài nguyên trên máy chủ, nhà cung cấpdịch vụ sẽ kiểm tra xem người dùng có được xác thực trong hệ thốnghay không Nếu đúng, bạn chuyển sang bước 7 và nếu không, nhà cungcấp dịch vụ sẽ bắt đầu quá trình xác thực

● Nhà cung cấp dịch vụ xác định nhà cung cấp danh tính thích hợp chobạn và chuyển hướng yêu cầu đến nhà cung cấp danh tính

● Một yêu cầu xác thực đã được gửi đến dịch vụ SSO (SINGLE ON) và dịch vụ SSO nhận dạng bạn

SIGN-● Dịch vụ SSO trả về cùng với tài liệu XHTML, chứa thông tin xác thực

do nhà cung cấp dịch vụ yêu cầu trong tham số SAMLResponse

● Tham số SAMLResponse được chuyển tới Dịch vụ người tiêu dùng xácnhận (ACS) tại nhà cung cấp dịch vụ

● Nhà cung cấp dịch vụ xử lý yêu cầu và tạo bối cảnh bảo mật; bạn đã tựđộng đăng nhập

● Sau khi đăng nhập, bạn có thể yêu cầu một tài nguyên mà bạn muốn

● Cuối cùng, tài nguyên được trả lại cho bạn

Ch ương 1: Tổng quan về Single Sign On ng 3:M t s ph n m m và Demo ột lần ố phần mềm và Demo ần ề Single Sign On

Hiện nay cơ chế xác thực đăng nhập SSO đã trở nên rất phổ biến, cùng với đó

là sự đa dạng của các dịch vụ, các sản phẩm ra đời ngày càng nhiều để phục vụ chonhiều nhu cầu

Bảng dưới đây liệt kê các phần mềm SSO phổ biến hiện nay của chúng tôi:

Tên

sản phẩ m

Nhà phát triển

Loại hình Nền tảng Mô tả

Accounts

& SSO

Nokia, Intel,

…

Miễn phí

Client-side implementati

on with plugins for various services/proto

c ols

Novell

NetIQ Thương mại

webSSO to browser based applications