SSO — Single Sign-On, ya’ni foydalanuvchi bitta akkaunt orqali bir nechta tizim yoki ilovaga kirishi mumkin bo‘lgan authentication mexanizmi. SSO foydalanuvchini har bir service’da alohida login qilishdan saqlaydi va markaziy identity provider orqali kirishni boshqaradi.
SSO korporativ tizimlar, SaaS platformalar, ta’lim portallari, cloud xizmatlar va enterprise ilovalarda keng qo‘llanadi.
Vazifasi
SSO foydalanuvchining bir marta login qilib, bir nechta tizimdan foydalanishini ta’minlaydi.
SSO quyidagi vazifalarni bajaradi:
- bitta login orqali bir nechta ilovaga kirish;
- authentication jarayonini markazlashtirish;
- foydalanuvchi akkauntlarini yagona joyda boshqarish;
- parol kiritish sonini kamaytirish;
- korporativ access control tashkil qilish;
- role va permissionlarni markaziy boshqarish;
- enterprise security siyosatini qo‘llash;
- logout jarayonini bir nechta ilovaga ta’sir qildirish;
- identity provider orqali foydalanuvchini tasdiqlash.
Masalan, xodim bitta Microsoft yoki Google Workspace akkaunti bilan email, calendar, CRM, project management va ichki portalga kira olishi mumkin.
SSO qanday ishlaydi?
SSO’da foydalanuvchi ilovaga kirganda, ilova uni markaziy identity providerga yo‘naltiradi. Foydalanuvchi identity providerda login qiladi. Keyin identity provider ilovaga foydalanuvchi tasdiqlanganini bildiradi.
Oddiy jarayon:
- foydalanuvchi ilovaga kiradi;
- ilova foydalanuvchini identity providerga yuboradi;
- foydalanuvchi identity providerda login qiladi;
- identity provider foydalanuvchini tasdiqlaydi;
- ilovaga token yoki assertion qaytariladi;
- ilova foydalanuvchi uchun session yaratadi;
- foydalanuvchi boshqa bog‘langan ilovaga kirganda qayta parol kiritmasligi mumkin.
SSO markaziy authenticationga asoslanadi.
Identity provider
Identity provider — foydalanuvchi kimligini tasdiqlaydigan markaziy xizmat. SSO tizimida identity provider asosiy authentication nuqtasi hisoblanadi.
Identity provider misollari:
- Google Workspace;
- Microsoft Entra ID;
- Okta;
- Auth0;
- Keycloak;
- OneLogin;
- Ping Identity;
- Apple ID;
- GitHub Enterprise.
Identity provider foydalanuvchi loginini, tokenlarni, sessionlarni va security siyosatlarini boshqaradi.
Service provider
Service provider — SSO orqali foydalanuvchini qabul qiladigan ilova yoki tizim. Service provider foydalanuvchi authenticationini o‘zi bajarmasdan, identity providerga tayanadi.
Service provider misollari:
- CRM;
- admin panel;
- cloud dashboard;
- project management tizimi;
- HR portal;
- learning platform;
- email service;
- ichki korporativ portal.
Service provider identity providerdan kelgan token yoki assertion asosida foydalanuvchini tizimga kiritadi.
SSO session
SSO session — foydalanuvchining identity provider darajasidagi login holati. Bu session orqali foydalanuvchi boshqa service providerlarga qayta login qilmasdan kirishi mumkin.
SSO session ichida quyidagilar bo‘lishi mumkin:
- foydalanuvchi ID’si;
- login vaqti;
- authentication method;
- session muddati;
- device ma’lumoti;
- security context;
- MFA holati.
SSO session identity provider tomonidan boshqariladi.
Local session
Local session — service provider ichida yaratiladigan alohida session. Foydalanuvchi SSO orqali tasdiqlangandan keyin har bir ilova o‘z local sessionini yaratishi mumkin.
Local session quyidagilarni saqlashi mumkin:
- user ID;
- role;
- permission;
- tenant ID;
- session ID;
- expiration;
- ilova ichki sozlamalari.
SSO session va local session alohida tushunchalar bo‘lishi mumkin.
SSO va authentication
SSO authentication jarayonini markazlashtiradi. Foydalanuvchi har bir ilovada alohida parol kiritmaydi, balki identity provider orqali tasdiqlanadi.
Authentication jarayonida SSO quyidagilarni bajaradi:
- login sahifasini markazlashtiradi;
- parol tekshiruvini identity providerga topshiradi;
- MFA jarayonini bitta joyda bajaradi;
- foydalanuvchi kimligini token orqali ilovaga uzatadi;
- login holatini bir nechta ilova orasida ishlatadi.
SSO login jarayonini bitta identity markaziga bog‘laydi.
SSO va authorization
SSO asosan authentication bilan bog‘liq, lekin authorization jarayoniga ham ma’lumot berishi mumkin. Identity provider foydalanuvchi role, group yoki claimlarini service providerga yuborishi mumkin.
Authorization uchun yuboriladigan ma’lumotlar:
- role;
- group;
- department;
- organization;
- tenant ID;
- permission claimlari;
- access policy;
- scope.
Service provider bu ma’lumotlar asosida foydalanuvchiga ichki ruxsatlarni belgilashi mumkin.
SAML
SAML — Security Assertion Markup Language. SSO tizimlarida identity provider va service provider o‘rtasida authentication ma’lumotlarini uzatish uchun ishlatiladigan XML asosidagi standart.
SAML’da quyidagi tushunchalar uchraydi:
- identity provider;
- service provider;
- assertion;
- metadata;
- certificate;
- SAML response;
- ACS URL;
- entity ID.
SAML enterprise SSO tizimlarida keng ishlatiladi.
OpenID Connect
OpenID Connect — OAuth 2.0 ustida qurilgan authentication standarti. SSO tizimlarida zamonaviy web, mobile va SPA ilovalar uchun keng qo‘llanadi.
OpenID Connect’da quyidagilar ishlatiladi:
OpenID Connect SSO login jarayonini JWT va OAuth oqimlari orqali tashkil qiladi.
OAuth bilan bog‘liqligi
OAuth authorization protokoli bo‘lsa-da, OpenID Connect bilan birga SSO tizimlarida ishlatiladi. OAuth access token va scope orqali resurslarga kirishni boshqaradi.
OAuth SSO jarayonida quyidagilar bilan bog‘liq bo‘lishi mumkin:
SSO login uchun OpenID Connect, resurs access uchun OAuth ishlatilishi mumkin.
LDAP
LDAP — Lightweight Directory Access Protocol. Korporativ foydalanuvchi kataloglari bilan ishlash uchun ishlatiladigan protokol.
LDAP quyidagi ma’lumotlarni boshqarishi mumkin:
SSO tizimlari LDAP yoki Active Directory bilan bog‘lanib, foydalanuvchi ma’lumotlarini markaziy katalogdan olishi mumkin.
Active Directory
Active Directory — Microsoft tomonidan ishlab chiqilgan korporativ directory service. U foydalanuvchi, guruh, kompyuter va policylarni boshqarish uchun ishlatiladi.
Active Directory SSO bilan quyidagilarda bog‘liq:
- korporativ login;
- Windows domain;
- group policy;
- foydalanuvchi guruhlari;
- LDAP integratsiyasi;
- Kerberos authentication;
- Microsoft Entra ID bilan bog‘lanish.
Enterprise muhitlarda Active Directory SSO infratuzilmasining muhim qismi bo‘lishi mumkin.
Kerberos
Kerberos — tarmoq ichida foydalanuvchi va service’larni ticket asosida autentifikatsiya qiladigan protokol. Korporativ SSO tizimlarida, ayniqsa Windows domain muhitida ishlatiladi.
Kerberos’da quyidagilar uchraydi:
Kerberos foydalanuvchini bir marta tasdiqlab, tarmoq ichidagi boshqa service’larga kirish imkonini beradi.
Federated identity
Federated identity — bir tashkilot yoki identity provider foydalanuvchi kimligini boshqa tizimlar uchun tasdiqlashi. SSO ko‘pincha federated identity modeliga asoslanadi.
Federated identity quyidagilarni ta’minlaydi:
- bir provider orqali ko‘p ilovaga kirish;
- tashkilotlararo login;
- tashqi identity provider bilan ishonch aloqasi;
- token yoki assertion orqali identity uzatish;
- enterprise access boshqaruvi.
Masalan, universitet akkaunti bilan turli o‘quv platformalariga kirish federated identity bo‘lishi mumkin.
Assertion
Assertion — identity provider tomonidan service providerga yuboriladigan foydalanuvchi tasdiqlanganini bildiruvchi ma’lumot. Bu atama ayniqsa SAML’da keng ishlatiladi.
Assertion ichida quyidagilar bo‘lishi mumkin:
- foydalanuvchi ID;
- email;
- ism;
- group;
- role;
- authentication vaqti;
- issuer;
- signature.
Service provider assertionni tekshiradi va foydalanuvchini tizimga kiritadi.
Claim
Claim — foydalanuvchi haqidagi ma’lumot maydoni. OpenID Connect va JWT asosidagi SSO tizimlarida claimlar ishlatiladi.
Claim misollari:
sub;email;name;role;groups;tenant_id;department;picture.
Claimlar service providerga foydalanuvchi haqida kerakli identity ma’lumotlarini beradi.
SSO login oqimi
SSO login oqimi identity provider va service provider o‘rtasidagi authentication jarayonidir.
Asosiy bosqichlar:
- foydalanuvchi service providerga kiradi;
- service provider login uchun identity providerga redirect qiladi;
- foydalanuvchi identity providerda login qiladi;
- identity provider foydalanuvchini tasdiqlaydi;
- token yoki assertion service providerga qaytariladi;
- service provider tokenni tekshiradi;
- local session yaratiladi;
- foydalanuvchi ilovaga kiradi.
Bu oqim SAML yoki OpenID Connect asosida bo‘lishi mumkin.
SP-initiated SSO
SP-initiated SSO — foydalanuvchi avval service providerga kiradi va keyin identity providerga yo‘naltiriladi.
Jarayon:
- foydalanuvchi ilova manzilini ochadi;
- ilova foydalanuvchini login uchun identity providerga yuboradi;
- foydalanuvchi identity providerda login qiladi;
- identity provider ilovaga javob qaytaradi;
- foydalanuvchi ilovaga kiradi.
Ko‘p web ilovalarda SSO aynan shu oqimda ishlaydi.
IdP-initiated SSO
IdP-initiated SSO — foydalanuvchi avval identity provider portaliga kiradi va u yerdan kerakli ilovani tanlaydi.
Jarayon:
- foydalanuvchi identity provider portaliga kiradi;
- unga ruxsat berilgan ilovalar ro‘yxati ko‘rsatiladi;
- foydalanuvchi ilovani tanlaydi;
- identity provider service providerga assertion yoki token yuboradi;
- foydalanuvchi ilovaga kiradi.
Bu oqim korporativ app portal va enterprise dashboardlarda uchraydi.
Single logout
Single logout — foydalanuvchini bir nechta bog‘langan ilovadan chiqarish mexanizmi. Bu SSO tizimlarida logout jarayonini markazlashtirish uchun ishlatiladi.
Single logout quyidagilarni bajarishi mumkin:
- identity provider sessionini tugatish;
- service provider sessionlarini tugatish;
- browser orqali logout signal yuborish;
- backend orqali logout signal yuborish;
- tokenlarni bekor qilish.
Single logout SSO tizimlarida murakkab jarayonlardan biri hisoblanadi.
Front-channel logout
Front-channel logout — browser orqali service providerlarga logout xabari yetkazish usuli.
Bu jarayonda:
- foydalanuvchi identity providerda logout qiladi;
- provider browser orqali ilovalarga logout signal yuboradi;
- ilovalar local sessionni tugatadi;
- foydalanuvchi bir nechta tizimdan chiqarilishi mumkin.
Front-channel logout browserga tayanadi.
Back-channel logout
Back-channel logout — identity provider serverdan service provider serverlariga bevosita logout xabarini yuboradigan usul.
Back-channel logout xususiyatlari:
- browserga kamroq tayanadi;
- server-to-server ishlaydi;
- local sessionlarni backend darajasida tugatadi;
- enterprise SSO tizimlarida qo‘llanadi.
Bu usul distributed session boshqaruvi bilan bog‘liq.
MFA bilan bog‘liqligi
SSO tizimlari MFA bilan birga ishlatilishi mumkin. MFA identity provider darajasida yoqilsa, foydalanuvchi bir marta qo‘shimcha tasdiqlashdan o‘tadi va keyin bog‘langan ilovalarga kirishi mumkin.
MFA usullari:
- SMS kod;
- email kod;
- authenticator app;
- push notification;
- hardware security key;
- biometric authentication.
SSO va MFA birga ishlaganda authentication markaziy va kuchliroq boshqariladi.
Conditional access
Conditional access — foydalanuvchi kirishiga turli shartlar asosida ruxsat berish mexanizmi. SSO tizimlarida identity provider darajasida ishlatilishi mumkin.
Shartlarga misollar:
- foydalanuvchi role’i;
- device holati;
- IP manzil;
- mamlakat;
- vaqt;
- MFA holati;
- xavf darajasi;
- ilova turi.
Masalan, admin panelga faqat MFA yoqilgan va ishonchli qurilmadan kirishga ruxsat berilishi mumkin.
Provisioning
Provisioning — foydalanuvchi akkauntlarini service providerlarda avtomatik yaratish yoki yangilash jarayoni.
Provisioning quyidagilarni bajarishi mumkin:
- yangi foydalanuvchi yaratish;
- role berish;
- groupga qo‘shish;
- email yangilash;
- akkauntni bloklash;
- ishdan ketgan xodim akkauntini o‘chirish;
- permissionlarni sinxronlash.
SSO tizimlarida provisioning ko‘pincha SCIM orqali bajariladi.
SCIM
SCIM — System for Cross-domain Identity Management. Bu foydalanuvchi va group ma’lumotlarini tizimlar orasida avtomatik sinxronlash uchun ishlatiladigan standart.
SCIM orqali:
- foydalanuvchi yaratiladi;
- foydalanuvchi yangilanadi;
- foydalanuvchi o‘chiriladi;
- group boshqariladi;
- role va access ma’lumotlari uzatiladi.
SCIM SSO bilan birga enterprise identity managementda ishlatiladi.
Deprovisioning
Deprovisioning — foydalanuvchi tizimdan chiqarilganda yoki ish joyidan ketganda uning access huquqlarini bekor qilish jarayoni.
Deprovisioning quyidagilarni o‘z ichiga olishi mumkin:
- akkauntni bloklash;
- sessionlarni tugatish;
- tokenlarni bekor qilish;
- role va permissionlarni olib tashlash;
- service providerlardagi akkauntlarni o‘chirish;
- group a’zoligini tozalash.
Bu jarayon enterprise xavfsizlikda muhim hisoblanadi.
SSO va cloud
Cloud platformalarda SSO foydalanuvchilarni markaziy identity orqali boshqarish uchun ishlatiladi.
Cloud SSO quyidagilar bilan bog‘liq:
- AWS IAM Identity Center;
- Google Cloud Identity;
- Microsoft Entra ID;
- Azure portal;
- cloud role mapping;
- temporary credentials;
- federated access.
Cloud muhitda SSO admin access, developer access va service access boshqaruviga ta’sir qiladi.
SSO va SaaS
SaaS platformalarda SSO korporativ mijozlar uchun muhim authentication funksiyasi hisoblanadi. Kompaniyalar o‘z xodimlarini markaziy identity provider orqali SaaS ilovalarga kiritadi.
SaaS SSO’da quyidagilar uchraydi:
- enterprise login;
- organization domain;
- SAML konfiguratsiya;
- OpenID Connect konfiguratsiya;
- role mapping;
- SCIM provisioning;
- audit log;
- access policy.
Masalan, kompaniya xodimlari bitta korporativ akkaunt bilan CRM yoki project management SaaS tizimiga kirishi mumkin.
SSO va admin panel
Admin panellarda SSO yuqori darajadagi xavfsizlik va markaziy access boshqaruvi uchun ishlatiladi.
Admin panel SSO’da quyidagilar bo‘lishi mumkin:
- faqat korporativ email orqali kirish;
- MFA majburiyligi;
- admin role mapping;
- IP yoki device cheklovlari;
- audit log;
- session timeout;
- single logout.
Admin access markaziy identity provider orqali nazorat qilinishi mumkin.
SSO va audit
SSO tizimlarida foydalanuvchi loginlari va access harakatlari audit loglarda saqlanishi mumkin.
Audit log ichida quyidagilar bo‘lishi mumkin:
- foydalanuvchi ID;
- login vaqti;
- service provider nomi;
- IP manzil;
- device;
- MFA holati;
- muvaffaqiyatli yoki muvaffaqiyatsiz login;
- logout holati;
- policy natijasi.
Audit xavfsizlik monitoringi va compliance jarayonlarida ishlatiladi.
SSO xavfsizligi
SSO markaziy authentication nuqtasi bo‘lgani uchun xavfsizlik sozlamalari muhim hisoblanadi.
SSO xavfsizligida quyidagilar uchraydi:
- MFA;
- token signature tekshiruvi;
- SAML certificate tekshiruvi;
- redirect URI nazorati;
- session timeout;
- conditional access;
- device trust;
- audit log;
- role mapping;
- least privilege.
SSO noto‘g‘ri sozlansa, bir nechta tizimga ruxsatsiz kirish xavfi paydo bo‘lishi mumkin.
SSO afzalliklari
SSO foydalanuvchi va tashkilot uchun bir nechta texnik qulaylik beradi.
SSO afzalliklari:
- foydalanuvchi kamroq parol eslaydi;
- login jarayoni soddalashadi;
- authentication markazlashadi;
- MFA bitta joyda boshqariladi;
- akkauntlarni boshqarish osonlashadi;
- xodim ketganda access tezroq bekor qilinadi;
- enterprise policylar qo‘llanadi.
Bu afzalliklar SSO’ni korporativ tizimlarda keng tarqalgan qiladi.
SSO cheklovlari
SSO tizimi noto‘g‘ri sozlanganda yoki identity provider ishlamay qolganda bog‘langan ilovalarga kirish qiyinlashishi mumkin.
SSO cheklovlari:
- identity providerga bog‘liqlik;
- konfiguratsiya murakkabligi;
- token va certificate boshqaruvi;
- logout jarayonining murakkabligi;
- role mapping xatolari;
- provider ishlamay qolsa login muammosi;
- noto‘g‘ri policy sababli access rad etilishi.
Bu cheklovlar SSO infratuzilmasini to‘g‘ri boshqarishni talab qiladi.
Dasturlashdagi o‘rni
SSO zamonaviy enterprise va SaaS tizimlarda authentication jarayonini markazlashtirish uchun ishlatiladigan muhim mexanizmdir. U foydalanuvchini bitta identity provider orqali bir nechta ilovaga kiritadi.
SSO quyidagi loyihalarda uchraydi:
- korporativ portallar;
- SaaS platformalar;
- admin panellar;
- cloud dashboardlar;
- ta’lim platformalari;
- CRM tizimlar;
- HR tizimlar;
- developer platformalar;
- enterprise API’lar;
- ichki tashkilot ilovalari.
SSO foydalanuvchi identity’sini markaziy boshqarish, login jarayonini soddalashtirish va enterprise access controlni tashkil qilish uchun ishlatiladi.
Bog‘liq tushunchalar
Authentication, Authorization, OpenID Connect, OAuth, SAML, Identity provider, Service provider, MFA, LDAP, Active Directory, SCIM, Session