Bosh sahifa Wiki SSO

SSO

SSO — Single Sign-On, ya’ni foydalanuvchi bitta akkaunt orqali bir nechta tizim yoki ilovaga kirishi mumkin bo‘lgan authentication mexanizmi. SSO foydalanuvchini har bir service’da alohida login qilishdan saqlaydi va markaziy identity provider orqali kirishni boshqaradi.

SSO korporativ tizimlar, SaaS platformalar, ta’lim portallari, cloud xizmatlar va enterprise ilovalarda keng qo‘llanadi.

Vazifasi

SSO foydalanuvchining bir marta login qilib, bir nechta tizimdan foydalanishini ta’minlaydi.

SSO quyidagi vazifalarni bajaradi:

  • bitta login orqali bir nechta ilovaga kirish;
  • authentication jarayonini markazlashtirish;
  • foydalanuvchi akkauntlarini yagona joyda boshqarish;
  • parol kiritish sonini kamaytirish;
  • korporativ access control tashkil qilish;
  • role va permissionlarni markaziy boshqarish;
  • enterprise security siyosatini qo‘llash;
  • logout jarayonini bir nechta ilovaga ta’sir qildirish;
  • identity provider orqali foydalanuvchini tasdiqlash.

Masalan, xodim bitta Microsoft yoki Google Workspace akkaunti bilan email, calendar, CRM, project management va ichki portalga kira olishi mumkin.

SSO qanday ishlaydi?

SSO’da foydalanuvchi ilovaga kirganda, ilova uni markaziy identity providerga yo‘naltiradi. Foydalanuvchi identity providerda login qiladi. Keyin identity provider ilovaga foydalanuvchi tasdiqlanganini bildiradi.

Oddiy jarayon:

  • foydalanuvchi ilovaga kiradi;
  • ilova foydalanuvchini identity providerga yuboradi;
  • foydalanuvchi identity providerda login qiladi;
  • identity provider foydalanuvchini tasdiqlaydi;
  • ilovaga token yoki assertion qaytariladi;
  • ilova foydalanuvchi uchun session yaratadi;
  • foydalanuvchi boshqa bog‘langan ilovaga kirganda qayta parol kiritmasligi mumkin.

SSO markaziy authenticationga asoslanadi.

Identity provider

Identity provider — foydalanuvchi kimligini tasdiqlaydigan markaziy xizmat. SSO tizimida identity provider asosiy authentication nuqtasi hisoblanadi.

Identity provider misollari:

  • Google Workspace;
  • Microsoft Entra ID;
  • Okta;
  • Auth0;
  • Keycloak;
  • OneLogin;
  • Ping Identity;
  • Apple ID;
  • GitHub Enterprise.

Identity provider foydalanuvchi loginini, tokenlarni, sessionlarni va security siyosatlarini boshqaradi.

Service provider

Service provider — SSO orqali foydalanuvchini qabul qiladigan ilova yoki tizim. Service provider foydalanuvchi authenticationini o‘zi bajarmasdan, identity providerga tayanadi.

Service provider misollari:

  • CRM;
  • admin panel;
  • cloud dashboard;
  • project management tizimi;
  • HR portal;
  • learning platform;
  • email service;
  • ichki korporativ portal.

Service provider identity providerdan kelgan token yoki assertion asosida foydalanuvchini tizimga kiritadi.

SSO session

SSO session — foydalanuvchining identity provider darajasidagi login holati. Bu session orqali foydalanuvchi boshqa service providerlarga qayta login qilmasdan kirishi mumkin.

SSO session ichida quyidagilar bo‘lishi mumkin:

SSO session identity provider tomonidan boshqariladi.

Local session

Local sessionservice provider ichida yaratiladigan alohida session. Foydalanuvchi SSO orqali tasdiqlangandan keyin har bir ilova o‘z local sessionini yaratishi mumkin.

Local session quyidagilarni saqlashi mumkin:

SSO session va local session alohida tushunchalar bo‘lishi mumkin.

SSO va authentication

SSO authentication jarayonini markazlashtiradi. Foydalanuvchi har bir ilovada alohida parol kiritmaydi, balki identity provider orqali tasdiqlanadi.

Authentication jarayonida SSO quyidagilarni bajaradi:

  • login sahifasini markazlashtiradi;
  • parol tekshiruvini identity providerga topshiradi;
  • MFA jarayonini bitta joyda bajaradi;
  • foydalanuvchi kimligini token orqali ilovaga uzatadi;
  • login holatini bir nechta ilova orasida ishlatadi.

SSO login jarayonini bitta identity markaziga bog‘laydi.

SSO va authorization

SSO asosan authentication bilan bog‘liq, lekin authorization jarayoniga ham ma’lumot berishi mumkin. Identity provider foydalanuvchi role, group yoki claimlarini service providerga yuborishi mumkin.

Authorization uchun yuboriladigan ma’lumotlar:

Service provider bu ma’lumotlar asosida foydalanuvchiga ichki ruxsatlarni belgilashi mumkin.

SAML

SAMLSecurity Assertion Markup Language. SSO tizimlarida identity provider va service provider o‘rtasida authentication ma’lumotlarini uzatish uchun ishlatiladigan XML asosidagi standart.

SAML’da quyidagi tushunchalar uchraydi:

SAML enterprise SSO tizimlarida keng ishlatiladi.

OpenID Connect

OpenID ConnectOAuth 2.0 ustida qurilgan authentication standarti. SSO tizimlarida zamonaviy web, mobile va SPA ilovalar uchun keng qo‘llanadi.

OpenID Connect’da quyidagilar ishlatiladi:

OpenID Connect SSO login jarayonini JWT va OAuth oqimlari orqali tashkil qiladi.

OAuth bilan bog‘liqligi

OAuth authorization protokoli bo‘lsa-da, OpenID Connect bilan birga SSO tizimlarida ishlatiladi. OAuth access token va scope orqali resurslarga kirishni boshqaradi.

OAuth SSO jarayonida quyidagilar bilan bog‘liq bo‘lishi mumkin:

SSO login uchun OpenID Connect, resurs access uchun OAuth ishlatilishi mumkin.

LDAP

LDAP — Lightweight Directory Access Protocol. Korporativ foydalanuvchi kataloglari bilan ishlash uchun ishlatiladigan protokol.

LDAP quyidagi ma’lumotlarni boshqarishi mumkin:

  • foydalanuvchilar;
  • guruhlar;
  • email;
  • department;
  • organization;
  • login nomlari;
  • directory structure.

SSO tizimlari LDAP yoki Active Directory bilan bog‘lanib, foydalanuvchi ma’lumotlarini markaziy katalogdan olishi mumkin.

Active Directory

Active Directory — Microsoft tomonidan ishlab chiqilgan korporativ directory service. U foydalanuvchi, guruh, kompyuter va policylarni boshqarish uchun ishlatiladi.

Active Directory SSO bilan quyidagilarda bog‘liq:

Enterprise muhitlarda Active Directory SSO infratuzilmasining muhim qismi bo‘lishi mumkin.

Kerberos

Kerberos — tarmoq ichida foydalanuvchi va service’larni ticket asosida autentifikatsiya qiladigan protokol. Korporativ SSO tizimlarida, ayniqsa Windows domain muhitida ishlatiladi.

Kerberos’da quyidagilar uchraydi:

  • ticket;
  • Key Distribution Center;
  • service ticket;
  • principal;
  • realm;
  • time-based validation.

Kerberos foydalanuvchini bir marta tasdiqlab, tarmoq ichidagi boshqa service’larga kirish imkonini beradi.

Federated identity

Federated identity — bir tashkilot yoki identity provider foydalanuvchi kimligini boshqa tizimlar uchun tasdiqlashi. SSO ko‘pincha federated identity modeliga asoslanadi.

Federated identity quyidagilarni ta’minlaydi:

Masalan, universitet akkaunti bilan turli o‘quv platformalariga kirish federated identity bo‘lishi mumkin.

Assertion

Assertionidentity provider tomonidan service providerga yuboriladigan foydalanuvchi tasdiqlanganini bildiruvchi ma’lumot. Bu atama ayniqsa SAML’da keng ishlatiladi.

Assertion ichida quyidagilar bo‘lishi mumkin:

Service provider assertionni tekshiradi va foydalanuvchini tizimga kiritadi.

Claim

Claim — foydalanuvchi haqidagi ma’lumot maydoni. OpenID Connect va JWT asosidagi SSO tizimlarida claimlar ishlatiladi.

Claim misollari:

  • sub;
  • email;
  • name;
  • role;
  • groups;
  • tenant_id;
  • department;
  • picture.

Claimlar service providerga foydalanuvchi haqida kerakli identity ma’lumotlarini beradi.

SSO login oqimi

SSO login oqimi identity provider va service provider o‘rtasidagi authentication jarayonidir.

Asosiy bosqichlar:

Bu oqim SAML yoki OpenID Connect asosida bo‘lishi mumkin.

SP-initiated SSO

SP-initiated SSO — foydalanuvchi avval service providerga kiradi va keyin identity providerga yo‘naltiriladi.

Jarayon:

  • foydalanuvchi ilova manzilini ochadi;
  • ilova foydalanuvchini login uchun identity providerga yuboradi;
  • foydalanuvchi identity providerda login qiladi;
  • identity provider ilovaga javob qaytaradi;
  • foydalanuvchi ilovaga kiradi.

Ko‘p web ilovalarda SSO aynan shu oqimda ishlaydi.

IdP-initiated SSO

IdP-initiated SSO — foydalanuvchi avval identity provider portaliga kiradi va u yerdan kerakli ilovani tanlaydi.

Jarayon:

Bu oqim korporativ app portal va enterprise dashboardlarda uchraydi.

Single logout

Single logout — foydalanuvchini bir nechta bog‘langan ilovadan chiqarish mexanizmi. Bu SSO tizimlarida logout jarayonini markazlashtirish uchun ishlatiladi.

Single logout quyidagilarni bajarishi mumkin:

Single logout SSO tizimlarida murakkab jarayonlardan biri hisoblanadi.

Front-channel logout

Front-channel logoutbrowser orqali service providerlarga logout xabari yetkazish usuli.

Bu jarayonda:

  • foydalanuvchi identity providerda logout qiladi;
  • provider browser orqali ilovalarga logout signal yuboradi;
  • ilovalar local sessionni tugatadi;
  • foydalanuvchi bir nechta tizimdan chiqarilishi mumkin.

Front-channel logout browserga tayanadi.

Back-channel logout

Back-channel logoutidentity provider serverdan service provider serverlariga bevosita logout xabarini yuboradigan usul.

Back-channel logout xususiyatlari:

  • browserga kamroq tayanadi;
  • server-to-server ishlaydi;
  • local sessionlarni backend darajasida tugatadi;
  • enterprise SSO tizimlarida qo‘llanadi.

Bu usul distributed session boshqaruvi bilan bog‘liq.

MFA bilan bog‘liqligi

SSO tizimlari MFA bilan birga ishlatilishi mumkin. MFA identity provider darajasida yoqilsa, foydalanuvchi bir marta qo‘shimcha tasdiqlashdan o‘tadi va keyin bog‘langan ilovalarga kirishi mumkin.

MFA usullari:

SSO va MFA birga ishlaganda authentication markaziy va kuchliroq boshqariladi.

Conditional access

Conditional access — foydalanuvchi kirishiga turli shartlar asosida ruxsat berish mexanizmi. SSO tizimlarida identity provider darajasida ishlatilishi mumkin.

Shartlarga misollar:

  • foydalanuvchi role’i;
  • device holati;
  • IP manzil;
  • mamlakat;
  • vaqt;
  • MFA holati;
  • xavf darajasi;
  • ilova turi.

Masalan, admin panelga faqat MFA yoqilgan va ishonchli qurilmadan kirishga ruxsat berilishi mumkin.

Provisioning

Provisioning — foydalanuvchi akkauntlarini service providerlarda avtomatik yaratish yoki yangilash jarayoni.

Provisioning quyidagilarni bajarishi mumkin:

  • yangi foydalanuvchi yaratish;
  • role berish;
  • groupga qo‘shish;
  • email yangilash;
  • akkauntni bloklash;
  • ishdan ketgan xodim akkauntini o‘chirish;
  • permissionlarni sinxronlash.

SSO tizimlarida provisioning ko‘pincha SCIM orqali bajariladi.

SCIM

SCIM — System for Cross-domain Identity Management. Bu foydalanuvchi va group ma’lumotlarini tizimlar orasida avtomatik sinxronlash uchun ishlatiladigan standart.

SCIM orqali:

  • foydalanuvchi yaratiladi;
  • foydalanuvchi yangilanadi;
  • foydalanuvchi o‘chiriladi;
  • group boshqariladi;
  • role va access ma’lumotlari uzatiladi.

SCIM SSO bilan birga enterprise identity managementda ishlatiladi.

Deprovisioning

Deprovisioning — foydalanuvchi tizimdan chiqarilganda yoki ish joyidan ketganda uning access huquqlarini bekor qilish jarayoni.

Deprovisioning quyidagilarni o‘z ichiga olishi mumkin:

  • akkauntni bloklash;
  • sessionlarni tugatish;
  • tokenlarni bekor qilish;
  • role va permissionlarni olib tashlash;
  • service providerlardagi akkauntlarni o‘chirish;
  • group a’zoligini tozalash.

Bu jarayon enterprise xavfsizlikda muhim hisoblanadi.

SSO va cloud

Cloud platformalarda SSO foydalanuvchilarni markaziy identity orqali boshqarish uchun ishlatiladi.

Cloud SSO quyidagilar bilan bog‘liq:

Cloud muhitda SSO admin access, developer access va service access boshqaruviga ta’sir qiladi.

SSO va SaaS

SaaS platformalarda SSO korporativ mijozlar uchun muhim authentication funksiyasi hisoblanadi. Kompaniyalar o‘z xodimlarini markaziy identity provider orqali SaaS ilovalarga kiritadi.

SaaS SSO’da quyidagilar uchraydi:

Masalan, kompaniya xodimlari bitta korporativ akkaunt bilan CRM yoki project management SaaS tizimiga kirishi mumkin.

SSO va admin panel

Admin panellarda SSO yuqori darajadagi xavfsizlik va markaziy access boshqaruvi uchun ishlatiladi.

Admin panel SSO’da quyidagilar bo‘lishi mumkin:

Admin access markaziy identity provider orqali nazorat qilinishi mumkin.

SSO va audit

SSO tizimlarida foydalanuvchi loginlari va access harakatlari audit loglarda saqlanishi mumkin.

Audit log ichida quyidagilar bo‘lishi mumkin:

Audit xavfsizlik monitoringi va compliance jarayonlarida ishlatiladi.

SSO xavfsizligi

SSO markaziy authentication nuqtasi bo‘lgani uchun xavfsizlik sozlamalari muhim hisoblanadi.

SSO xavfsizligida quyidagilar uchraydi:

SSO noto‘g‘ri sozlansa, bir nechta tizimga ruxsatsiz kirish xavfi paydo bo‘lishi mumkin.

SSO afzalliklari

SSO foydalanuvchi va tashkilot uchun bir nechta texnik qulaylik beradi.

SSO afzalliklari:

  • foydalanuvchi kamroq parol eslaydi;
  • login jarayoni soddalashadi;
  • authentication markazlashadi;
  • MFA bitta joyda boshqariladi;
  • akkauntlarni boshqarish osonlashadi;
  • xodim ketganda access tezroq bekor qilinadi;
  • enterprise policylar qo‘llanadi.

Bu afzalliklar SSO’ni korporativ tizimlarda keng tarqalgan qiladi.

SSO cheklovlari

SSO tizimi noto‘g‘ri sozlanganda yoki identity provider ishlamay qolganda bog‘langan ilovalarga kirish qiyinlashishi mumkin.

SSO cheklovlari:

  • identity providerga bog‘liqlik;
  • konfiguratsiya murakkabligi;
  • token va certificate boshqaruvi;
  • logout jarayonining murakkabligi;
  • role mapping xatolari;
  • provider ishlamay qolsa login muammosi;
  • noto‘g‘ri policy sababli access rad etilishi.

Bu cheklovlar SSO infratuzilmasini to‘g‘ri boshqarishni talab qiladi.

Dasturlashdagi o‘rni

SSO zamonaviy enterprise va SaaS tizimlarda authentication jarayonini markazlashtirish uchun ishlatiladigan muhim mexanizmdir. U foydalanuvchini bitta identity provider orqali bir nechta ilovaga kiritadi.

SSO quyidagi loyihalarda uchraydi:

  • korporativ portallar;
  • SaaS platformalar;
  • admin panellar;
  • cloud dashboardlar;
  • ta’lim platformalari;
  • CRM tizimlar;
  • HR tizimlar;
  • developer platformalar;
  • enterprise API’lar;
  • ichki tashkilot ilovalari.

SSO foydalanuvchi identity’sini markaziy boshqarish, login jarayonini soddalashtirish va enterprise access controlni tashkil qilish uchun ishlatiladi.

Bog‘liq tushunchalar

Authentication, Authorization, OpenID Connect, OAuth, SAML, Identity provider, Service provider, MFA, LDAP, Active Directory, SCIM, Session