مرکز فناوری اطلاعات و ارتباطات- صفحه نمایش
مستندات sso

حذف تصاویر و رنگ‌ها  | تاریخ ارسال: 1399/4/28 | 

راه اندازی سیستم احراز هویت متمرکز
دانشگاه خوارزمی

 
 
فهرست مطالب:
- مفاهیم SSO
- دلایل نیاز دانشگاه به راه اندازی SSO
- شرکت های بررسی شده
- جدول مقایسه شرکت های مورد مطالعه
- نتیجه انتخاب فنی
- هزینه های جانبی راه اندازی SSO
- شرح خدمات شرکت های برگزیده


- مفاهیمSSO  :
SSO  مخفف Single Sign On می‌باشد که به عمل وارد شدن یک کاربر به سایت‌‏ها و برنامه‌های مختلف تنها با یک نام کاربری و رمز عبور یکسان اشاره دارد. به این معنی که اطلاعات مربوط به اعتبارسنجی و تأیید هویت کاربر یعنی username و password ، در یک ناحیه امن نگهداری می‌‏شود و از آن پس کاربر به منظور ورود به سایت‏‌ها و بخش‏‌های مختلف (دسترسی به برنامه‌های متعدد) نیازی به login مجدد ندارد. این سیستم قابلیت متمرکز کردن احراز هویت انواع سیستم‏‌های نرم‌افزاری، فارغ از مکانیزم مورد استفاده برای احراز هویت را در خود دارد. در ساختار SSO کاربر صرفاً یک نام کاربری و رمز عبور یکتا در شبکه دارد که بلافاصله بعد از اینکه وارد یک سیستم در ساختار SSO شود می‏‌تواند از تمامی منابعی که برای وی در شبکه تعریف شده است استفاده کند، بدون نیاز به اینکه برای هر منبع اطلاعاتی نام کاربری و رمز عبور جدیدی وارد کند. در SSO امنیت کلمه عبور بسیار حائز اهمیت است و اکانت‏‌هایی که بین سیستم‌‏ها انتقال پیدا می‌‏نمایند باید بصورت رمزنگاری شده بکار گرفته شوند. سهولت در ویرایش اکانت‌‏ها (مانند تغییر رمز عبور) و حذف حساب‏‌های کاربری در مدیریت سیستم‌‏ها، از مزیت‏های SSO به شمار می‏‌آیند. به این معنی که اطلاعات مربوط به اعتبار سنجی و تائید هویت کاربر یعنی user name و password ، در یک ناحیه امن به صورت موقت نگهداری میشود و از آن پس این کاربر به منظور ورود به سایت ها و بخش های مختلف (دسترسی به برنامه های متعدد) نیازی نیست مجددا Login نماید. در این هنگام درصورت لزوم اطلاعات اکانت کاربر با اطلاعات ثبت شده ای که مربوط به حقوق و تعیین سطح دسترسی آن کاربر است تطبیق داده می شود و در صورت عدم محدودیت اجازه ورود او صادر می شود.
 
 
به بیان دیگر SSO پروسه احراز هویت یا Session کاربر می باشد که به او اجازه می دهد تا برای دستیابی به چندین برنامه نرم افزاری مستقل ولی مرتبط، از یک نام کاربری و کلمه عبور یکسان استفاده نماید.
 SSO با  Enterprise Single Sign On یا  ESSO نیز شناخته می شود.
 SSO کاربران را قادر می سازد تا یک ID و پسورد مشابه برای Login نمودن در چند برنامه یک سازمان وارد نمایند.
با  SSO توسعه دهندگان نرم افزار نیازی به درک و پیاده سازی امنیت هویت در برنامه های کاربردی خود ندارند. در حقیقت در هنگام جابه جائی بین برنامه های کاربردی در طول یک نشست یا جلسه،  SSO برای تمام برنامه های کاربردی که حق استفاده از آنها از کاربر سلب نشده است، به کاربر اعتبار می بخشد.
جهت دسترسی به سایت ها و منابع مختلف، لازم است تا کاربران نام و کلمه عبور منحصر به فرد و بعضا پیچیده ای که معمولا تعداد کاراکترهای آنها بین ۸-۱۰ کاراکتر می باشد، داشته باشند؛ به مرور و با افزایش تعداد این Account ها، احتمال فراموشی آنها نیز افزایش پیدا می کند.
با استفاده از ساختار  SSO یک نام کاربری و کلمه عبور Unique  برای کاربر وجود خواهد داشت که با استفاده از آن در سیستمی که از ساختار SSO  استفاده می نماید؛ می تواند به کلیه بخش ها و منابع دسترسی داشته باشد و نیازی به وارد نمودن نام کاربری و کلمه عبور جدید برای ورود نخواهد داشت.
در  SSO امنیت کلمه عبور بسیار حائز اهمیت است و اکانت هایی که بین سیستم ها انتقال پیدا می نمایند باید بصورت رمزنگاری شده بکار گرفته شوند.
سهولت در ویرایش اکانت ها (مثل تغییر رمز عبور) و حذف حساب های کاربری در مدیریت سیستم ها، از مزیت های  SSO به شمار می آیند.
 
پیاده سازی  SSO به روش های مختلفی صورت می پذیرد که دو روش آن در زیر آورده شده است:
 اسکریپت:
در این روش اسکریپت، اطلاعات اکانت کاربر را به صورت رمزگذاری شده به سیستم تشخیص هویت ارسال می کند و پس از تایید هویت، کاربر وارد سیستم می شود.
  کوکی:
در این روش کوکی های سیستم کاربر به سروری که کاربر می خواهد به آن وارد شود ارسال می شود. در واقع سیستم های نرم افزاری تحت وبی که دامنه (Domain) مشابه دارند، اما بر روی چند سرور قرار گرفته اند، جهت تشخیص هویت کاربر از کوکی هایی استفاده می نمایند که بصورت رمزنگاری شده هستند و بر روی سیستم کاربر قرار گرفته اند. به این ترتیب هویت کاربر در تمامی سرورها تایید می شود.

پروتکل های پشتیبانی کننده SSO :
LDAP -
CAS -
Kerberos - 
SESAME -
Kryptoknight -
NetSP -
در حال حاضر SSO بسیار فراگیر شده و استفاده از آن در حال گسترش است    . 
 

-دلایل نیاز دانشگاه به راه اندازی SSO :
  با توجه به تعدد سامانه های موجود در دانشگاه که دائماً نیز در حال گسترش می باشد و همچنین تعداد بالای کابران از نظر تعداد و تنوع و وجود مشکلات حفظ و نگهداری نام کاربری و پسورد برای تمام سامانه ها بر آن شدیم تا با استفاده از راهکار پیاده سازی SSO در دانشگاه  اتصال به تمام سامانه ها از یک نقطه صورت پذیرد.
با پیاده سازی SSO علاوه بر اینکه می توان با استفاده از مکانیزم های خاص سطح امنیت ورود و خروج به کلیه سامانه ها را افزایش دهیم بلکه باعث سهولت استفاده کاربران در نگهداری و حفظ تنها یک نام کاربری و پسورد شده و نقطه اتصال به تمام سامانه ها نیز از یک مکان صورت می پذیرد.
همچنین با استفاده از این سامانه می توان به بسیاری از گزارش های خاص دسترسی یافت که در تحلیل و رفع مشکلات فنی راهگشاست.
 
- شرکت های بررسی شده:
جهت راه اندازی SSO طی چندین ماه مطالعه اولیه و جلسات متعدد با بسیاری از شرکت های مطرح در این حوزه و بررسی دقیق کلیه مستندات ارائه شده و تست هریک از demo ها، نتایج مثبتی در این راستا حاصل گردید. اسامی تعدادی از شرکت های بررسی شده در ذیل قید شده است:
۱- شرکت نقش آوران ایلام
۳- شرکت پارسو
۴- شرکت نیتا پرداز شریف
۵- شرکت وابسته به دانشگاه تهران
۶- شرکت وابسته به دانشگاه فردوسی مشهد
۷- شرکت وابسته به دانشگاه شهید بهشتی
 
-جدول مقایسه شرکت های بررسی شده جهت پروژه راه اندازی سامانه SSO:

ردیف

نام شرکت

محل شرکت

پروژه ها


OS

AD Server

LDAP Server


CAS
رابط گرافیکی کنسول مدیریتی تطبیق با سامانه های دانشگاه
نکات مربوط به ایمیل سرور
پنل پیامک
ارسال ایمیل
(خودکار)

Load Balance

مدت زمان

نوع سرویس عملیاتی


تخفیف

توضیحات جانبی
۱ نقش اوران ایلام ایلام (آپا دانشگاه ایلام) -دانشگاه ایلام
شهرداری ایلام
windows دارد به عنوان Backend سرور اکتیودایرکتوری دارد ساده زیاد -امکان اتصال پروتکل های pop۳، Imap و smtp به SSO نیست
-فقط از طریق joinبه اکتیودایرکتوری
- عدم اتصال به SSO از طریق وب
دارد دارد ۲۷ روز اجرایی -مرتب سازی AD Server
-سامانه تغذیه یا سامانه Help Desk
-اتوماتیک سازی درخواست ایمیل و تغییر پسورد ایمیل
-داشبورد اطلاع رسانی سامانه های دانشگاه
(مبلغ جداگانه جهت راه اندازی دریافت می گردد)
۲ متن باز سامان تهران -دانشگاه شریف
-دانشگاه تهران
-دانشگاه جامع علمی کاربردی
-مرکز تحقیقات
-دانشگاه پزشکی شهید بهشتی
linux ندارد دارد دارد کمی پیچیده
کلیه Attribute ها در نظر گرفته شده است
پنل کاملتر
متوسط -امکان اتصال پروتکل های pop۳، Imap و smtp به SSO نیست
-  از طریق روشهای ترکیبی قابل اجراست و تحت وب نیز اجرایی است
دارد دارد ۳ ماه اجرایی -داشبورد
اطلاع رسانی سامانه های دانشگاه
(رایگان)
-در صورت خرید کلیه سامانه های شرکت از قبیل ایمیل و SSo و سامانه ابری تخفیف دارد
 
۳ شرکت پارسو (مرکز آپا کرمانشاه) کرمانشاه -دانشگاه کرمانشاه Linux ندارد دارد دارد
 
ساده زیاد -امکان اتصال پروتکل های pop۳، Imap و smtp به SSO نیست
- فقط از طریق روشهای ترکیبی قابل اجراست
دارد ندارد ---- پایلوت ----- Application روی گوشی
-توکن سخت افزاری
۴ شرکت نیتا پرداز شریف تهران - نیروی نظامی windows دارد ندارد
پایگاه داده مجزا
دارد
Oath دارد
بسیار ساده متوسط -امکان اتصال پروتکل های pop۳، Imap و smtp به SSO نیست
- از طریق joinبه اکتیودایرکتوری
دارد ندارد --- پایلوت ---- -امضای دیجیتال
-امضا از طریق گوشی همراه
۵ دانشگاه تهران تهران -دانشگاه تهران قبل ۹۴
 
windows ندارد دارد دارد ---- ----- --------- ------ ------- ---- حذف شده و سیستم متن باز سامان جایگزین شده است ------ -فردمحور
-پشتیبانی ضعیف
۶ دانشگاه فردوسی مشهد مشهد -دانشگاه مشهد ---- ---- ---- ---- ---- ----- ----- ---- ----- ---- فقط برای دانشگاه مشهد راه اندازی شده است ---- ----
۷ دانشگاه شهید بهشتی تهران -دانشگاه شهید بهشتی windows دارد دارد -- --- --- ---- --- --- --- تکمیل نشده ---- ----
      

- نتیجه انتخاب فنی:
همانطور که به تفضیل در جدول بالا مشاهده می گردد از بین شرکت های مورد مطالعه دو شرکت نقش آوران ایلام و متن باز سامان از نظر فنی به دلایل زیر انتخاب مناسب تری است:
۱- پیاده سازی و عملیاتی شده نهایی در بسیاری از دانشگاه ها و سازمان های بزرگ
۲- شباهت محیط های اجرایی از نظر تعداد و تنوع
۳- شباهت سامانه های موجود در سازمان های اجرا شده با سامانه های دانشگاه
۴- تکنولوؤی های اتخاذ شده و سطح بالای اطمینان و امنیت
۵- اتصال تحت وب کلیه سامانه ها به SSO


 با در نظر گرفتن ۵ مولفه مذکور شرکت متن باز سامان در رتبه اول و شرکت نقش آوران ایلام در جایگاه دوم قرار دارد.
   


-هزینه های جانبی راه اندازی SSO :

با توجه به اینکه جهت اتصال هریک از سامانه ها به SSO می بایست برخی تغییرات نیز بر روی Source نرم افزارها صورت پذیرد لذا نیازمند همکاری صد در صد کلیه شرکت های طرف قرار داد با دانشگاه می باشد .
همچنین جهت اعمال این تغییرات هزینه های جداگانه از شرکت های طرف قرارداد از قبیل چارگون، گلستان و ... بر هزینه راه اندازی SSO اضافه می گردد که می بایست در ابتدای امر بررسی و لحاظ گردد.

 


- شرح خدمات شرکت های برگزیده:

۱- شرکت نقش آوران ایلام:

فاز فعالیت عنوان فعالیت
 
 
۱
۱ بررسی سیستم Jasing CAS
۲ راه اندازی Active Directory و LDAP
۳ اتصال چند سامانه پرکابر دانشگاه به AD
۴ راه اندازی SSO
۵ تست کارایی
۲ ۱ راه اندازی سامانه مدیریت شناسه کاربری یکتا (UID )
 
۳
۱ اجرای وب سرویس و  API امن SSO
۲ اتصال سامانه های موجود به وب سرویس
۳ بررسی نتایج امنیتی و تست کارایی
۴ ۱ راه اندازی سامانه AUTH
۲ طراحی و توسعه وب سرویس
 
۵
۱ ایجاد ماژول ها جهت اتصال سامانه ها به AUTH
۲ اتصال سامانه ها به وب سرویس
۳ بررسی نتایج امنیتی و تست کارایی

گانت چارت:


 

نام سرور
وظایف
سرورهای لود بالانسر - نصب و استقرار سرورهای LB
- نصب haproxy و keepalived
- پیکربندی سرورها
سرورهای پایگاه داده - نصب و استقرار سرورهای DB
- نصب پایگاه داده
- پیکربندی سرورها
- انجام تنظیمات مربوط به Shared Storage
- کلاستر کردن سرویس پایگاه داده
سرورهای Redis - نصب و استقرار سرورهای Redis
- نصب پایگاه داده Redis
- پیکربندی سرورها
- کلاسترکردن پایگاه داده Redis
سرورهای LDAP - نصب و استقرار سرورهای LDAP
- نصب و پیکربندی LDAP به همراه رابط کاربری
- پیکربندی سرورها
- ایجاد Schema
- همگام سازی و انتقال اطلاعات فعلی
سرورهای SSO - نصب و استقرار سرورهای SSO
- نصب وب سرور tomcat
- پیکربندی سرورها
- کلاستر کردن سرورها
- انجام تنظیمات مربوط به SSO
- صفحه ورود کاربران (پوسته نمایش)
سرور پنل مدیریت - نصب و استقرار و پیکربندی سرور
- نصب و پیکربندی سامانه مدیریت کاربران و سرویس ها و سیستم احراز هویت
سرور Register - نصب و استقرار سرور
- پیکربندی سرور
- اتصال به LDAP
- توسعه سامانه ثبت نام و تکمیل ثبت نام
- تغییرات و توسعه احتمالی سامانه پروفایل کاربری
- تغییرات و توسعه سامانه فراموشی رمز
سرور Ansible - نصب و استقرار سرور
- پیکربندی سرور
- انجام تنظیمات شبکه ای جهت دسترسی به همه هاست ها
سرور Log و Backup - نصب و استقرار سرور
- پیکربندی سرور
- پیاده سازی ابزارهای لازم جهت پشتیبان گیری از سرورها در بازه های زمانی مشخص
- اعمال تنظیمات جهت جمع آوری لاگ سرورها در این سرور
 
گانت چارت:


 
نشانی مطلب در وبگاه مرکز فناوری اطلاعات و ارتباطات:
http://khu.ac.ir/find-31.6870.58227.fa.html
برگشت به اصل مطلب