监控利用 SSO 的 Web 应用程序的挑战

Sso

通过企业解决方案和消费技术平台提供一系列应用程序,需要在同一产品套件中的不同应用程序之间安全地导航,并基于角色访问。 单一登录 (SSO)是实现集中式身份验证系统的解决方案,它维护经过身份验证的会话以访问产品套件中的多个应用程序,而无需每次都输入用户凭据。 这是一种简单而高效的方式,在不影响安全性的情况下提高可访问性和工作效率。 Facebook、Google、Github 和企业 ERP 是我们在登录过程中每天使用 SSO 的应用程序的一些示例。

 

为什么单单登录? 有哪些好处?

随着云基础架构的兴起、凭据疲劳、基于云的企业 Web 应用程序以及跨移动性的兴起,单一登录就进入了画面。 为了满足这些不断发展的云基础架构/集成开发环境中的监控、管理和安全需求,SSO 提供了一个在多方面提高效率的坚定战略。 借助良好的 SSO 实施策略,您可以获得并受益于以下优势:

  • 可 伸缩 性。 通过自动身份验证管理,您的员工或服务使用者可以以必要的安全性更快地浏览多应用程序套件。 它不仅改善了用户体验,而且随着应用程序扩展,还可以减少风险因素。
  • 生产力。 SSO 消除了访问应用时出现人为错误的因素,并且每次都必须输入凭据。 这节省了记住密码、键入凭据、重置密码以及技术支持等时间,从而减少停机时间并提高工作效率。
  • IT 监控和管理。 借助 SSO,您的 IT 团队可以无缝地将人员上载,并使用必要的安全协议管理其凭据和访问权限。 资源请求及其审批流程也在多路径工作流中统一,以便更快、更高效地进行管理。
  • 安全控制。 SSO 是为安全性和可访问性而制作的。 使用 SSO 跨多个应用进行导航是一种全面安全的身份验证机制。 除此之外,任何用户都可以从一个位置授予或拒绝对企业资源的访问,从而提供更好的控制和资源保护策略。

 

单点位流量移动

  1. 发出用户请求以访问受保护的资源。 如果应用程序服务器找到已经存在的身份验证 Cookie,则意味着用户已经过身份验证,则无需再次进行身份验证。
  2. 如果应用程序服务器未找到任何现有的身份验证 Cookie,它将用户重定向到 SSO 服务器,并包含身份验证后流所需的所有详细信息(通常是回调 URL)。
  3. SSO 服务器也会检查身份验证 Cookie 的存在。 如果无法验证用户,则请求用户输入凭据。
  4. 用户输入的凭据由 SSO 服务器验证。 如果成功,将生成 Cookie 以用于会话的未来身份验证。
  5. SSO 服务器还获取了一些基于实现策略的其他用户属性。
  6. 然后,SSO 服务器使用所需的令牌机制将用户重定向,用户将其提取的属性属性重定向到应用程序服务器。

 

监控单一登录流量的挑战

现在,我们介绍的所有关于 SSO 的问题,您还需要使用不同类型的 APM 工具监视应用程序。 在这里,它变得棘手和具有挑战性的与SSO支持的流量。

 

  • 何时启动身份验证检查 –通常,SSO 应用将在生态系统的产品套件中有多个供应商的应用。 用户不可预测,因此他们在生态系统中会有复杂的流。 他们还将对某些资源和应用具有基于角色的访问权限。 当您使用传统的 APM 工具监视此类应用时,很难确定何时应提示凭据检查点,以便您知道这样做是正确的。
  • 在何处启动身份验证检查 –使用支持 SSO 的流量时,您需要在从一个应用移动到另一个应用时建立清晰的工作流。 这些应用可以来自同一供应商或不同的供应商。 来自不同供应商的应用(跨供应商移动)可能需要不同的凭据集才能进行 SSO 管理。 这可以通过具有多供应商 SSO 应用的大型企业基础结构中启用 SSO 的流量来增加另一层复杂性。
  • 登录流后 –使用 SSO 时,应用程序服务器在通过登录检查后传递继续流所需的所有信息非常重要。 当您遇到任何中断的流时,您需要找出导致它的原因 – SSO 机制、断开的 URL、过期的会话 Cookie 或传递 URL 时丢失的参数。
  • 用户属性 –用户属性也是 SSO 机制中增加监视应用复杂性的重要因素。 任何失败都可能意味着多重因素,从糟糕的用户属性到根本不提取。 如果 SSO 服务器无法正确获取用户属性或在提取后正确传递,则所有后续流都将失败。 检测错误的位置将是一项具有挑战性的任务。
  • 混乱和缓慢的监控 –大多数时候,当使用传统的 APM 工具时,实际问题就变得混乱起来。 如果是应用程序本身,似乎 SSO 是罪魁祸首,反之亦然。 这导致对监视日志的分析速度缓慢,因此,对问题及其解决方法的检测速度很慢。

 

那么,解决方案是什么?

经过深思熟虑的监视策略和实施可以为您提供良好的解决方法,以避免停机和错误体验 – 而不是首先使用单一登录的好处。 专门的监控解决方案和工具是应对这些挑战的绝佳选择。 让我们看看这些工具如何提供帮助 –

 

  • Web 应用程序监视 – Web 应用程序监视工具使您能够使用灵活的配置在用户流中编写特定事务脚本,以合并复杂的路径,包括 SSO 登录流。 这将有助于您监控和查明用户可能面临的问题,让您免于自行找出问题所在,并让您和您的团队有足够的时间在其他人受到影响之前解决问题。
  • 网页监控 –使用网页监视工具,您可以毫不费力地监视 SSO 身份验证页面,并验证所有必要的信息,如重定向 URL、用户属性等,这些信息在身份验证检查之前和之后传递。 您将能够主动检测和纠正任何问题,以避免启用 SSO 的流量造成的停机。
  • Web 服务监视 –最后但并非最不重要的,Web 服务监视工具将允许您对 SSO 服务器的特定获取/发布请求进行监视。 您可以使用此监视来识别 SSO 实施策略中与单个应用相关的问题,以便任何单个应用不会拖垮整个系统。

 

请记住,SSO 技术也在演变为多重身份验证和其他安全挑战,因此请确保使用支持最新 Web 应用程序技术和身份验证协议的监视解决方案(如 SSO)。 尝试从Dotcom-Monitor免费30天的Web应用程序监控解决方案

 

Facebook
Twitter
LinkedIn
电子邮件
打印