Đồng bộ hóa mật khẩu máy tính để bàn: Mở khóa các lợi ích của SSO nền tảng cho macOS

Sự phát triển của kiến trúc Zero Trust đã đưa ra những thách thức mới. Với hướng tiếp cận Zero Trust, việc chỉ đơn giản tin tưởng vào thông tin đăng nhập của người dùng không còn đủ. Tổ chức cần xác minh thiết bị chính nó để đảm bảo nó đáp ứng các tiêu chuẩn bảo mật của họ.

Một cách quan trọng để giải quyết thách thức này là cho phép đăng nhập thiết bị bằng thông tin đăng nhập được xác thực bởi nhà cung cấp danh tính của tổ chức. Cách tiếp cận này cho phép người dùng đăng nhập vào thiết bị của họ bằng thông tin đăng nhập của tổ chức, hợp nhất mật khẩu và nâng cao cả trải nghiệm của người dùng lẫn quản trị viên.

Với macOS Ventura, Apple giới thiệu Platform SSO, cho phép các nhà phát triển tạo ra một phần mở rộng đăng nhập duy nhất (Single sign-on - SSO) tương tác trực tiếp với cửa sổ đăng nhập macOS. Phần mở rộng này cho phép người dùng liên kết tài khoản macOS cục bộ của họ với nhà cung cấp danh tính của họ thông qua một quy trình đơn giản, tích hợp tốt với macOS. Okta đã dẫn đầu trong việc áp dụng điều này với tính năng Desktop Password Sync sắp tới trong Okta Device Access, cho phép người dùng xác thực bằng thông tin đăng nhập Okta trực tiếp từ màn hình đăng nhập macOS. Exclusive Networks nhà phân phối Okta tại thị trường ASEAN.

Desktop Password Sync không chỉ đồng bộ mật khẩu tài khoản macOS cục bộ với mật khẩu Okta của người dùng mà còn đăng ký người dùng vào công cụ xác thực chống lừa đảo và không sử dụng mật khẩu của Okta, FastPass. Với Okta FastPass, người dùng hiện có thể trải nghiệm xác thực không cần mật khẩu bằng dấu vân tay hoặc các thông tin sinh trắc học khác đến các tài nguyên của tổ chức. 

Tình trạng hiện tại của quản lý truy cập trên macOS

Tình trạng hiện tại của quản lý truy cập trên macOS đặt ra một số thách thức cho các tổ chức. Với các tài khoản cục bộ, thường khó để đảm bảo người dùng tuân thủ các nguyên tắc tốt nhất về độ phức tạp, độ dài và hạn chế mật khẩu. Điều này có thể dễ dàng làm cho các kẻ tấn công đoán hoặc đánh vỡ mật khẩu, đe dọa tài nguyên của tổ chức.

Mặc dù có các công cụ như giải pháp quản lý thiết bị di động (MDM) tồn tại để thực thi chính sách mật khẩu và cho phép đồng bộ LDAP trên các thiết bị Mac đã tham gia vào miền, quản lý truy cập trên macOS vẫn có thể là một quá trình khó khăn đối với cả người dùng và quản trị viên. Người dùng thường phải duy trì nhiều mật khẩu và thông tin đăng nhập, điều này có thể gây ra sự bực bội và nguy cơ an ninh. Quản trị viên cũng phải quản lý nhiều công cụ và quy trình công việc để đảm bảo người dùng có quyền truy cập vào các tài nguyên mà họ cần trong khi vẫn duy trì các kiểm soát an ninh cần thiết.

Với tính năng Desktop Password Sync, người dùng chỉ cần nhớ một bộ thông tin đăng nhập: tên người dùng và mật khẩu Okta của họ. Bằng cách thiết lập chính sách mật khẩu mạnh qua Bảng điều khiển Admin của Okta, các tổ chức có thể đảm bảo rằng người dùng tuân thủ các nguyên tắc tốt nhất cho mật khẩu trên các thiết bị và tài nguyên web. Với tính năng mới này, Okta cung cấp một giải pháp hứa hẹn có thể đơn giản hóa quản lý truy cập và cải thiện bảo mật cho các tổ chức.

Hành trình của người dùng

Desktop Password Sync bao gồm hai phần: quy trình đăng ký và xác thực.

1. Khi người dùng đăng nhập vào thiết bị, họ sẽ thấy thông báo hệ thống sau đây, yêu cầu họ tiến hành đăng ký.

2. Sau khi nhấp vào “Đăng ký”, người dùng sẽ được cung cấp một quy trình làm việc đơn giản dành cho máy Mac.

3. Sau đó, hệ thống sẽ nhắc người dùng cuối nhập mật khẩu tài khoản cục bộ của họ lần cuối để cho phép Okta quản lý mật khẩu của họ trong tương lai.

4. Khi đăng ký hoàn tất, người dùng hiện có thể xác thực bằng Okta. Hệ thống sẽ nhắc người dùng nhập mật khẩu Okta của họ để đồng bộ hóa nó với thiết bị Mac của họ.

5. Sau khi thành công, macOS sẽ cập nhật mật khẩu tài khoản cục bộ để khớp với mật khẩu của Okta, cho phép người dùng đăng nhập vào thiết bị bằng mật khẩu Okta của họ.

6. Đồng bộ mật khẩu máy tính để bàn hiện đã hoàn tất! Nó cung cấp trải nghiệm người dùng liền mạch sử dụng thông tin đăng nhập Okta để đăng nhập vào máy Mac. Ngoài ra, vì chúng tôi đã đăng ký người dùng với FastPass như một phần của quy trình đăng ký, người dùng hiện cũng có thể truy cập trình duyệt hoặc ứng dụng gốc của họ chỉ bằng cách cung cấp sinh trắc học.

Tiến sâu hơn vào chi tiết

Quá trình đăng ký được điều phối bởi tiện ích SSO của Okta Verify. Quá trình đăng ký bắt đầu với macOS tạo hai cặp khóa công khai/tư nhân, một cặp dùng cho ký hiệu của thiết bị và một cặp dùng cho mã hóa của thiết bị. Các khóa tư nhân được lưu trữ cục bộ trên Mac, được quản lý một cách tự nhiên bởi quy trình Platform SSO của macOS. Các khóa công khai được cung cấp cho tiện ích SSO của Okta, nơi mà cả hai khóa đều được đăng ký với máy chủ backend của Okta đồng thời tạo ra một liên kết giữa tài khoản cục bộ và tài khoản Okta của người dùng. Với việc thiết lập khóa và liên kết người dùng, Mac và máy chủ backend của Okta có thể giao tiếp an toàn, cho phép người dùng đăng nhập vào thiết bị bằng thông tin đăng nhập Okta của họ.

Khác với phần đăng ký của quá trình, nơi quyền kiểm soát được ủy quyền một phần cho tiện ích SSO, quá trình xác thực được thực hiện bởi hệ điều hành chính nó, giao tiếp trực tiếp với máy chủ của Okta bằng giao thức Platform SSO của Apple. Giao thức bắt đầu bằng việc hệ điều hành yêu cầu một nonce (mã một lần) từ máy chủ. Sau khi yêu cầu nonce thành công, hệ điều hành tạo một JWT được ký bằng khóa ký của thiết bị đã được lưu trong bước đăng ký. JWT chứa tên người dùng và mật khẩu mà người dùng đã nhập trong quá trình đăng nhập vào thiết bị, cùng với nonce của máy chủ đã được yêu cầu trước đó. JWT này được gửi đến điểm cuối mã thông báo của Okta, sau đó hệ thống xác nhận thông tin đăng nhập trong JWT và chữ ký, đảm bảo rằng đồng bộ mật khẩu đến từ một Mac đã biết và đã đăng ký trước đó. Điểm cuối mã thông báo của Okta trả lời bằng một mã thông báo JWE được mã hóa bằng khóa mã hóa của thiết bị. Việc mã hóa này đảm bảo chỉ có Mac dự kiến mới có thể giải mã và truy cập các mã thông báo bên trong. Sau khi nhận mã thông báo từ máy chủ Okta, macOS thực hiện xác minh chữ ký. Cuối cùng, ở bước xác thực, mật khẩu tài khoản cục bộ được cập nhật để đồng bộ với mật khẩu Okta và các mã thông báo được lưu trữ an toàn trên hệ điều hành.

Tóm lại

Khi môi trường làm việc tiếp tục tiến triển hướng đến một kiến trúc Zero Trust, việc tổ chức áp dụng các công nghệ mới để đảm bảo an ninh cho tài nguyên của họ là rất quan trọng. Okta mang đến những lợi ích vượt trội cho khách hàng thông qua sản phẩm Device Access. Bằng cách tận dụng công nghệ mạnh mẽ này, tổ chức có thể cải thiện bảo mật, nâng cao trải nghiệm người dùng và tối ưu hóa quản lý danh tính và quyền truy cập.

Quản lý truy cập trên macOS đã từng là một thách thức cho các tổ chức trong quá khứ. Tuy nhiên, việc giới thiệu tính năng Desktop Password Sync của Okta, một tính năng trong sản phẩm Device Access, đơn giản hóa việc quản lý mật khẩu cho macOS và cân nhắc giữa bảo mật và tiện lợi bằng cách đăng ký người dùng vào FastPass.

Okta cam kết xây dựng câu chuyện quản lý truy cập tốt nhất cho macOS bằng cách chặt chẽ hợp tác với Apple. Truy cập trang web Okta Device Access để tìm hiểu thêm chi tiết.

Nguồn Okta