ỨNG DỤNG SINGLE SIGN ON TẠI TRUNG TÂM THÔNG TIN – THƯ VIỆN, ĐẠI HỌC QUỐC GIA HÀ NỘI Phạm Thành Quang * Tóm tắt: Một khía cạnh quan trọng người dùng mạng Internet ngày việc bảo mật, quản trị tài khoản cá nhân Single Sign On (SSO) phương pháp kiểm soát truy cập cho phép người dùng xác thực lần truy cập vào tài nguyên nhiều phần mềm hệ thống Bài tham luận SSO giải pháp đăng nhập lần mang đến thuận tiệ n, hiệu cho người dùng minh chứng nhiều thương hiệu lớn giới Từ khóa: Thư viện số; Đăng nhập lần; Xác thực tài khoản; Bảo mật thông tin MỞ ĐẦU Trong thời đại phát triển mạnh mẽ hệ thống mạng máy tính nay, xu hướng dịch vụ chia sẻ liệu người dùng hướng phát triển chung công nghệ thông tin, người dùng phải quản lý nhiều tài khoản, mật cho dịch vụ, ứng dụng mà họ tham gia Khi người sử dụng phải lưu trữ nhiều thơng tin bí mật dẫn đến vấn đề khơng đảm bảo tính an ninh, an tồn tăng thêm chi phí khác Do nhu cầu đăng nhập lần – Single Sign On (SSO) cho ứng dụng dịch vụ cấp thiết Cơ chế SSO đảm bảo cho người dùng hợp pháp truy nhập vào nhiều dịch vụ khác hệ thống mạng phân tán phải sử dụng tài khoản Người sử dụng cần đăng ký đăng nhập lần vào hệ thống, phiên làm việc họ truy cập vào dịch vụ liên kết hệ thống phân tán mà đăng ký thêm định danh thơng qua q trình đăng nhập lần Hiện có nhiều phương pháp khác đưa nhằm mục đích ứng dụng chế này, thử nghiệm thực tế hầu hết phương pháp khơng ngăn chặn cơng cách có chủ ý từ bên ngồi Một số phương pháp có kèm theo chế đồng thời gian để loại bỏ truy nhập trái phép, điều dẫn đến việc tăng chi phí tính tốn Với qui mơ tầm vóc thư viện đại học lớn tròn tuổi 20, Trung tâm Thông tin – thư viện, ĐHQGHN tiên phong việc triển khai giải pháp SSO giúp người sử dụng cần dùng tài khoản mật SSO sử dụng tất ứng dụng tin cậy Single Sign On nhiều tổ chức, công ty giới nghiên cứu phát triển, nhiên Việt Nam lĩnh vực * Phòng Quản trị Công nghệ thông tin, Trung tâm Thông tin – Thư viện, Đại học Quốc gia Hà Nội Giới thiệu Single Sign On SSO chế xác thực yêu cầu người dùng đăng nhập vào lần với tài khoản mật để truy cập vào nhiều ứng dụng phiên làm việc (session) Trước có SSO, người sử dụng phải nhập tài khoản mật cho ứng dụng họ đăng nhập vào ứng dụng khác hệ thống phiên Điều rõ ràng tốn nhiều thời gian, đặc biệt môi trường thông tin đa phương tiện nay, mà người sử dụng phải đăng nhập họ truy cập vào hệ thống từ máy tính họ Do vậy, với hệ thống có nhiều website ứng dụng việc sử dụng SSO cần thiết nhằm đem lại nhiều thuận tiện cho người dùng tăng tính bảo mật Ví dụ: người dùng sử dụng dịch vụ google: gmail, scholar, youtube, google plus, drive… chưa có SSO với dịch vụ ta phải nhập thông tin để xác thực Với SSO người dùng cần sử dụng email google để đăng nhập khai thác sử dụng tất dịch vụ ứng dụng google Điều thực mang lại thuận tiện tiết kiệm thời gian cho người dùng tin, khơng phải đăng kí tài khoản khác Một số ứng dụng dịch vụ Google Đăng nhập trình người dùng sử dụng định danh thơng tin bí mật khác thiết lập kết nối bảo mật với hệ thống, định danh thơng tin bí mật người dùng người dùng đăng ký từ trước với hệ thống Quá trình người dùng đăng nhập bao gồm hai bước xác thực ủy quyền, đó: •Xác thực (Authentication): Kiểm tra người dùng có hợp lệ hay khơng thông qua phương thức xác thực hệ thống Xác thực coi cốt lõi trình đăng nhập hệ thống thông tin Chúng ta sử dụng phương pháp xác thực như: username, password, thẻ thông minh, hay dùng sinh trắc học… •Ủy quyền (Authorization): Là trình kiểm chứng người dùng xác thực có đủ quyền truy cập vào tài nguyên mà người dùng yêu cầu hay không Tài ngun u cầu phụ thuộc vào sách tên miền (cấp quyền theo tên miền) sách đặc biệt (ví dụ cấp quyền theo cấp) SSO triển khai sau xây dựng hệ thống xác thực phân quyền SSO có nhiệm vụ cung cấp cho người dùng quyền truy cập nhiều tài nguyên web, ứng dụng phạm vi cho phép với lần đăng nhập (xác thực) Các giải pháp đăng nhập lần Hiện có nhiều giải pháp SSO giới thiệu đưa vào sử dụng thực tế:  Open Single SignOn (OpenSSO) hoạt động dựa Token  Central Authentication Service (CAS)  Tivoli Access Manager for Enterprise Single SignOn  Java Open SSO (JOSSO) Tại Trung tâm TT-TV, ĐHQGHN hệ thống xác thực truy nhập lần triển khai ứng dụng theo mơ hình Central Authentication Service (CAS) CAS giải pháp SSO mã nguồn mở phát triển đại học Yale, với tính sau: - CAS hỗ trợ nhiều thư viện phía máy khách viết nhiều ngơn ngữ: PHP, Java, PL/SQL Nó lấy thơng tin SSO thơng qua cookie Cookie bị hủy người dùng đăng xuất khỏi CAS đóng trình duyệt Cookie sinh CAS, gọi Ticket Granting Cookie (TGC) chứa ID - CAS cung cấp nhiều trình quản lý xác thực (authenticate handler) khác CAS xác thực nhiều loại thông tin người dùng tên truy cập/mật khẩu, chứng khóa cơng khai X509, để xác thực thông tin người dùng khác này, CAS sử dụng trình quản lý xác thực tương ứng - CAS cung cấp tính “Remember me” Người phát triển cấu hình tính nhiều file cấu hình khác người dùng chọn “Remember me” khung đăng nhập, thông tin đăng nhập ghi nhớ với thời gian cấu hình Khi người dùng mở trình duyệt CAS chuyển đến service URL tương ứng mà không cần hiển thị khung đăng nhập Nguyên tắc chứng thực người dùng với máy chủ CAS hoạt động sau: - Người dùng nhập tên truy cập/mật vào khung đăng nhập Các thông tin truyền cho CAS máy chủ thông qua giao thức HTTPS - Xác thực thành công, TGC sinh thêm vào trình duyệt hình thức cookie TGC sử dụng để đăng nhập với tất ứng dụng Mơ hình giải pháp CAS Hệ thống đăng nhập lần thường gặp vấn đề bảo mật sau: - Vấn đề mật yếu: Sử dụng mật phương phápxác thực dùng phổ biến Mật sử dụng nhiều lần không thay đổi thời gian dài để truy cập vào ứng dụng vấn đề thường gặp Một phương pháp thông thường dùng để cơng mật yếu đốn mật cách sử dụng phương pháp công từ điển Chúng ta khắc phục vấn đề cách thiết lập sách mật mạnh - Vấn đề hình thức đăng nhập: Nhà cung cấp dịch vụ tích hợp mẫu đăng nhập dành cho người dùng vào trang nộidung mình, q trình đăng nhập thơng tin người dùng gửi trở lại cho nhà cung cấp dịch vụ để xác thực, thông tin không mã hóa dẫn đến vấn đề lộ định danh người dùng Bên cạnh hệ mã hóa sử dụng khơng đảm bảo an tồn dẫn đến nguy lộ thơng tin người dùng Ưu khuyết điểm chế đăng nhập lần 3.1 Ưu điểm  Tiết kiệm thời gian cho người sử dụng việc đăng nhập vào nhiều dịch vụ cung cấp tảng khác hệ thống phân tán  Tăng cường khả bảo mật thông qua việc giúp người sử dụng không cần nhớ nhiều thông tin đăng nhập (định danh mật khẩu)  Giúp cho người quản trị hệ thống tiết kiệm thời gian việc tạo lập hay loại bỏ người dùng hệ thống, thay đổi quyền hay nhóm người dùng  Tiết kiệm thời gian tái lập lại mật cho người dùng  Bảo mật cấp độ việc thoát hay truy xuất hệ thống  Người phát triển ứng dụng không cần thiết phải hiểu thực nhận dạng bảo mật ứng dụng họ, điều họ cần làm liên kết đến máy chủ định danh bảo đảm, việc giúp người dùng họ truy cập vào dịch vụ khác liên kết đến máy chủ họ  Tạo nên đồng dịch vụ ứng dụng hệ thống thông tin phục vụ người dùng 3.2 Khuyết điểm  Đòi hỏi sở hạ tầng toàn hệ thống phải bảo đảm  Do nhiều domain sử dụng chung sở liệu người dùng nên việc xác thực người dùng đăng ký với hệ thống phải chặt chẽ, không dễ vi phạm việc đảm bảo an ninh cho hệ thống  Cần có chế xác thực đảm bảo truyền thông tin định danh người dùng người sử dụng với máy chủ dịch vụ khác  Chi phí để triển khai hệ thống SSO tốn kém, phần mềm, phần cứng lẫn nguồn nhân lực, cần phải có tính tốn cẩn thận trước triển khai Ứng dụng thực tế Trung tâm TT – TV Trung tâm Thông tin – Thư viện đơn vị trực thuộc Đại học Quốc gia Hà Nội (ĐHQGHN), giao nhiệm vụ đảm bảo tài nguyên thông tin khoa học công nghệ chất lượng cao, phục vụ đội ngũ cán bộ, giảng viên, nhà nghiên cứu người học ngồi ĐHQGHN Chính vậy, Trung tâm biết trách nhiệm tạo thuận tiện, tiết kiệm thời gian, bảo mật liệu tài khoản, tạo nên đồng bộ, khiến cho người dùng khai thác thơng tin có cảm giác an tâm, thoải mái Cùng với việc khai trương trang website vào đầu năm 2016, hệ thống đăng nhập lần triển khai tích hợp với ứng dụng dịch vụ Trung tâm Thông tin – Thư viện Hệ thống mang lại quán dịch vụ ứng dụng hệ thống Trung tâm Người dùng tin từ cảm thấy an tâm, thuận tiện tài khoản họ thống sử dụng lúc dịch vụ, ứng dụng khác Thư viện Giao diện SSO Trung tâm TT – TV mắt đánh giá cao tính chuyên nghiệp, thể tiên phong với tư cách đơn vị đầu việc áp dụng sở công nghệ thông tin đại nhất, theo xu hướng Giao diện đăng nhập lần Trung tâm TT - TV Giao diện đăng nhập SSO Thư viện cổng thông tin đăng nhập chung hầu hết dịch vụ ứng dụng mà Thư viện tích hợp Các cổng thơng tin Trung tâm bao gồm:  LIC (Library and Information Center): http://lic.vnu.edu.vn/  URD2 (Unified Resource Discovery and Delivery): http://find.lic.vnu.edu.vn/  DLIB (Digital Library): http://dlib.vnu.edu.vn/ Việc triển khai hệ thống đăng nhập lầnđã tạo bước ngoặt nâng Trung tâm TT – TV lên tầm vóc Đây bước tiến thực mang tính cách mạng, tạo nên nhìn hồn toàn thư viện Đại học Quốc gia Hà Nội Điều thể chuyển biến số lượng truy cập site thành viên Trung tâm Ví dụ lượng truy cập củaDịch vụ Phát Tài nguyên học tập Nghiên cứu Thống nhấtURD2: http://find.lic.vnu.edu.vn/ Biểu đồ truy cập URD2 năm 2016 Sự tăng trưởng mạnh mẽ URD2 thể quan tâm người dùng tin họ có nhu cầu khai thác thơng tin, phần thống tài khoản người dùng dịch vụ ứng dụng thư viện Người dùng tin cảm thấy thuận tiện khơng phải quan tâm việc bảo mật thông tin lưu nhớ nhiều tài khoản khác Điều lưu tâm thời đại công nghệ thông tin, đặc biệt người khai thác thông tin chuyên sâu giảng viên, nhà khoa học… Dưới mơ hình đơn giản giải pháp SSO sau triển khai Trung tâm TT – TV: Sơ đồ giải pháp SSO thư viện Người dùng đăng nhập dịch vụ thư viện, tài khoản người dùng trước ghi nhận LDAP (Lightweight Directory Access Protocol -giao thức truy cập nhanh dịch vụ thư mục), sau LDAP xác thực tài khoản lúc SSO cho phép người dùng đăng nhập thành công bắt đầu sử dụng dịch vụ ứng dụng KẾT LUẬN Với trải nghiệm cá nhân tác giả, dù giải pháp SSO có khả tăng cường bảo mật thông tin tài khoản cho người dùng, nhiên có nhiều nguy tiềm ẩnngười dùng bị cơng từ bên ngồi hệ thống mạng Tuy vậy, kết khảo sát chất lượng phục vụ thư viện 2016, có đến 80% tổng số gần 2000 phiếu bầu chọn đồng ý với quan điểm website thư viện dễ khai thác phần mềm tra cứu tài liệu dễ sử dụng Điều chứng tỏ giải pháp SSO góp phần khơng nhỏ giúp ích cho việc tra cứu, khai thác thông tin website thư viện nhanh hơn, an toàn hơn, hiệu Dù cho chế đăng nhập lần hạn chế khơng thể phủ nhận giải pháp cơng nghệ thơng tin mang tính thời đại, tương lai Trung tâm Thông tin – Thư viện năm 2016 với trách nhiệm đầu tàu khai phá, lưu trữ thơng tin có bước tiến vượt bậc, đặc biệt triển khai ứng dụng mang tính bước ngoặt, giải pháp SSO chứng minh TÀI LIỆU THAM KHẢO https://en.wikipedia.org/wiki/Single_sign-on https://en.wikipedia.org/wiki/Central_Authentication_Service https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol https://en.wikipedia.org/wiki/Authorization https://en.wikipedia.org/wiki/Authentication https://en.wikipedia.org/wiki/OpenID https://en.wikipedia.org/wiki/HTTP_cookie ... lượng truy cập site thành viên Trung tâm Ví dụ lượng truy cập củaDịch vụ Phát Tài nguyên học tập Nghiên cứu Thống nhấtURD2: http://find .lic. vnu.edu.vn/ Biểu đồ truy cập URD2 năm 201 6 Sự tăng trưởng... cổng thơng tin Trung tâm bao gồm:  LIC (Library and Information Center): http:/ /lic. vnu.edu.vn/  URD2 (Unified Resource Discovery and Delivery): http://find .lic. vnu.edu.vn/  DLIB (Digital Library):... thác thơng tin có cảm giác an tâm, thoải mái Cùng với việc khai trương trang website vào đầu năm 201 6, hệ thống đăng nhập lần triển khai tích hợp với ứng dụng dịch vụ Trung tâm Thông tin – Thư