Escolar Documentos
Profissional Documentos
Cultura Documentos
Logon único
O logon único ( SSO ) é um esquema de autenticação que permite que um usuário faça login
com um único ID em qualquer um dos vários sistemas de software relacionados, mas
independentes.
O verdadeiro logon único permite que o usuário faça login uma vez e acesse os serviços sem inserir
novamente os fatores de autenticação.
Não deve ser confundido com o mesmo logon (autenticação de servidor de diretório), geralmente
realizado usando o Lightweight Directory Access Protocol (LDAP) e bancos de dados LDAP
armazenados em servidores (de diretório). [1] [2]
Uma versão simples de logon único pode ser obtida em redes IP usando cookies , mas somente se
os sites compartilharem um domínio pai DNS comum. [3]
Para maior clareza, é feita uma distinção entre Autenticação do Servidor de Diretório (mesmo
logon) e logon único: A Autenticação do Servidor de Diretório refere-se a sistemas que exigem
autenticação para cada aplicativo, mas usando as mesmas credenciais de um servidor de diretório,
enquanto o logon único se refere para sistemas onde uma única autenticação fornece acesso a
vários aplicativos, passando o token de autenticação perfeitamente para aplicativos configurados.
Por outro lado, assinatura única ou logout único ( SLO ) é a propriedade pela qual uma única
ação de saída encerra o acesso a vários sistemas de software.
Benefícios
Os benefícios de usar o logon único incluem:
Mitigar o risco de acesso a sites de terceiros ("autenticação federada") [5] porque as senhas
dos usuários não são armazenadas ou gerenciadas externamente
Reduza o cansaço das senhas devido a diferentes combinações de nome de usuário e senha
Reduza o tempo gasto reinserindo senhas para a mesma identidade [5]
Reduza os custos de TI devido ao menor número de chamadas de suporte técnico de TI sobre
senhas [6]
Administração mais simples. As tarefas relacionadas ao SSO são executadas de forma
transparente como parte da manutenção normal, usando as mesmas ferramentas usadas para
outras tarefas administrativas.
https://en.wikipedia.org/wiki/Single_sign-on 1/7
07/10/2023, 11:04 Logon único - Wikipédia
Crítica
O termo logon reduzido (RSO) tem sido usado por alguns para refletir o fato de que o logon único
é impraticável para atender à necessidade de diferentes níveis de acesso seguro na empresa e,
como tal, pode ser necessário mais de um servidor de autenticação. . [7]
Como o logon único fornece acesso a muitos recursos uma vez que o usuário é inicialmente
autenticado ("chaves do castelo"), aumenta o impacto negativo caso as credenciais estejam
disponíveis para outras pessoas e sejam utilizadas indevidamente. Portanto, o logon único requer
um foco maior na proteção das credenciais do usuário e, idealmente, deve ser combinado com
métodos de autenticação fortes, como cartões inteligentes e tokens de senha de uso único . [7]
Além disso, o uso de técnicas de logon único utilizando serviços de redes sociais como o Facebook
pode inutilizar sites de terceiros em bibliotecas, escolas ou locais de trabalho que bloqueiam sites
de redes sociais por motivos de produtividade. Também pode causar dificuldades em países com
regimes de censura activos , como a China e o seu “ Projecto Escudo Dourado ”, onde o website de
terceiros pode não ser censurado activamente, mas é efectivamente bloqueado se o login social de
um utilizador for bloqueado. [9] [10]
Segurança
Em março de 2012, [11] um artigo de pesquisa relatou um extenso estudo sobre a segurança dos
mecanismos de login social . Os autores encontraram oito falhas lógicas graves em provedores de
ID de alto perfil e sites de terceiros, como OpenID (incluindo Google ID e PayPal Access),
https://en.wikipedia.org/wiki/Single_sign-on 2/7
07/10/2023, 11:04 Logon único - Wikipédia
Em maio de 2014, uma vulnerabilidade chamada Covert Redirect foi divulgada. [13] Foi relatada
pela primeira vez "Vulnerabilidade de redirecionamento oculto relacionada ao OAuth 2.0 e
OpenID" por seu descobridor Wang Jing, um estudante de doutorado em matemática da
Universidade Tecnológica de Nanyang , Cingapura. [14] [15] [16] Na verdade, quase todos os Os
protocolos de logon único são afetados. O Covert Redirect aproveita clientes de terceiros
suscetíveis a um XSS ou Open Redirect. [17]
Devido ao funcionamento do logon único, ao enviar uma solicitação ao site logado para obter um
token SSO e enviar uma solicitação com o token ao site desconectado, o token não pode ser
protegido com o sinalizador de cookie HttpOnly e, portanto , pode ser roubado por um invasor se
houver uma vulnerabilidade XSS no site desconectado, para realizar sequestro de sessão . Outro
problema de segurança é que se a sessão usada para SSO for roubada (que pode ser protegida com
o sinalizador de cookie HttpOnly, diferentemente do token SSO), o invasor poderá acessar todos os
sites que usam o sistema SSO. [20]
Privacidade
Conforme implementado originalmente no Kerberos e no SAML, o logon único não dava aos
usuários nenhuma opção sobre a liberação de suas informações pessoais para cada novo recurso
visitado pelo usuário. Isso funcionou bem dentro de uma única empresa, como o MIT, onde o
Kerberos foi inventado, ou grandes corporações onde todos os recursos eram sites internos. No
entanto, à medida que os serviços federados, como os Serviços de Federação do Active Directory,
proliferavam, as informações privadas do usuário eram enviadas para sites afiliados que não
estavam sob controle da empresa que coletava os dados do usuário. Como as regulamentações de
privacidade estão agora mais rígidas com legislações como o GDPR , os métodos mais recentes,
como OpenID Connectcomeçaram a ficar mais atraentes; por exemplo, o MIT, o criador do
Kerberos, agora oferece suporte ao OpenID Connect . [21]
Endereço de e-mail
Em teoria, o logon único pode funcionar sem revelar informações de identificação, como endereços
de e-mail, à parte confiável (consumidor de credenciais), mas muitos provedores de credenciais
não permitem que os usuários configurem quais informações são repassadas ao consumidor de
credenciais. A partir de 2019, o login do Google e do Facebook não exige que os usuários
compartilhem endereços de e-mail com o consumidor da credencial. “ Sign in with Apple ”
https://en.wikipedia.org/wiki/Single_sign-on 3/7
07/10/2023, 11:04 Logon único - Wikipédia
Configurações comuns
Baseado em Kerberos
O logon inicial solicita credenciais ao usuário e obtém um TGT ( tíquete de concessão de
tíquete ) Kerberos .
Aplicativos de software adicionais que exigem autenticação, como clientes de email , wikis e
sistemas de controle de revisão , usam o ticket de concessão de tickets para adquirir tickets
de serviço, provando a identidade do usuário ao servidor de email/servidor wiki/etc. insira
novamente as credenciais.
Ambiente Unix / Linux - Login via módulos Kerberos PAM busca TGT. Aplicativos clientes
Kerberizados, como Evolution , Firefox e SVN , usam tickets de serviço, portanto, o usuário não é
solicitado a autenticar novamente.
O login inicial solicita ao usuário o cartão inteligente . Aplicativos de software adicionais também
usam o cartão inteligente, sem solicitar que o usuário insira novamente as credenciais. O logon
único baseado em cartão inteligente pode usar certificados ou senhas armazenadas no cartão
inteligente.
Autenticação Integrada do Windows é um termo associado aos produtos Microsoft e refere-se aos
protocolos de autenticação SPNEGO , Kerberos e NTLMSSP com relação à funcionalidade SSPI
introduzida com o Microsoft Windows 2000 e incluída emsistemas operacionais posteriores
baseados no Windows NT . O termo é mais comumente usado para se referir às conexões
autenticadas automaticamente entre o Microsoft Internet Information Services e o Internet
Explorer . Active Directory multiplataformaos fornecedores de integração estenderam o paradigma
da Autenticação Integrada do Windows para sistemas Unix (incluindo Mac) e Linux.
Security Assertion Markup Language (SAML) é um método baseado em XML para troca de
informações de segurança do usuário entre um provedor de identidade SAML e um provedor de
serviços SAML . SAML 2.0 oferece suporte à criptografia XML W3C e trocas de login único de
navegador da Web iniciadas pelo provedor de serviços. [23] Um usuário que utiliza um agente de
usuário (geralmente um navegador da Web) é chamado de sujeito no logon único baseado em
SAML. O usuário solicita um recurso da web protegido por um provedor de serviços SAML. O
provedor de serviços, desejando conhecer a identidade do usuário, emite uma solicitação de
autenticação para um provedor de identidade SAML através do agente do usuário. O provedor de
https://en.wikipedia.org/wiki/Single_sign-on 4/7
07/10/2023, 11:04 Logon único - Wikipédia
identidade é aquele que fornece as credenciais do usuário. O provedor de serviços confia nas
informações do usuário do provedor de identidade para fornecer acesso aos seus serviços ou
recursos.
Configurações emergentes
Uma variação mais recente de autenticação de logon único foi desenvolvida usando dispositivos
móveis como credenciais de acesso. Os dispositivos móveis dos usuários podem ser usados para
registrá-los automaticamente em vários sistemas, como sistemas de controle de acesso predial e
sistemas de computador, por meio do uso de métodos de autenticação que incluem OpenID
Connect e SAML, [24] em conjunto com um X.509 . Certificado de criptografia ITU-T usado para
identificar o dispositivo móvel para um servidor de acesso.
Um dispositivo móvel é “algo que você tem”, em oposição a uma senha que é “algo que você sabe”,
ou biometria (impressão digital, varredura de retina, reconhecimento facial, etc.) que é “algo que
você é”. Os especialistas em segurança recomendam o uso de pelo menos dois desses três fatores (
autenticação multifator ) para melhor proteção.
Veja também
Pré-sequestro de conta
Serviço Central de Autenticação
Gerenciamento de identidade
Sistemas de gerenciamento de identidade
Lista de implementações de logon único
Gerenciador de senhas
Linguagem de marcação de declaração de segurança
Usabilidade de sistemas de autenticação web
Referências
1. "Qual é a diferença entre SSO (logon único) e LDAP?" (https://jumpcloud.com/blog/sso-vs-lda
p). JumpCloud . 14/05/2019 . Recuperado em 27/10/2020 .
2. "Autenticação SSO e LDAP" (https://archive.today/20140523114521/http://www.authentication
world.com/Single-Sign-On-Authentication/SSOandLDAP.html) . Authenticationworld. com.
Arquivado do original (http://www.authenticationworld.com/Single-Sign-On-Authentication/SSO
andLDAP.html) em 23/05/2014 . Recuperado em 23/05/2014 . (https://archive.today/20140523
114521/http://www.authenticationworld.com/Single-Sign-On-Authentication/SSOandLDAP.html)
(http://www.authenticationworld.com/Single-Sign-On-Authentication/SSOandLDAP.html)
3. "OpenID versus servidor de logon único" (http://alleged.org.uk/pdc/2007/08/13.html) .
alegado.org.uk. 13/08/2007 . Recuperado em 23/05/2014 . (http://alleged.org.uk/pdc/2007/08/1
3.html)
4. "Provedor OpenID Connect - OpenID Connect Single Sign-On (SSO) - Autenticação OIDC
OAuth" (https://www.onelogin.com/pages/openid-connect) . UmLogin . (https://www.onelogin.c
om/pages/openid-connect)
5. "Logon único e autenticação federada" (https://kb.iu.edu/d/bbrl). kb.iu.edu. (https://kb.iu.edu/d/
bbrl)
https://en.wikipedia.org/wiki/Single_sign-on 5/7
07/10/2023, 11:04 Logon único - Wikipédia
https://en.wikipedia.org/wiki/Single_sign-on 6/7
07/10/2023, 11:04 Logon único - Wikipédia
Links externos
Introdução de login único com diagramas (https://pubs.opengroup.org/onlinepubs/008329799/
chap1.htm)
https://en.wikipedia.org/wiki/Single_sign-on 7/7