Multilevel multifactor single sign-on

Abstract

The single sign-on mechanism (SSO) is a well-known technique to protect access to a set of resources that require prior authentication and authorization. In this work we design an SSO solution consisting of a central authentication server and a user directory, dedicated to protect a set of internal applications behind a perimeter network. We explore how to define complex security policies to set multiple levels of authorization so that some users may only be able to access a subset of the resources depending on their authorization level. Also, we test the use of multiple factors of authentication to access the resources by requesting different types of user credentials (e.g., username/password pairs or digital certificates). We also demonstrate how passing information to the client applications about login attributes allows implementing more complex authorization techniques. Finally, we implement a basic case of a single sign-off mechanism.

El mecanisme d'inici de sessió únic (SSO) és una coneguda tècnica per a protegir l'accés a un conjunt de recursos que requereixen autenticació i, possiblement, autorització addicional. La idea darrere d'un procediment d'inici de sessió únic consisteix en demanar a l'usuari que proporcioni les credencials d'accés una sola vegada però que se li concedeixi l'accés a tots els recursos a partir d'aquí. A més dels avantatges pràctics que n'obté l'usuari, aquest mecanisme comporta diverses limitacions i inconvenients, com ara un accés "tot o res" a tots els recursos o fer que un atac simple a només un nom d'usuari i contrasenya sigui molt perillós perquè, de tenir èxit, proporciona accés complet a tots els recursos protegits. En aquest treball primer dissenyem una solució SSO tot seguint una arquitectura clàssica formada per un servidor d'autenticació central, juntament amb un directori d'usuaris, dedicat a protegir un conjunt d'aplicacions internes darrere d¿una xarxa perimetral. A continuació explorarem com definir polítiques de seguretat més complexes per a un conjunt de recursos que permetin definir diversos nivells d'autorització dels recursos de manera que alguns usuaris només puguin accedir a un subconjunt dels recursos en funció del seu nivell d'autorització. A més, posem a prova l'ús de diversos factors d'autenticació per a accedir als recursos per millorar la seva seguretat sol·licitant diferents tipus de credencials d'usuari (per exemple, nom d'usuari/contrasenya o certificats digitals). En aquesta solució també demostrem com l'enviament d'informació sobre atributs del procediment d'inici de sessió a les aplicacions client permet implementar tècniques d'autorització més complexes per a protegir l'accés a aquests recursos. Finalment, implementem un cas bàsic de mecanisme de desconnexió única.

El mecanismo de inicio de sesión único (SSO) es una técnica bien conocida para proteger el acceso a un conjunto de recursos que requieren autenticación y, posiblemente, autorización adicional. La idea detrás de un procedimiento de inicio de sesión único consiste en solicitar al usuario que proporcione credenciales de acceso una vez pero que otorgue acceso a todos los recursos a partir de entonces. Aparte de los beneficios prácticos que obtiene el usuario este mecanismo implica varias limitaciones y desventajas como otorgar un acceso de "todo o nada" a todos los recursos o hacer que un ataque simple a un solo nombre de usuario y contraseña sea muy peligroso porque, de tener éxito, proporciona acceso completo a todos los recursos protegidos. En este trabajo, primero diseñamos una solución SSO siguiendo una arquitectura clásica consistente en un servidor de autenticación central, junto con un directorio de usuarios, dedicado a proteger un conjunto de aplicaciones internas detrás de una red perimetral. Luego exploramos cómo definir políticas de seguridad más complejas para un conjunto de recursos que permitan definir múltiples niveles de autorización para estos recursos, de modo que algunos usuarios solo puedan acceder a un subconjunto de los recursos según su nivel de autorización. También probamos el uso de múltiples factores de autenticación para acceder a los recursos con el fin de mejorar su seguridad al solicitar diferentes tipos de credenciales de usuario (por ejemplo, nombre de usuario/contraseña o certificados digitales). En esta solución además demostramos cómo el pasar información sobre atributos del procedimiento de inicio de sesión a las aplicaciones cliente permite implementar técnicas de autorización más complejas para proteger el acceso a estos recursos. Finalmente, implementamos un caso básico de mecanismo de cierre de sesión único.