درگاه احراز هویت یکپارچه چیست و چگونه کار می‌کند؟

SSO چیست؟ Single Sign On

تصور کنید که به یک مرکز خرید می‌روید و در هر غرفه باید برای اولین خرید خود مجددا ثبت نام کنید و ثابت کنید که شما چه کسی هستید تا بتوانید خرید خود را کامل کنید. متأسفانه، این دقیقاً همان چیزی است که هنگام خرید برخط (online) در اینترنت اتفاق می‌افتد. هر وب‌سایت شما را وادار می‌کند که یک هویت جدید و منحصر به فرد ایجاد کنید. علاوه بر این، هر بار که وارد می‌شوید لازم است مجددا احراز اصالت کنید. سوال بزرگی که پیش می‌آید این است که چرا ورود به سامانه‌ها نمی‌تواند مانند دنیای بیرون باشد؟ چرا نمی‌توانیم هر کجا که می‌خواهیم برویم یک هویت یکپارچه جهانی مانند شناسنامه، گذرنامه یا گواهینامه رانندگی نشان دهیم؟ این همان مشکلی است که درگاه احراز هویت یکپارچه (Single Sign On)، برای حل آن به وجود آمده است.

در حالی که برخی از ویژگی‌های وب گزینه ورود با استفاده از هویت شبکه‌های اجتماعی (مانند فیسبوک و گوگل) را ارائه می‌دهند، اکثر مشتریان هنوز باید برای دسترسی به هر ویژگی و خدمت در سطح وب ثبت‌نام انجام دهند. راه‌حل‌هایی وجود دارد که به مشتریان اجازه می‌دهد از یک هویت دیجیتال واحد به صورت یکپارچه برای ورود به چندین دامنه استفاده کنند. درگاه SSO یک نشست (session) متمرکز و خدمت احراز اصالت است که در آن می‌توان از مجموعه‌ای از اعتبارنامه‌های ورود برای دسترسی به چندین برنامه استفاده کرد. به زبان ساده، “SSO به مشتریان کمک می‌کند تا با یک بار احراز اصالت، وارد چندین دامنه یا برنامه شوند”. 

برخی از پروتکل‌های اصلی SSO عبارتند از:

• SAML
• JWT
• OAuth
• OpenID

راه‌حل‌های همگام‌سازی گذرواژه نیز وجود دارد که اغلب در دسته‌بندی راه‌حل‌های احراز هویت یکپارچه به سامانه‌ها دسته‌بندی می‌شوند. با این حال، این راه‌حل‌ها در دسته SSO که این روزها کسب‌وکارها به دنبال آن هستند قرار نمی‌گیرند. 

 

مزایای درگاه احراز هویت یکپارچه (Single Sign on) چیست؟

هر کسب ‌وکاری که بیش از یک وب‌سایت یا برنامه کاربردی گوشی تلفن همراه دارد، باید از شیوه احراز هویت یکپارچه به سامانه برای مزایای زیر استفاده کند:

1. تجربه کاربری ساده و روان برای مشتریان: مشتریان می‌توانند از یک هویت واحد برای پیمایش چندین دامنه وب و موبایل یا خدمات برنامه‌های کاربردی استفاده کنند. 
2. یکسان نمودن پروفایل‌های مشتری: ایجاد یک نمونه واحد از داده‌های مشتری، دید متمرکزی از مشتری در تمام کانال‌ها فراهم می‌کند. 
3. کاهش هزینه‌ها: هزینه‌های فناوری اطلاعات به دلیل تماس‌های کمتر و درخواست راهنمایی در مورد مشکلات ناشی از گذرواژه‌ها کمتر خواهد شد. همچنین از آنجا که مشتریان می‌توانند با یک نشست فعال به همه دامنه‌ها و خدمات دسترسی داشته باشند، منابع لازم اندکی کاهش خواهد یافت. 
4. کاهش تهدیدها: خطر دسترسی به سایت‌های شخص ثالث با توجه به عدم ذخیره یا مدیریت گذرواژه‌های کاربر در فضای بیرونی، کاهش خواهد یافت. 
5. کاهش خستگی و سردرگمی در ورود گذرواژه‌ها: تعدد نام‌های کاربری و گذرواژه‌ها کاهش یافته و از سردرگمی کاربران کاسته خواهد شد. 
6. کاهش زمان ورود: زمان صرف شده توسط مشتری برای وارد کردن مجدد گذرواژها برای یک هویت واحد کاهش می‌یابد. 

 

پیاده‌سازی درگاه احراز هویت یکپارچه (Single Sign On)

تصمیم‌‌گیری در خصوص بهترین روش پیاده‌سازی به معماری فنی و نیازهای کسب و کار بستگی دارد. موارد زیر باید هنگام تصمیم گیری در مورد نحوه اجرای یک راهکار احراز هویت یکپارچه در نظر گرفته شوند:

1. آیا SSO بهترین گزینه برای کسب و کار شماست؟ به عنوان مثال، آیا می‌خواهید وب‌سایت‌ها و برنامه‌های شما با هم مرتبط شوند؟ آیا می‌خواهید مشتریان شما بتوانند از یک هویت مشترک استفاده کنند؟ یا می‌خواهید آنها به تمام خدمات دیجیتال وارد شوند؟
2. اگر به مشتریان خود اجازه استفاده از یک هویت واحد را بدهید، کدام پایگاه‌ها و برنامه‌ها را می‌خواهید بگنجانید؟ به عنوان مثال، آیا می‌خواهید مشتریان شما بتوانند با هویت یکسان به تمام خدمات دیجیتال شما دسترسی داشته باشند؟ یا فقط برخی از آنها؟
3. پس از مشخص شدن موار یاد شده، در مرحله بعد باید تصمیم بگیرید که کدام روش پیاده‌سازی برای کسب و کار شما بهترین است. به عنوان مثال، آیا می‌خواهید یک درگاه احراز هویت یکپارچه برای ورود به سیستم را خودتان بسازید؟ آیا تخصص و زمان لازم برای این کار را دارید؟ یا می‌خواهید یک راه حل حاضر و آماده را از بیرون خریداری کنید؟

 

سرویس احراز هویت یکپارچه بدون رمز عبور شرکت رهسا مبتنی بر فایدو

همانطور که قبلا توضیح داده شد، درگاه احراز هویت یکپارچه (Single Sign On) به مشتریان اجازه می‌دهد تا با یک هویت دیجیتال وارد وب‌سایت‌ها یا برنامه‌های مرتبط شوند. این کار را می‌توان با متمرکز کردن فرآیند ارائه هویت و احراز اصالت انجام داد. 

اگر نتایج بررسی‌های شما برای چگونگی پیاده‌سازی این سرویس، منجر به تصمیم‌گیری در خصوص استفاده از یک راه‌حل آماده در این زمینه گشت، شرکت رهسا (ره آورد سامانه‌های امن) می‌تواند بهترین گزینه برای کمک به شما باشد. این شرکت با توجه به داشتن محصولی به نام نشانه برای ارائه خدمات احراز اصالت بدون رمز عبور مبتنی بر استاندارد فایدو، قادر است اجرای امن، سریع و آسان این سرویس را، در یک سطح امنیتی بالاتر و سادگی بیشتر برای کاربران شما انجام دهد. در واقع با استفاده از سرویس احراز هویت یکپارچه شرکت رهسا، نه تنها تمامی قابلیت‌های این سرویس برای شما فراهم خواهد شد، بلکه حتی امکان ورود بدون رمز نیز برای کاربران شما مهیا خواهد شد. از این رو تمامی ویژگی‌های امنیتی استاندارد فایدو و همچنین تجربه کاربری ساده آن نیز، همزمان برای شما محقق می‌گردد. 

احراز هویت چند عاملی مقاوم به حملات فیشینگ

احراز هویت چند عاملی (MFA) یک کنترل امنیتی است که کاربر را ملزم می‌کند تا ترکیبی از دو یا چند عامل مختلف (چیزی که می‌داند، چیزی که دارد یا چیزی که هست) را برای اثبات صحت هویت خود ارائه کند. MFA کار را برای حمله‌کنندگان نسبت به حالت استفاده از گذرواژه‌ها که به راحتی با حملات فیشینگ قابل سرقت هستند دشوارتر می‌کند. هنگامی که MFA فعال شده باشد، حتی با سرقت یکی از عوامل همچون گذرواژه، همچنان حمله‌کننده بدون عامل دوم، امکان دسترسی به حساب کاربر را نخواهد داشت. در ادامه ویژگی‌های احراز هویت چند عاملی مقاوم به فیشینگ یا همان بدون احراز هویت رمز عبور مبتنی بر FIDO را تشریح خواهیم نمود.

 

گزارش CISA در خصوص استفاده از MFA

آژانس امنیتی زیرساخت و سایبری (Cybersecurity & Infrastructure Security Agency – CISA) به طور مداوم از سازمان‌ها خواسته است که MFA را برای همه کاربران و همه خدمات، از جمله ایمیل، اشتراک‌گذاری فایل و دسترسی به حساب‌های مالی فعال کنند. MFA یک اقدام ضروری برای کاهش تهدیدات سایبری است، هرچند همه شیوه‌های آن به یک اندازه ایمن نیستند. برخی از آنها در برابر حملات فیشینگ، جابجایی سیم کارت (SIM Swap)، آسیب‌پذیری پروتکل  SS7 و بمباران اعلان‌‌ها (Push Bombing) آسیب‌پذیر هستند. این حملات در صورت موفقیت‌آمیز بودن، ممکن است به یک عامل تهدید جدی تبدیل شوند.

CISA یک نمای کلی از تهدیدات علیه حساب‌ها و سیستم‌هایی که از MFA استفاده می‌کنند، ارائه کرده است. این نهاد همچنین راهنماهایی در مورد اجرای MFA مقاوم در برابر حملات فیشینگ که امن‌ترین شکل آن است تدوین نموده است. CISA قویا اصرار دارد همه سازمان‌ها برای اجرای MFA مقاوم در برابر حملات فیشینگ به عنوان بخشی از اصول اعتماد صفر Zero Trust اقدام کنند. در حالی که هر شکلی از MFA بهتر از عدم وجود آن است و سطح حمله به سازمان را کاهش‌ می‌دهد، MFA مقاوم در برابر حملات فیشینگ بسیار موثرتر بوده و سازمان‌ها باید مهاجرت به سمت آن را در اولویت کاری خود قرار دهند.

تهدیدات سایبری احراز اصالت MFA

عوامل تهدید سایبری از روش‌های متعددی برای دسترسی به اعتبارنامه‌های MFA استفاده می‌کنند که عبارتند از:

• فیشینگ: حملات فیشینگ نوعی مهندسی اجتماعی است که در آن عوامل تهدید سایبری از ایمیل یا وبسایت‌های جعلی برای سرقت اطلاعات استفاده می‌کنند. بعنوان مثال، در یک شیوه فیشینگ که به طور گسترده مورد استفاده قرار می‌گیرد، یک عامل تهدید ایمیلی را به یک هدف ارسال می‌کند تا کاربر را متقاعد کند که از یک وبسایت جعلی و تحت کنترل وی (تقلیدشده و کاملا مشابه با صفحه وب اصلی) بازدید کند. کاربر نام کاربری و گذرواژه و همچنین عامل سوم (همچون کد چند رقمی دریافتی از برنامه احراز کننده تلفن همراه) خود را وارد می‌کند. حمله‌کننده از این اطلاعات، بلافاصله و قبل از ابطال کد مورد نظر، برای ورود به صفحه اصلی مربوطه، به جای کاربر استفاده خواهد نمود.
• بهره‌برداری از آسیب‌پذیری‌های پروتکل SS7: عوامل تهدید سایبری از آسیب‌پذیری‌های پروتکل SS7 در زیرساخت‌های ارتباطی برای دریافت کدهای MFA که از طریق پیام متنی (SMS) یا صوتی به تلفن کاربر ارسال می‌شوند، سوء استفاده می‌کنند.
• تعویض سیم‌کارت (SIM Swap) : جابجایی سیم‌ کارت شکلی از مهندسی اجتماعی است که در آن عوامل تهدید سایبری، اپراتورهای تلفن همراه را متقاعد می‌کنند که کنترل شماره تلفن کاربر را به یک سیم‌کارت کنترل شده توسط تهدیدگر منتقل کنند. بدین ترتیب این کار به حمله کننده اجازه می‌دهد تا کنترل تلفن همراه کاربر را به دست آورد.

 

پیاده‌سازی MFA مقاوم در برابر حملات فیشینگ

تنها شیوه احراز اصالت مقاوم در برابر حملات فیشینگ، FIDO/WebAuthn است. انجمن فایدو در ابتدا پروتکل WebAuthn را به عنوان بخشی از استانداردهای فایدو2 توسعه داد و اکنون توسط کنسرسیوم وب جهانی (W3C) منتشر شده است. پشتیبانی از WebAuthn در مرورگرهای اصلی، سیستم عامل‌ها و تلفن‌های همراه هوشمند نیز گنجانده شده است. WebAuthn با استانداردهای مرتبط با فایدو2 کار می‌کند تا یک احراز کننده مقاوم در برابر حملات فیشینگ را ارائه کند. احرازکننده‌های WebAuthn می‌تواند شامل یکی از موارد زیر باشد:

• کلیدها/توکن‌های فیزیکی که از طریق USB به سامانه متصل می‌شوند.
• گوشی‌های تلفن همراه به عنوان احرازکننده پلتفرم
• سایر دستگاه‌های دارای پروتکل NFC و یا اسمارت کارت

 

اجرای احراز هویت چند عاملی (MFA) مقاوم در برابر حملات فیشینگ

اولویت بندی مراحل اجرایی

آژانس CISA به مدیران IT سازمان‌ها به منظور اولویت‌بندی مهاجرت به MFA مقاوم در برابر فیشینگ توصیه‌هایی ارائه نموده است. برای این منظور سازمان‌ها باید ملاحظات زیر را در نظر داشته باشند:

• چه منابعی را قصد دارند در برابر نفوذ محافظت کنند؟ به عنوان مثال، عوامل تهدید سایبری اغلب سیستم‌های‌ ایمیل، سرورهای فایل و سیستم‌های دسترسی از راه دور به داده‌های سازمان را هدف قرار می‌دهند. آنها همچنین سعی می‌کنند سرورهای هویت مانند اکتیو دایرکتوری را به خطر بیندازند که به آنها اجازه می‌دهد حساب‌های کاربری جدید ایجاد کنند یا کنترل حساب‌های کاربری موجود را در دست بگیرند.
• کدام کاربران اهداف باارزشی هستند؟ در حالی که به خطر افتادن هر حساب کاربری می‌تواند یک رویداد امنیتی جدی ایجاد کند، هر سازمان تعداد کمی حساب کاربری دارد که دسترسی یا امتیازات بالا دارند که به ویژه برای تهدیدکننده‌های سایبری ارزشمند هستند. برای مثال اگر یک تهدیدگر سایبری بتواند حساب مدیر/راهبر سیستم را به خطر بیاندازد، ممکن است بتواند به هر سیستم و هر داده‌ای در سازمان دسترسی داشته باشد. نمونه‌‌ای دیگر از اهداف با ارزش کارکنان منابع انسانی هستند که ممکن است به سوابق پرسنل دسترسی داشته باشند.

 

مسائل مشترک و مسیرهای رو به جلو

هنگام شروع استقرار MFA، سازمان‌ها با موانع رایجی مواجه خواهند شد. این مسائل احتمالی پیش رو عبارتند از:

• برخی از سیستم‌ها ممکن است MFA مقاوم در برابر حملات فیشینگ را پشتیبانی نکنند. برخی محصولات شاید دیگر توسط فروشندگان پشتیبانی نشوند یا هنوز احراز اصالت MFA در اولویت برنامه‌های کاری آنها قرار نداشته باشد. از این رو CISA سازمان‌ها را تشویق می‌کند که ابتدا بر خدماتی تمرکز کنند که MFA مقاوم در برابر حملات فیشینگ را پشتیبانی می‌کنند، همچون سرورهای ایمیل و سیستم‌های SSO.
• ممکن است استقرار MFA برای همه کارکنان به طور همزمان دشوار باشد. به عنوان مثال، ممکن است آموزش، ثبت نام و پشتیبانی همه کاربران به طور همزمان غیرممکن بوده یا ملاحظات عملیاتی دیگری وجود داشته باشد که سازمان را از ارائه MFA مقاوم در برابر حملات فیشینگ به برخی گروه‌ها در مرحله اول باز دارد. از این رو باید در نظر بگیرید که چه گروه‌هایی ممکن است برای مرحله اول مناسب باشند. به عنوان مثال مدیران و کارکنان IT می‌تواند نقطه شروع خوبی بوده و از آنجا گسترش به سایر بخش‌های سازمان تحت آموزش این افراد صورت ‌گیرد.
• ممکن است نگرانی‌هایی وجود داشته باشد که کاربران در برابر مهاجرت به MFA مقاومت کنند. مدیران امنیت باید خطرات مرتبط با نداشتن MFA (یا بکارگیری MFA آسیب‌پذیر) را برای تایید به مدیران عالی و ارشد سازمان ارائه کنند. اگر مدیر ارشد سازمان تصمیم بگیرد که خطر عدم استفاده از MFA مقاوم در برابر فیشینگ بسیار زیاد است، فرصت مناسبی برای کمک گرفتن از مدیر ارشد سازمان و همچنین راضی نمودن سایر افراد فراهم خواهد شد.

راهکار مدیریت هویت و دسترسی بدون رمز عبور شرکت رهسا با عنوان نشانه، مبتنی بر استاندارد FIDO است. این راهکار طبق توضیحات بالا، یک شیوه MFA مقاوم در برابر حملات فیشینگ است. نشانه به گونه‌ای طراحی شده تا احراز اصالت را مبتنی بر کلید عبور (Passkey) با تجربه کاربری ساده در اختیار سازمان‌ها قرار دهد. راهکار احراز اصالت نشانه، تضمین می‌کند که الگوهای زیست‌سنجی (همچون اثرانگشت) به عنوان کلید، نگرانی‌های امنیتی را در حوزه مدیریت هویت و دسترسی کاهش دهد.

دلایل نیاز شرکت‌های کوچک/متوسط به کلیدهای امنیتی

وقتی صحبت از امنیت می‌شود، رمزهای عبور یک نقطه ضعف بزرگ محسوب می‌شوند. هکرها و مجرمان سایبری در سرقت رمزهای عبور و سوء استفاده از حفره‌های امنیتی مهارت فوق العاده‌ای پیدا کرده‌اند. این امر به ویژه برای شرکت‌های کوچک و متوسط که احتمالا منابع کافی برای سرمایه‌گذاری در حوزه امنیت ندارند، ​​نگران‌کننده‌تر نیز خواهد بود. خوشبختانه، استفاده از کلیدهای امنیتی مبتنی بر FIDO به عنوان یک راه‌حل احراز هویت قوی در بین این شرکت‌ها محبوبیت فزاینده‌ای پیدا کرده است. در این روش، رمزهای عبور با حالتی امن‌تر از احراز هویت جایگزین شده و پاسخی ساده و موثر به بسیاری از خطرات و مشکلات امنیتی فراهم خواهد شد. در ادامه این نوشته به دلایل استفاده از کلیدهای امنیتی برای رفع مشکلات احراز هویت خواهیم پرداخت.

 

آسیب‌ها و تهدیدهای مرتبط با رمزهای عبور

گذرواژه‌ها طبیعتاً آسیب‌پذیر هستند و خطرات قابل توجهی برای سازمان‌ها در هر اندازه‌ای به همراه دارند. برخی از خطرات عمده عبارتند از:

• استفاده مجدد از رمز عبور: بسیاری از افراد از رمز عبور یکسانی در چندین حساب استفاده می‌کنند و این یک اثر دومینویی ایجاد می‌کند که در آن در صورت نقض یکی از حساب‌ها، همه حساب‌ها در معرض خطر قرار می‌گیرند.

• حملات و کلاهبرداری‌های فیشینگ: فیشینگ که یکی از رایج‌ترین شکل حملات سایبری است، غالبا به فریب دادن افراد برای تحویل رمز عبور خود متکی است.

• رمزهای عبور ضعیف و ناامن: انتخاب گذرواژه‌های کوتاه و یا مواردی که به راحتی قابل حدس زدن هستند نیز یکی از بزرگترین مشکلات در این زمینه بوده که منجر به آسیب‌پذیر شدن سامانه‌های مرتبط می‌گردد.

• احراز هویت سنتی دو مرحله ای: احراز هویت سنتی و معمول دو مرحله‌ای، مانند کدهای پیامکی، نیز آسیب پذیر است، زیرا مهاجمان می‌توانند از شیوه‌های مختلف همچون مهندسی اجتماعی برای متقاعد کردن اپراتورهای تلفن همراه برای انتقال شماره تلفن کاربران به آنها استفاده کنند.

  

استفاده از کلیدهای امنیتی FIDO برای بهبود امنیت

استفاده از کلیدهای امنیتی دارای مزایای متعددی است که می‌تواند خطراتی مانند نقض داده‌ها را کاهش دهد. برخی از مزایا عبارتند از:

• امنیت بیشتر: کلیدهای امنیتی سطح بالاتری از امنیت را نسبت به سایر شیوه‌های احراز هویت ارائه می‌کنند. از آنجایی که احراز هویت به صورت محلی انجام می‌شود و به یک دستگاه فیزیکی متکی است، نفوذ هکرها به حساب‌های شما را دشوار می‌کند.

• احراز هویت کاربرپسند: فرآیند استفاده از کلید امنیتی بسیار کاربرپسندتر نسبت به گذرواژه‌ها است. کاربران به سادگی کلید امنیتی را به سامانه مربوطه وصل کرده و روی یک دکمه ضربه می‌زنند و به راحتی احراز هویت می‌شوند.

• هزینه و زمان کمتر: کلیدهای امنیتی به صورت گسترده در حال استفاده بوده و بسیار و مقرون به صرفه هستند. بی‌نیاز نمودن کاربران از به خاطر سپردن گذرواژه‌ها و همچنین کاهش تماس‌ها با واحد فناوری سازمان برای بازنشانی آنها، می‌تواند سرعت کار افراد را بالاتر برده و هزینه‌های سازمان را کاهش دهد.

 

تبدیل دستگاه‌های موجود به کلیدهای امنیتی FIDO

پروتکل‌های کلید امنیتی FIDO تضمین می‌کنند که فقط شما می‌توانید به حساب‌های خود دسترسی داشته باشید و نه هیچ کس دیگری. بنابراین، اگر کلید فیزیکی خود را گم کنید، هیچ کس دیگری نمی‌تواند از آن برای دسترسی به حساب شما استفاده کند. آنها به هیچ نرم‌افزار یا درایور اضافی نیاز ندارند و با بسیاری از سایت‌ها و برنامه‌های کاربردی محبوب کار می‌کنند. اینها از دلایل نیاز به استفاده از کلیدهای امنیتی برای رفع مشکلات احراز هویت بود که در طول این نوشته تشریح شد.

خبر خوب این است که برای بهبود امنیت داده‌های خود لزوما نیازی به خرید دستگاه‌های جدید ندارید. راهکار احراز هویت بدون رمز عبور نشانه محصول شرکت رهسا (ره‌آورد سامانه‌های امن)، به شما کمک می‌کند تا از دستگاه‌هایی که هم‌اکنون در اختیار دارید، به عنوان کلیدهای امنیتی FIDO استفاده کنید. با استفاده از تلفن‌های همراه هوشمند، کارت‌های شناسایی و یا هر وسیله‌ای که دارای RFID یا NFC باشد، راهکار نشانه به شما اجازه می‌دهد تا تنها در عرض چند ثانیه، فرآیند احراز هویت خود را بدون نیاز به گذرواژه انجام داده و از داده‌های حساس سازمان خود حفاظت کنید.

احراز اصالت بدون رمز عبور LDAP مبتنی بر FIDO

در دنیای دیجیتال امروز، اطمینان از احراز اصالت ایمن و کارآمد همچون استفاده از شیوه های احراز هویت بدون رمز عبور برای محافظت از اطلاعات حساس و حفظ یکپارچگی سامانه‌ها حیاتی است. احراز هویت LDAP (اکتیو دایرکتوری) راه‌حلی قوی برای مدیریت هویت کاربران و دسترسی آنها در برنامه‌ها و سیستم‌های مختلف است. LDAP یک رویکرد امن و متمرکز برای احراز هویت کاربران و مدیریت متمرکز آنها در زیرساخت شبکه یک سازمان فراهم می‌کند. در ادامه به مفهوم احراز اصالت در این پروتکل، ملاحظات آن، مزایا، نحوه پیاده‌سازی، بهترین شیوه‌ها و چالش‌های آن می‌پردازیم.

 

آشنایی با مبانی LDAP

LDAP یا Lightweight Directory Access Protocol یک پروتکل کاربردی است که برای دسترسی و مدیریت اطلاعات دایرکتوری‌ها استفاده می‌شود. این پروتکل یک رویکرد استاندارد برای ذخیره، بازیابی و اصلاح داده‌ها در یک ساختار دایرکتوری سلسله مراتبی ارائه می‌دهد و از آن می‌توان برای خواندن و دریافت اطلاعات از سرورهای دایرکتوری مانند Microsoft Active Directory یا OpenLDAP در شبکه استفاده کرد. این پروتکل غالبا از ارتباط با یک فراهم‌کننده هویت Identity provider مانند اکتیو دایرکتوری برای احراز هویت کاربران استفاده می‌کند. همچنین می‌توان احراز هویت چند عاملی (MFA) را به فرآیند احراز اصالت اضافه نمود تا یک مرحله امنیتی اضافی برای احراز اصالت کاربران ایجاد گردد.

LDAP روی یک مدل کلاینت/سرور جایی که مشتریان درخواست‌هایی را برای اطلاعات دایرکتوری به سرور ارسال می‌کنند، کار می‌کند. سرور که به عنوان سرور LDAP شناخته می‌شود، اطلاعات مربوط به کاربر و سامانه‌ها را در یک پایگاه داده دایرکتوری منطبق بر یک ساختار نامگذاری یکتا یا Distnguished Name (DN) برای فراهم نمودن امکان شناسایی و مکان‌یابی ورودی‌ها ذخیره می‌کند.

 

مقدمه‌ای بر احراز اصالت LDAP

احراز اصالت در LDAP (اکتیو دایرکتوری) برای تایید اعتبار کاربر در مقابل سرور دایرکتوری اصلی که به عنوان سرور شناخته می‌شود، استفاده می‌شود. برای آماده نمودن سرور  بدین منظور می‌بایست ابتدا آن را راه‌اندازی کنید. این کار شامل نصب و پیکربندی نرم‌افزار سرور مانند OpenLDAP یا Microsoft Active Directory است. هنگامی که سرور راه‌اندازی شد، باید تنظیمات احراز هویت را پیکربندی کنید. این کار شامل تعریف آدرس، پورت و جزئیات اتصال سرور در برنامه یا سامانه مورد نظر است. در انتها همچنین LDAP این امکان را فراهم می‌کند تا ویژگی‌های خاصی را از سرور داریرکتوری به پروفایل‌های کاربر در برنامه یا سامانه نگاشت شود. این نگاشت تضمین می‌کند که اطلاعات کاربر مانند نام کاربری، آدرس ایمیل و عضویت او در گروه‌ها، در حین احراز هویت از سرور واکشی شود.

 

مزایای احراز هویت LDAP

مدیریت متمرکز کاربر: احراز هویت LDAP مدیریت متمرکز کاربران را فراهم می‌کند که در آن هویت‌ها و ویژگی‌های کاربر در یک سرور دایرکتوری واحد ذخیره می‌شوند. این امر مدیریت کاربران را تسهیل می‌کند، زیرا تغییرات  ایجاد شده در سرور LDAP به همه برنامه‌ها و سیستم‌های متصل منتشر می‌شود.

امنیت بالاتر: LDAP با رمزگذاری ارتباط به سرور، احراز هویت ایمن را فراهم می‌کند. علاوه بر این، این پروتکل از ویژگی‌های امنیتی پیشرفته مانند رمزگذاری SSL/TLS و احراز اصالت مبتنی بر اعتبارنامه نیز پشتیبانی می‌کند.

مقیاس‌پذیری و انعطاف‌پذیری: این پروتکل قابلیت استقرار در مقیاس وسیع را داشته و همچنین از نظر ادغام با برنامه‌ها و سامانه‌های مختلف نیز انعطاف‌پذیری خوبی را فراهم می‌کند که نتیجه آن، امکان احراز هویت یکپارچه  در سراسر سازمان خواهد بود.

 

ملاحظات برای بهترین احراز اصالت

برای اطمینان از اجرای ایمن و کارآمد احراز اصالت، بهتر است موارد زیر در نظر گرفته شود:

به‌روزرسانی منظم: نرم‌افزار سرور LDAP بهتر است به طور مرتب با آخرین ویرایش‌ها و وصله‌ها به‌روزرسانی شود. این کار به رفع هر گونه آسیب‌پذیری کمک کرده و ثبات وقابلیت اطمینان فرآیند احراز اصالت را تضمین می‌کند.

پیاده‌سازی کانال‌های ارتباطی امن: بهتر است از رمزگذاری SSL/TLS برای ایمن‌سازی ارتباط بین کلاینت‌ها و سرورهای LDAP استفاده شود. با  این کار از دسترسی‌های غیرمجاز جلوگیری شده و از اطلاعات حساس کاربر در حین احراز اصالت محافظت می‌گردد.

نظارت و ثبت فعالیت: مکانیسم‌های نظارت و ثبت گزارش (log) برای ردیابی فعالیت می‌بایست پیاده‌سازی شوند. این کار به شناسایی و بررسی هر گونه تلاش مشکوک یا دسترسی غیرمجاز کمک کرده و به یکپارچگی فرآیند احراز اصالت کمک می‌کند.

استفاده از سیاست‌های رمز عبور قوی: توصیه می‌شود سیاست‌های رمز عبور قوی مانند حداقل طول رمز عبور، الزامات پیچیدگی و انقضای رمز عبور در سرور اعمال شود. این کار یک لایه امنیتی اضافی به فرآیند احراز اصالت اضافه می‌کند.

 

پیکربندی برای پذیرش احراز هویت مبتنی بر MFA

احراز هویت LDAP می‌تواند بامکانیسم‌های چند عاملی (MFA) برای افزایش امنیت بیشتر ادغام شود. این شیوه ممکن است شامل ترکیب LDAP با عامل‌های احراز هویت اضافی مانند رمزهای عبور یکبار مصرف (OTP) یا احراز اصالت بی‌نیاز از گذرواژه مبتنی بر فایدو و معیارهای زیست‌سنجی باشد. MFA برای LDAP در واقع راهی برای محافظت از کاربران LDAP با احراز اصالت چند عاملی با معرفی یک لایه حفاظتی اضافی در هنگام ورود کاربر به برنامه است. وجود احراز اصالت چندعاملی، همه کاربران را ملزم می‌کند که حداقل دو عامل احراز اصالت را در هر بار ورود به برنامه ارائه دهند. اولین عامل معمولا گذرواژه آنهاست. عامل دوم یکی از روش‌های احراز اصالت امن است.

نحوه فعال کردن MFA برای کاربران LDAP بسته به نوع سرویس مورد نظر، متفاوت است. بعنوان مثال می‌توان از کاربران LDAP برای ورود به سرویس‌های دسکتاپ از راه دور، VPN و برنامه‌های ابری محافظت کرد. فراهم کنندگان هویت (IdP) برای LDAP نیز شیوه خاص جهت پیکربندی MFA برای برنامه‌های LDAP و تعیین سیاست‌های مرتبط ارائه می‌دهند. بدین ترتیب هنگامی که کاربر اقدام به ثبت ورود به برنامه LDAP می‌کند، هنگامی که کاربر نام کاربری و گذرواژه خود را وارد کرد، یک اعلام فشاری (push notification) روی گوشی تلفن همراه خود دریافت خواهد کرد که به محض تایید، وارد سیستم می‌شوند.

 

استفاده از  نسل دوم پروتکل فایدو (FIDO2) برای احراز هویت LDAP

فایدو2 یک چارچوب جدید از فایدو برای احراز اصالت قوی است که شامل دو مشخصه WebAuthn (Web Authentication API) و CTAP (Client to Authenticator Protocol) است.

احراز اصالت فایدو2 از کلید عمومی به جای گذرواژه استفاده می‌کند. بنابراین سرور، کلید عمومی را به عنوان اعتبارنامه کاربر در پایگاه داده خود ذخیره می‌کند. سرور فایدو2 می‌تواند اعتبارنامه‌ها را در دایرکتوری LDAP نیز ذخیره کند. برای این منظور، اعتبارنامه هایی که مرتبط با احرازکننده ایجاد می‌شوند در دایرکتوری ou=Credentials ذخیره شده و ورودی کاربر در ou=Users ذخیره می‌گردد.

نمونه Schema LDAP برای ذخیره‌سازی اعتبارنامه‌های فایدو2 در زیر نشان داده شده است:

ویژگی Fido2CredentialID برای ذخیره credential_id استفاده شده که یک شناسه منحصربه‌فرد است که به یک کلید عمومی نگاشت شده است. ویژگی fido2PublicKey نیز برای ذخیره یک کلید عمومی که توسط احرازکننده در حین ثبت اعتبارنامه ایجاد شده، استفاده می‌شود. ویژگی fido2UserID برای ذخیره سازی user.id در مشخصات WebAuthn، استفاده می‌شود. user.id یک شناسه است که باید به ورودی اعتبار و ورودی کاربر نگاشت شود. ویژگی fido2UserID به صورت یک شناسه اتفاقی یکتا ایجاد می‌شود و همچنین به ورودی کاربر وقتی که برای اولین بار اعتبارنامه خود را ثبت می‌کند، اضافه می‌شود. با استفاده از موارد ذکر شده، البته با مقداری جزئیات بیشتر، امکان احراز هویت کاربران به LDAP بدون استفاده از گذرواژه فراهم می‌شود. این کار که در انطباق کامل با استاندارد فایدو انجام می‌پذیرد، یکی از به‌روزترین و امن‌ترین شیوه‌های احراز هویت موجود در دنیای دیجیتال است.

 

پشتیبانی از LDAP و اکتیو دایرکتوری با راهکار نشانه

راهکار احراز هویت بدون رمز عبور نشانه نیز که در شرکت رهسا توسعه داده شده است، انطباق کامل با LDAP و به ویژه اکتیو دایرکتوری دارد. استفاده از این راهکار می‌تواند به سازمان‌ها  در این زمینه کمک فراوان نماید. پیاده‌سازی بسیار ساده، امکان ارتباط با انواع سامانه‌ها و همچنین وجود درگاه احراز هویت یکپارچه، راهکار نشانه را به ابزاری پرکاربرد برای سازمان‌ها در زمینه مدیریت هویت و احراز اصالت تبدیل نموده است. امنیت بالا و تجربه کاربری بسیار ساده برای افراد، از مهمترین مزایای این راهکار است که می‌تواند فضای کاری سازمان را بسیار تغییر داده و علاوه‌بر جذابیت، از هزینه‌های سازمان نیز به میزان قابل توجهی بکاهد.