Tìm Hiểu Single Sign-On (SSO): Giải pháp đăng nhập một lần

Bạn thấy đó, việc quản lý hàng chục tài khoản và mật khẩu trở thành gánh nặng đối với cả người dùng lẫn các tổ chức, doanh nghiệp. Thông thường, bạn có thể sẽ phải nhớ mật khẩu cho email, các ứng dụng làm việc, dịch vụ giải trí, tài khoản ngân hàng,.... quá khó khăn mà còn tiềm ẩn rủi ro bảo mật nghiêm trọng, vì cá nhân mình thấy người dùng có xu hướng lặp lại hoặc sử dụng những mật khẩu dễ đoán cho nhiều dịch vụ khác nhau.

Single Sign-On (SSO) xuất hiện như giải pháp để giải quyết vấn đề này. Với SSO, bạn chỉ cần đăng nhập một lần duy nhất để truy cập vào tất cả các ứng dụng và dịch vụ của bạn. Nhưng làm thế nào mà một lần đăng nhập lại có thể mở khóa quyền truy cập vào nhiều dịch vụ đến vậy? Và liệu nó có thật sự an toàn?

Trong bài viết này, chúng ta sẽ khám phá SSO từ các khái niệm cơ bản, cách thức hoạt động, các giao thức phổ biến, đến những lợi ích và thách thức mà nó mang lại

1. SSO là gì?

Single Sign-On (SSO) là một phương thức xác thực cho phép người dùng đăng nhập vào nhiều ứng dụng và dịch vụ khác nhau chỉ với một lần nhập thông tin tài khoản duy nhất. Điều này có nghĩa là người dùng chỉ cần nhập tên đăng nhập và mật khẩu một lần, sau đó có thể truy cập vào các dịch vụ liên quan mà không cần phải đăng nhập lại.

Một vài ví dụ phổ biến về SSO:

• Google SSO: bạn chỉ cần đăng nhập một lần vào tài khoản Google, sau đó có thể truy cập tất cả các dịch vụ như: Gmail, Google Drive, và YouTube mà không cần phải đăng nhập lại.
• Facebook SSO: nhiều website cho phép bạn đăng nhập bằng tài khoản Facebook, giúp bạn không cần tạo tài khoản riêng trên từng trang.
• Microsoft SSO: khi đăng nhập vào tài khoản Microsoft, bạn có thể truy cập vào: Outlook, OneDrive, và Microsoft Teams mà không cần phải đăng nhập lại từng ứng dụng.

2. Tại sao SSO lại quan trọng?

• Bạn sẽ không cần phải nhớ nhiều tài khoản và mật khẩu cho từng ứng dụng. Điều này làm cho việc truy cập nhanh chóng hơn và tiện lợi hơn, đặc biệt cá nhân bạn cũng sẽ thấy thoải mái hơn.
• Khi chỉ cần bảo mật một tài khoản, việc quản lý bảo mật trở nên dễ dàng hơn. Hơn nữa, quản trị viên có thể áp dụng các chính sách bảo mật chặt chẽ hơn cho tài khoản chính.
• Người dùng và quản trị viên không phải tốn thời gian xử lý nhiều thông tin xác thực. SSO đơn giản hóa việc quản lý đăng nhập.

3. Các thành phần chính trong hệ thống SSO

SSO hoạt động dựa trên sự tương tác giữa các thành phần chính như Identity Provider (IdP), Service Provider (SP), session và token.

3.1 Identity Provider (IdP)

Identity Provider là nhà cung cấp dịch vụ xác thực - nơi xác minh danh tính của người dùng. Các IdP phổ biến bao gồm: Google, Facebook, Microsoft, Okta và Auth0. Khi người dùng đăng nhập vào IdP, IdP sẽ chịu trách nhiệm kiểm tra thông tin xác thực và xác nhận danh tính của người dùng.

3.2 Service Provider (SP)

Service Provider là các ứng dụng, trang web hoặc hệ thống mà người dùng muốn truy cập. SP tin tưởng vào thông tin xác thực từ IdP và cho phép người dùng truy cập vào dịch vụ mà không yêu cầu đăng nhập lại. Ví dụ, nếu bạn sử dụng Facebook để đăng nhập vào một ứng dụng, ứng dụng đó là SP, còn Facebook là IdP.

3.3 Session (Phiên làm việc)

Session là khoảng thời gian mà người dùng đã đăng nhập. Sau khi đăng nhập thành công, session sẽ lưu giữ thông tin đăng nhập của người dùng. Lúc này, người dùng có thể tiếp tục truy cập các ứng dụng liên quan mà không cần phải nhập lại thông tin đăng nhập cho đến khi session hết hạn hoặc người dùng đăng xuất.

3.4 Token (Mã xác thực)

Token là một chuỗi ký tự mã hóa đại diện cho phiên làm việc của người dùng. Sau khi IdP xác thực thành công người dùng, nó sẽ tạo ra một token và gửi token này tới Service Provider. Service Provider sẽ sử dụng token này để xác nhận danh tính của người dùng mỗi khi họ truy cập các dịch vụ khác nhau.

4. Cách thức hoạt động của SSO

Cách thức hoạt động của SSO thường khác nhau phụ thuộc vào các giao thức sử dụng như: OAuth 2.0, SAML, hoặc Kerberos. Tuy nhiên, quy trình cơ bản thường diễn ra như này:

1. Người dùng truy cập vào một ứng dụng hoặc website yêu cầu xác thực (Service Provider).
2. Ứng dụng nhận thấy rằng người dùng chưa được xác thực nên sẽ chuyển hướng họ đến trang đăng nhập của Identity Provider
3. Tại trang đăng nhập của IdP, người dùng nhập tài khoản và mật khẩu của mình. Nếu hệ thống sử dụng xác thực hai yếu tố (2FA), người dùng có thể cần cung cấp thêm mã OTP hoặc xác nhận qua ứng dụng xác thực.
4. Sau khi xác thực thành công, IdP sẽ tạo ra một token, thường sẽ là JWT (JSON Web Token) hoặc SAML assertion, chứa thông tin về danh tính và quyền của người dùng.
5. Token được gửi lại qua browser của người dùng hoặc qua server. Điều này có thể được thực hiện bằng cách chuyển hướng người dùng trở lại ứng dụng kèm theo token trong URL hoặc thông qua phương thức POST.
6. Ứng dụng nhận được token và kiểm tra tính hợp lệ của nó (ví dụ: xác minh chữ ký số, kiểm tra thời gian hết hạn). Nếu token hợp lệ, ứng dụng sẽ tạo một session cho người dùng và lưu trữ các thông tin cần thiết.
7. Sau khi session được thiết lập, người dùng có thể truy cập vào chức năng và dữ liệu trong ứng dụng mà không cần phải đăng nhập lại.
8. Nếu người dùng truy cập vào các ứng dụng khác được liên kết với cùng IdP, họ sẽ không cần phải đăng nhập lại vì đã thiết lập xác thực.

Các giao thức SSO phổ biến:

• OAuth 2.0: OAuth là một giao thức ủy quyền, cho phép một ứng dụng (SP) yêu cầu IdP cấp quyền truy cập cho một tài nguyên thay mặt cho người dùng. Đây là một trong những giao thức phổ biến nhất, thường được sử dụng kèm với OpenID Connect (OIDC) để xác thực người dùng. Ví dụ như: Google hay Facebook Login.

Ví dụ quy trình chi tiết với OAuth 2.0:

1. Khi bạn mở ứng dụng A trên browser hoặc điện thoại (Service Provider).
2. Ứng dụng A cung cấp options "Đăng nhập bằng Google". Bạn chọn tùy chọn này, ứng dụng bắt đầu quy trình OAuth 2.0.
3. Browser được chuyển hướng bạn tới trang xác thực của Google, kèm theo các tham số như: client_id, redirect_uri, scope, và response_type.
4. Bạn cần nhập email và password của Google. Nếu sử dụng 2FA, có thể cần nhập thêm mã xác thực.
5. Sau khi xác thực thành công, Google chuyển hướng trở lại redirect_uri của ứng dụng A, kèm theo mã ủy quyền trong URL.
6. Ứng dụng A gửi mã ủy quyền này tới máy chủ của Google để yêu cầu token truy cập (access token) và token ID (ID token).
7. Google xác thực yêu cầu và trả về token truy cập và token ID cho ứng dụng A.
8. Ứng dụng A sử dụng token ID để xác minh danh tính bạn và tạo session.
9. Sau khi bạn đã xác thực thì có thể sử dụng các tính năng của ứng dụng mà không cần đăng nhập lại.

• SAML (Security Assertion Markup Language): SAML là một giao thức dùng để trao đổi thông tin xác thực và quyền truy cập giữa IdP và SP dưới dạng XML. SAML thường được sử dụng trong các tổ chức lớn, nơi mà quản lý danh tính và quyền truy cập là một vấn đề quan trọng.

Quy trình SAML cơ bản:

1. Bạn truy cập vào ứng dụng (SP) và yêu cầu đăng nhập.
2. Ứng dụng tạo một yêu cầu xác thực SAML và chuyển hướng bạn đến IdP.
3. Bạn thực hiện xác thực tại IdP.
4. IdP tạo một SAML assertion và gửi nó trở lại SP.
5. SP xác thực SAML assertion và tạo session.

• Kerberos: giao thức xác thực mạnh, thường sử dụng trong các mạng nội bộ của tổ chức, doanh nghiệp. Kerberos hoạt động dựa trên hệ thống mã hóa đối xứng và được thiết kế để ngăn chặn các cuộc tấn công trên mạng.

Quy trình Kerberos cơ bản:

1. Bạn đăng nhập và nhận một Ticket Granting Ticket (TGT) từ KDC.
2. Khi truy cập dịch vụ, bạn sử dụng TGT để yêu cầu Service Ticket cho dịch vụ.
3. Bạn trình Service Ticket cho dịch vụ để xác thực và truy cập.

5. Lợi ích của SSO

5.1 Đối với người dùng

• Bạn không phải ghi nhớ nhiều thông tin đăng nhập cho nhiều dịch vụ khác nhau, chỉ cần nhớ một bộ thông tin duy nhất.
• Chỉ cần đăng nhập một lần, người dùng có thể truy cập nhiều ứng dụng khác mà không cần phải nhập lại tài khoản và mật khẩu.
• Giảm số lượng thông tin đăng nhập cần sử dụng, người dùng có thể bảo vệ tài khoản của mình tốt hơn.

5.2 Đối với tổ chức/doanh nghiệp

• Việc quản lý tài khoản và truy cập dễ dàng hơn, đặc biệt trong các tổ chức lớn có hàng ngàn người dùng.
• SSO giúp kiểm soát truy cập vào các hệ thống và ứng dụng quan trọng, dễ dàng áp dụng các biện pháp bảo mật như xác thực hai yếu tố (2FA).

6. Rủi ro và thách thức của SSO

6.1 Rủi ro

• Nếu thông tin đăng nhập của tài khoản chính bị xâm nhập, hacker có thể truy cập tất cả các dịch vụ liên quan mà không cần thông tin đăng nhập thêm.
• Nếu token bị tấn công, hacker có thể giả mạo danh tính người dùng để truy cập các dịch vụ.

6.2 Thách thức

• Phụ thuộc vào một hệ thống xác thực duy nhất: nếu hệ thống SSO hoặc IdP bị lỗi hoặc bị tấn công, người dùng sẽ không thể truy cập vào bất kỳ ứng dụng nào.
• Phức tạp trong việc triển khai: đối với các tổ chức lớn, triển khai một hệ thống SSO an toàn và hiệu quả có thể rất phức tạp.

7. Các phương pháp bảo mật SSO

• Cá nhân mình thấy, SSO cần được kết hợp với 2FA (xác thực hai yếu tố) để tăng cường bảo mật. Ngay cả khi bạn bị lộ mật khẩu, bạn vẫn sẽ được bảo vệ bởi một lớp bảo mật nữa (ví dụ mã OTP, ứng dụng xác thực).
• Sử dụng các hệ thống giám sát đăng nhập và phát hiện những hành vi đáng ngờ, chẳng hạn như đăng nhập từ địa điểm lạ hoặc nhiều lần thất bại.
• Giới hạn thời gian hiệu lực của token và buộc người dùng xác thực lại sau một khoảng thời gian nhất định.

8. Kết luận

SSO mang lại nhiều lợi ích cho cả người dùng lẫn tổ chức, doanh nghiệp, từ việc nâng cao trải nghiệm người dùng cho đến việc quản lý bảo mật cách hiệu quả hơn. Tuy nhiên, khi triển khai SSO đối với tổ chức, doanh nghiệp cần phải thận trọng để đảm bảo hệ thống được bảo mật kỹ lưỡng và tránh các rủi ro.

Các bài viết liên quan:

• SQL Injection là gì? Mối Đe Dọa Đối Với Cơ Sở Dữ Liệu
• SSL/TLS và HTTPS là gì? Giải pháp Bảo mật cho kết nối Web an toàn
• Làm sao để liệt kê và revoke access token JWT
• Bảo mật thông tin: Cách lưu trữ mật khẩu trong Database một cách an toàn