تسجيل الدخول الموحّد (Single Sign-On – SSO) هو أسلوب مصادقة يتيح للمستخدم تسجيل الدخول لمرة واحدة فقط، ثم الوصول إلى عدة تطبيقات أو خدمات باستخدام حساب واحد، من دون الحاجة إلى إعادة تسجيل الدخول لكل نظام بشكل منفصل.
بدلًا من أن يقوم كل تطبيق بإدارة حسابات المستخدمين وكلمات المرور بشكل منفصل ويتم تطوير المصادقة بشكل مستقل لكل تطبيق محدد، يعمل SSO على جعل عملية المصادقة مركزية وتحت حساب واحد. بمجرد التحقق من الهوية لمرة، يتم منح الوصول إلى عدة أنظمة أو تطبيقات، وغالبًا بنقرة واحدة فقط.
يعتمد تسجيل الدخول الموحّد على علاقة ثقة بين التطبيقات أو الخدمات من جهة، ومزوّد الهوية (Identity Provider – IdP) من جهة أخرى. بدلًا من أن تقوم التطبيقات بمصادقة المستخدمين بشكل مباشر، فإنها تفوّض هذه المهمة إلى مزوّد الهوية.
عندما يثبت المستخدم هويته بنجاح باستخدام كلمة مرور، أو رمز التحقق لمرة واحدة (OTP)، أو التعرّف على الوجه، يقوم مزوّد الهوية بإنشاء رمز أمان (Token) يؤكد عملية المصادقة للتطبيق الحالي وللتطبيقات الأخرى المرتبطة بنفس نظام تسجيل الدخول الموحد.
هذا النهج يفصل بين عملية التحقق من الهوية والأمن، ومزايا التطبيق نفسه، مما يعني أن التطبيقات لم تعد بحاجة إلى تخزين كلمات المرور أو إدارة عمليات تسجيل الدخول، ويمكنها التركيز على جودة الخدمة المقدمة.
تتكوّن بيئة تسجيل الدخول الموحّد من عدة عناصر تشكل معًا دورة كاملة:
مزوّد الهوية هو الجهة المطوّرة لحل الـ SSO، والتي تكون مسؤولة عن مصادقة المستخدمين. يقوم هذا المزود بالتحقق من بيانات المصادقة، وتطبيق سياسات المصادقة، ويُعد الجهة الموثوقة التي تعتمد عليها التطبيقات لمصادقة المستخدمين على منصاتها.
مزوّدو الخدمة في هذا السياق هم التطبيقات أو الخدمات التي يرغب المستخدم في الوصول إليها، مثل التطبيق أو المنصة التي تقدمها شركتك. بدلًا من مصادقة المستخدمين بشكل مباشر، تثق التطبيقات والمنصات في مزوّدي الهوية وتقبل الرموز الموثّقة Verified Tokens الصادرة عن المزود المختار كدليل على المصادقة.
يتولى خادم الـ SSO تنسيق وإدارة طلبات المصادقة، وتبادل الرموز، واستمرارية الجلسات بين مزوّد الهوية ومزوّد الخدمة.
تحدد بروتوكولات مثل SAML 2.0 و OAuth 2.0 و OpenID Connect كيفية هيكلة بيانات المصادقة ونقلها والتحقق منها. تضمن هذه البروتوكولات قابلية التشغيل البيني والتواصل الآمن بين الأنظمة المختلفة.
يعمل دليل المستخدمين كنقطة مركزية لتخزين سجلات المستخدمين ومعلومات الوصول. ومن دلائل المستخدمين الأشهر Active Directory أو الأدلة المعتمدة على LDAP.
تؤكد الرموز أو الـ Tokens حالة مصادقة المستخدم، ويتم تخزينها بمستوى عالي من الأمان باستخدام التشفير. ومن أمثلتها SAML Assertions و JSON Web Tokens. تكون هذه الرموز محدودة الزمن وموقّعة رقميًا لمنع التلاعب أو الهجمات الخبيثة.
تمر عملية تسجيل الدخول الموحّد بتسلسل واضح من المراحل، يمكن تبسيطه كما يلي:
تبدأ العملية عندما ينتقل المستخدم إلى تطبيق يستخدم SSO. في هذه المرحلة، يتحقق التطبيق مما إذا كان لدى المستخدم جلسة نشطة وصالحة أم لا.
إذا لم تكن هناك جلسة صالحة، يقوم التطبيق بإعادة توجيه المستخدم إلى مزوّد الهوية. يتضمن هذا التوجيه طلب مصادقة يحدد التطبيق الذي قام بالطلب وسياق المصادقة بدقة.
يطلب مزوّد الهوية من المستخدم إثبات هويته. قد يتضمن ذلك إدخال اسم المستخدم وكلمة المرور، أو استخدام رمز تحقق لمرة واحدة OTP، أو الاستفادة من جلسة مصادقة سابقة إن وُجدت.
بعد نجاح المصادقة، يقوم مزوّد الهوية بإنشاء رمز مصادقة يحتوي على معلومات الهوية وبيانات تؤكد حدوث المصادقة، ويتم توقيعه رقميًا باستخدام شهادة موثوقة.
يتم إرسال الرمز إلى التطبيق الأصلي، عادة عبر إعادة توجيه آمنة في المتصفح أو عبر قناة اتصال خلفية، دون أن يتعامل التطبيق مباشرة مع بيانات مصادقة المستخدم.
يقوم التطبيق بالتحقق من صحة الرمز من خلال فحص التوقيع، والجهة المصدِرة، وتاريخ الانتهاء، والمستخدم المقصود، للتأكد من أن الرمز لم يتم التلاعب به وأنه صادر عن مصدر موثوق.
إذا كان الرمز صالحًا، ينشئ التطبيق جلسة للمستخدم ويمنحه حق الوصول. ومن هذه اللحظة، فقد تمت المصادقة لهذا المستخدم باستخدام SSO.
بالنسبة للمؤسسات التي ترغب في تطبيق SSO دون تعقيد بناء وصيانة بنية تحتية خاصة بها، توفر Authentica خدمة SSO جاهزة ومصممة للتكامل السلس مع المنصات والتطبيقات الحديثة.
تقدم هذه الخدمة مصادقة مركزية عبر التطبيقات السحابية، والتطبيقات المحلية، والبيئات الهجينة باستخدام واجهة برمجة تطبيقات واحدة (API)، مما يمكن المؤسسات من توحيد إدارة الوصول بأقل جهد ممكن، ودون تعطيل للأنظمة، وبنموذج تكاليف حسب الطلب.
تسجيل الدخول الموحّد ليس مجرد ميزة لتحسين تجربة المستخدم، بل تكمن قيمته الحقيقية في الطريقة التي يعيد بها تنظيم المصادقة عبر الأنظمة المختلفة. من خلال فهم آلية عمله، حتى دون الإلمام بكل التفاصيل التقنية، يصبح من الواضح لماذا ينبغي على كل تطبيق أو منصة التفكير في الاعتماد على SSO.
