SSO (Đăng nhập một lần) là gì?

SSO (Single-Sign-On - Đăng nhập một lần) là một cơ chế xác thực người dùng tiên tiến được thiết kế để nâng cao trải nghiệm người dùng và tăng cường bảo mật. Về cơ bản, SSO cho phép người dùng truy cập nhiều ứng dụng hoặc nền tảng chỉ bằng một bộ thông tin xác thực duy nhất, thường là tên người dùng và mật khẩu. Điều này không chỉ loại bỏ nhu cầu phải nhớ nhiều mật khẩu mà còn hợp lý hóa quy trình đăng nhập cho các dịch vụ khác nhau. Theo thời gian, khái niệm về SSO đã phát triển, phân nhánh thành các cấu hình và ứng dụng khác nhau, biến nó thành một nền tảng trong bối cảnh xác thực kỹ thuật số.

---

SSO hoạt động chủ yếu thông qua một hệ thống quản lý danh tính liên kết, thường được gọi là liên kết danh tính. Một trong những khuôn khổ nổi tiếng trong lĩnh vực này là OAuth, đóng vai trò trung gian. Thay vì chia sẻ mật khẩu của người dùng, OAuth cấp cho các dịch vụ của bên thứ ba một mã thông báo truy cập, bảo vệ thông tin đăng nhập nhạy cảm của người dùng. Khi người dùng cố gắng truy cập một ứng dụng cụ thể, nhà cung cấp dịch vụ sẽ hợp tác với nhà cung cấp danh tính để xác thực thông tin đăng nhập của người dùng. Sau khi được xác thực, người dùng có thể tự do truy cập ứng dụng mà không cần thêm bất kỳ lời nhắc nào.

Nhiều giao thức khác nhau làm nền tảng cho các dịch vụ SSO. Ví dụ, Kerberos sử dụng cơ chế vé cấp vé (TGT), đảm bảo người dùng không bị nhắc nhập thông tin xác thực nhiều lần. Mặt khác, Ngôn ngữ Đánh dấu Xác nhận Bảo mật (SAML) là một giao thức riêng biệt trao đổi dữ liệu xác thực người dùng và ủy quyền một cách an toàn giữa các nền tảng. Hơn nữa, các cấu hình SSO dựa trên thẻ thông minh sử dụng các thẻ được nhúng dữ liệu đăng nhập, giúp đơn giản hóa hơn nữa quy trình đăng nhập.

---

SAML (Security Assertion Markup Language - Ngôn ngữ Đánh dấu Xác nhận Bảo mật) là một giao thức xác thực mạnh mẽ được áp dụng rộng rãi trong môi trường doanh nghiệp để hợp lý hóa quyền truy cập của người dùng vào các ứng dụng khác nhau, như hệ thống CRM, thông qua quy trình đăng nhập một lần (SSO). Đọc thêm về SAML tại đây.

Cả SSO và trình quản lý mật khẩu đều nhằm mục đích đơn giản hóa quy trình xác thực người dùng. Tuy nhiên, SSO cung cấp một phương pháp thống nhất để người dùng truy cập nhiều ứng dụng bằng một bộ thông tin xác thực. Ngược lại, trình quản lý mật khẩu lưu trữ các mật khẩu riêng lẻ cho các dịch vụ khác nhau, tự động điền chúng khi được yêu cầu.

Trong khi SSO nâng cao sự tiện lợi cho người dùng, nó cũng mang lại những lỗ hổng bảo mật tiềm ẩn. Nếu một kẻ xấu có được quyền truy cập vào thông tin xác thực SSO của người dùng, chúng có thể xâm nhập vào tất cả các ứng dụng được liên kết. Do đó, điều tối quan trọng là phải củng cố SSO bằng các lớp bảo mật bổ sung, chẳng hạn như xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố.

Các nền tảng như Facebook, Google và LinkedIn cung cấp Social SSO, cho phép người dùng đăng nhập vào các nền tảng của bên thứ ba bằng thông tin đăng nhập mạng xã hội của họ. Mặc dù điều này mang lại trải nghiệm đăng nhập liền mạch, nó cũng có những rủi ro bảo mật tiềm ẩn, vì một vụ vi phạm trên một nền tảng có thể gây nguy hiểm cho các nền tảng khác.

Việc tích hợp passkey với SSO cung cấp một phương pháp xác thực hiện đại, an toàn. Bằng cách kết hợp cả hai, người dùng được hưởng lợi từ việc đăng nhập hợp lý hóa của SSO và tính bảo mật nâng cao của passkey. Các nền tảng như Corbado tích hợp liền mạch các tính năng này, đảm bảo người dùng có được trải nghiệm kỹ thuật số tiện lợi nhưng an toàn.

IdP-initiated có nghĩa là quá trình đăng nhập bắt đầu tại Nhà cung cấp Danh tính (IdP), gửi một xác nhận SAML đến Nhà cung cấp Dịch vụ (SP). Ngược lại, SP-initiated SSO bắt đầu khi người dùng cố gắng truy cập trực tiếp một dịch vụ tại trang web của SP, chuyển hướng họ đến IdP để đăng nhập.