รูปแบบการ ออกแบบสำหรับการสื่อสาร API แบบอะซิงโครนัส

ออกแบบสำหรับการสื่อสาร API สถาปัตยกรรมที่ขับเคลื่อนด้วยเหตุการณ์เป็นกระบวนทัศน์ที่ช่วยให้การมีเพศสัมพันธ์ต่ำระหว่างบริการ โดยเฉพาะอย่างยิ่ง ในสถาปัตยกรรมไมโครเซอร์วิส ไม่จำเป็นต้องใช้บริการเพื่อทำความรู้จักซึ่งกันและกันและค้นหาซึ่งกันและกันโดยใช้ API แบบซิงโครนัส สิ่งนี้ช่วยให้เราลดเวลาแฝง (หลีกเลี่ยง “ไมโครเซอร์วิสนรก”) และทำให้เปลี่ยนบริการแยกกันได้ง่ายขึ้น

โดยสรุป วิธีการนี้ใช้นายหน้าข้อความซึ่งจัดการหัวข้อ จำนวนหนึ่ง (หรือที่เรียกว่าบันทึกหรือสตรีม ) บริการหนึ่งสร้างหัวข้อในขณะที่บริการอื่นใช้จากหัวข้อ

กล่องดำเล็ก ๆ เหล่านี้แต่ละกล่องน่าจะต้องการมีสถานะของตัวเองเพื่อที่จะทำงานของมัน (บริการไร้สัญชาติมีอยู่จริง แต่สำหรับบางสิ่งที่จะไร้สัญชาติอย่างแท้จริง มีข้อแลกเปลี่ยนและจุดบกพร่องหลายประการที่คุณต้องแก้ไข และมักจะสะท้อนถึงสถาปัตยกรรมไมโครเซอร์วิสที่ซับซ้อนมากขึ้น บ่อยครั้งกว่านั้น สถาปัตยกรรมเหล่านี้สามารถอธิบายได้ว่าเป็น “ แจกโคลนก้อนโต”)

เป้าหมายของเราในการแนะนำนายหน้าข้อความคือการลดการพึ่งพาระหว่างกล่องเหล่านี้ ซึ่งหมายความว่าหากบริการ A มีข้อมูลบางอย่าง บริการ B ไม่ควรขอข้อมูลนั้นโดยตรงจากบริการ A เพราะบริการ A จะเผยแพร่ข้อมูลนั้นในหัวข้อ จากนั้นบริการ B สามารถใช้ข้อมูลและบันทึกลงในที่เก็บข้อมูลของตนเองหรือทำงานบางอย่างกับข้อมูลนั้นได้

เพิกเฉยต่อความท้าทายทางเทคนิคมากขึ้นด้วยแนวทางนี้ในด้านการผลิตหรือการบริโภค (เช่น การจับคู่การผลิตข้อความกับธุรกรรมฐานข้อมูล) ข้อมูลประเภทใดที่เป็นประโยชน์ในการส่งผ่านหัวข้อต่างๆ เราจะย้ายข้อมูลที่เก็บไว้จากบริการหนึ่งไปยังอีกบริการหนึ่งอย่างง่ายดายและปลอดภัยได้อย่างไร หัวข้อและบริการของเรามีลักษณะอย่างไรในสถานการณ์ต่างๆ

มาเริ่มตอบคำถามเหล่านั้นกันเลย

คาฟแกสก์

สำหรับวัตถุประสงค์ของการสนทนานี้ ฉันจะใช้Apache Kafkaเป็นเทคโนโลยีที่อยู่ภายใต้ตัวกลางของข้อความดังกล่าว นอกเหนือจากข้อดีในด้านต่างๆ เช่น ความสามารถในการปรับขนาด กู้คืน และประมวลผลสิ่งต่างๆ อย่างรวดเร็ว Kafka ยังมีคุณสมบัติบางอย่างที่ทำให้หัวข้อต่างๆ มีประโยชน์มากกว่าคิวธรรมดาหรือบัสข้อความ:

ข้อความมีคีย์ที่เกี่ยวข้อง สามารถใช้คีย์เหล่านี้ใน กลยุทธ์การ บีบอัด (ซึ่งจะลบข้อความทั้งหมดที่มีคีย์เดียวกัน ยกเว้นข้อความล่าสุด) สิ่งนี้มีประโยชน์ใน หัวข้อที่มีเนื้อหา รุนแรงซึ่งฉันจะพูดถึงเพิ่มเติมด้านล่าง
ข้อความจะถูกลบโดยการตั้งค่าการบีบอัดหรือการเก็บรักษา เท่านั้น (เช่น ลบข้อความใดๆ ที่เก่ากว่าเจ็ดวัน) ซึ่งจะไม่ถูกลบด้วยตนเองหรือทันทีที่เห็น
ผู้บริโภคจำนวนเท่าใดก็ได้ (หรือมากกว่านั้นคือกลุ่มผู้บริโภค) สามารถอ่านจากหัวข้อเดียวกันได้ และแต่ละคนจะจัดการออฟเซ็ตของตนเอง

ผลที่สุดของคุณสมบัติเหล่านี้คือข้อความจะอยู่อย่างถาวรในหัวข้อ—หรือจนกว่าจะถูกล้างโดยการเก็บรักษาหรือการบดอัด—และทำหน้าที่เป็นบันทึกความจริง

คาฟคายังอนุญาตให้คุณจัดโครงสร้างข้อมูลของคุณ คุณสามารถส่งข้อมูลไบต์ชนิดใดก็ได้ผ่าน Kafka แต่ขอแนะนำอย่างยิ่งให้ใช้กรอบงานสคี มาเช่นAvroหรือProtobuf ฉันจะก้าวไปอีกขั้นและแนะนำว่าทุกข้อความในหัวข้อควรใช้สคีมาเดียวกัน มีประโยชน์มากมายสำหรับสิ่งนี้ แต่นั่นเป็นหัวข้อสำหรับบทความอื่น

ด้วยคุณสมบัติเหล่านี้และข้อมูลที่มีโครงสร้างแข็งแกร่ง เราสามารถออกแบบหัวข้อสำหรับแต่ละสถานการณ์ต่อไปนี้:

หัวข้อเอนทิตี – “นี่คือสถานะปัจจุบันของ X”
หัวข้อกิจกรรม – “X เกิดขึ้น”
หัวข้อคำขอและคำตอบ” – “Please do X” → “X has been done”

หัวข้อเอนทิตี: แหล่งที่มาของความจริง

หัวข้อเอนทิตีเป็นหนึ่งในวิธีที่มีประโยชน์มากที่สุดในการใช้ Kafka เพื่อส่งต่อข้อมูลระหว่างบริการต่างๆ หัวข้อเอนทิตีรายงาน สถานะปัจจุบัน ของ วัตถุ

ตัวอย่างเช่น สมมติว่าคุณมีCustomersบริการที่รู้จักลูกค้าทั้งหมดที่บริษัทของคุณทำงานด้วย ในโลกที่ซิงโครนัส คุณต้องให้บริการนั้นตั้งค่า API เพื่อให้บริการอื่นๆ ทั้งหมดที่จำเป็นต้องทราบเกี่ยวกับลูกค้าจะต้องสืบค้นข้อมูลนั้น เมื่อใช้ Kafka คุณจะมีบริการนั้นเผยแพร่ไปยังCustomers หัวข้อแทน ซึ่งบริการอื่นๆ ทั้งหมดใช้มา

บริการผู้บริโภคสามารถถ่ายโอนข้อมูลนี้ไปยังฐานข้อมูลของตนเองได้โดยตรง สิ่งที่ยอดเยี่ยมเกี่ยวกับกระบวนทัศน์นี้คือแต่ละบริการสามารถจัดเก็บข้อมูลได้ตามต้องการ พวกเขาสามารถละทิ้งเขตข้อมูลหรือคอลัมน์ที่พวกเขาไม่สนใจ หรือแมปกับโครงสร้างข้อมูลหรือการแสดงข้อมูลที่แตกต่างกัน สิ่งสำคัญที่สุดคือ แต่ละบริการเป็นเจ้าของข้อมูลของตนเอง หากOrdersบริการของคุณจำเป็นต้องรู้เกี่ยวกับลูกค้า ไม่จำเป็นต้องขอ เพราะจะมีอยู่แล้วในฐานข้อมูลของตนเอง ออกแบบสำหรับการสื่อสาร API

คุณสมบัติอย่างหนึ่งของ Kafka คือข้อเท็จจริงที่ว่าทุกข้อความมีคีย์ที่ สอดคล้องกัน ซึ่ง มีประสิทธิภาพมากในการเปิดใช้หัวข้อประเภทนี้ คุณตั้งค่าคีย์เป็นตัวระบุใดๆ ก็ตามที่คุณต้องการสำหรับลูกค้ารายนั้น—รหัสบางชนิด จากนั้นคุณสามารถพึ่งพา Kafka เพื่อให้แน่ใจว่าในที่สุดคุณจะเห็นเพียงระเบียนเดียวสำหรับลูกค้าที่มี ID นั้น: ลูกค้าเวอร์ชันล่าสุด

คุณสมบัติอื่น – การแบ่งพาร์ติชั่น – ทำให้มั่นใจได้ว่าคำสั่งนั้นรับประกันสำหรับข้อความใด ๆ ที่มีคีย์เดียวกัน ซึ่งหมายความว่าคุณจะไม่มีวันใช้ข้อความผิดระเบียบ ดังนั้นเมื่อใดก็ตามที่คุณพบลูกค้ารายนั้น คุณจะทราบข้อเท็จจริงว่าเป็นเวอร์ชันล่าสุดของลูกค้ารายนั้นที่คุณยังไม่เคยเห็น

ผู้บริโภคสามารถเพิ่มข้อมูลลูกค้าลงในฐานข้อมูล—แทรกเข้าไปหากไม่มีอยู่ อัปเดตหากมี คาฟคายังมีแบบแผนในการระบุการลบ: ข้อความที่มีคีย์แต่เพย์โหลดเป็นโมฆะ หรือที่เรียกว่าหลุมฝังศพ สิ่งนี้บ่งชี้ว่าควรลบเรกคอร์ด เนื่องจากการบีบอัด ข้อความที่ไม่ใช่หลุมฝังศพทั้งหมดจะหายไปในที่สุด ไม่เหลืออะไรเลยนอกจากบันทึกการลบ (และสามารถบีบอัดอัตโนมัติได้เช่นกัน)

เนื่องจากหัวข้อเอนทิตีแสดงถึงมุมมองภายนอกในสถานะของบริการที่มีอยู่ คุณจึงสามารถส่งออกข้อมูลเพียงเล็กน้อยเท่าที่คุณต้องการ คุณสามารถปรับปรุงข้อมูลนั้นในภายหลังได้โดยการเพิ่มฟิลด์ให้กับข้อมูลที่ส่งออกและเผยแพร่อีกครั้ง (การลบฟิลด์นั้นยากกว่า เนื่องจากคุณจะต้องติดตามผู้ใช้ข้อมูลทั้งหมดเพื่อดูว่าพวกเขาใช้ฟิลด์เหล่านั้นจริงหรือไม่)

หัวข้อของเอนทิตีนั้นยอดเยี่ยม แต่มาพร้อมกับข้อแม้ที่สำคัญข้อหนึ่ง: พวกมันให้ความสอดคล้องกันในท้ายที่สุด เนื่องจากหัวข้อเป็นแบบอะซิงโครนัส คุณจึงไม่สามารถรับประกันได้ว่าสิ่งที่คุณมีในฐานข้อมูลของคุณตรงกับฐานข้อมูลของโปรดิวเซอร์ทุกประการ ซึ่งอาจล้าสมัยเป็นวินาทีหรือแม้แต่นาทีหากโบรกเกอร์ของคุณประสบปัญหาการชะลอตัว ถ้าคุณ:

ต้องการให้ข้อมูลของคุณมีความถูกต้อง 100 เปอร์เซ็นต์ ณ เวลาที่ใช้งานหรือ
คุณต้องรวบรวมข้อมูลจากมากกว่าหนึ่งแหล่ง และทั้งสองแหล่งมีลิงก์ที่ต้องตรงกันอย่างสมบูรณ์

ดังนั้นการใช้การประมวลผลแบบอะซิงโครนัสอาจไม่ใช่สิ่งที่คุณต้องการ: คุณต้องพึ่งพาการสืบค้น API แบบเก่าที่ดี

หัวข้อเหตุการณ์: บันทึกข้อเท็จจริง

หัวข้อกิจกรรมแตกต่างจากหัวข้อเอนทิตีอย่างสิ้นเชิง หัวข้อเหตุการณ์ระบุว่ามีบางสิ่งเกิดขึ้น แทนที่จะให้ข้อมูลชิ้นใดชิ้นหนึ่งที่เป็นเวอร์ชันล่าสุด หัวข้อเหตุการณ์ให้บันทึก “โง่ๆ” ของสิ่งที่เกิดขึ้น

(โปรดทราบว่าฉันจะไม่ครอบคลุมถึงการจัดหาเหตุการณ์ซึ่งใช้เหตุการณ์เพื่อสร้างสถานะของเรกคอร์ดใหม่ ฉันพบว่ารูปแบบนั้นเป็นการใช้เฉพาะกลุ่มในบริบทเฉพาะ และฉันไม่เคยใช้มันในการผลิต)

เหตุการณ์ส่วนใหญ่ใช้ด้วยเหตุผลสองประการ:

รวบรวมข้อมูลเกี่ยวกับพฤติกรรมของผู้ใช้หรือแอปพลิเคชัน สิ่งนี้มักจะให้อำนาจแก่การวิเคราะห์และการตัดสินใจด้วยตนเองหรือโดยอัตโนมัติ
ปิดงานหรือฟังก์ชันบางอย่างเมื่อมีเหตุการณ์เฉพาะเกิดขึ้น นี่คือพื้นฐานของ สถาปัตยกรรมการ ออกแบบท่าเต้นซึ่งเป็นการออกแบบแบบกระจายอำนาจที่แต่ละระบบรู้เฉพาะอินพุตของตนเอง

ตรงข้ามกับหัวข้อเอนทิตี หัวข้อเหตุการณ์สามารถจับภาพสิ่งที่เกิดขึ้นในช่วงเวลาที่แน่นอนเท่านั้น คุณไม่สามารถเพิ่มข้อมูลลงไปโดยพลการได้ เนื่องจากข้อมูลนั้นอาจมีการเปลี่ยนแปลง ตัวอย่างเช่น หากคุณต้องการเพิ่มที่อยู่ของลูกค้าในกิจกรรมการสั่งซื้อในภายหลัง คุณจะต้องอ้างอิงข้ามที่อยู่ณ เวลาที่เหตุการณ์นั้นเกิดขึ้นซึ่งโดยปกติแล้วจะเป็นการทำงานมากกว่าที่คุ้มค่า

หากต้องการย้ำว่า หัวข้อเอนทิตีควรมีฟิลด์น้อยที่สุดเท่าที่จะเป็นไปได้เนื่องจากการเพิ่มฟิลด์นั้นค่อนข้างง่ายและลบออกได้ยาก ในทางกลับกัน หัวข้อเหตุการณ์ควรมีฟิลด์มากที่สุดเท่าที่คุณคิดว่าจำเป็นเพราะคุณไม่สามารถเพิ่มข้อมูลต่อท้ายข้อเท็จจริงได้

หัวข้อเหตุการณ์ไม่ต้องการคีย์ข้อความเนื่องจากไม่ได้แสดงถึงการอัปเดตของวัตถุเดียวกัน ควรแบ่งพาร์ติชันอย่างถูกต้อง เนื่องจากคุณอาจต้องการทำงานกับเหตุการณ์ที่เกิดขึ้นกับเรกคอร์ดเดียวกันตามลำดับ

หัวข้อคำขอและการตอบสนอง: Async API

หัวข้อ คำขอและการตอบสนองเป็นเสียงที่ฟังดูเหมือนไม่มากก็น้อย:

ลูกค้าส่งข้อความร้องขอผ่านหัวข้อไปยังผู้บริโภค
ผู้บริโภคดำเนินการบางอย่าง จากนั้นส่งข้อความตอบกลับผ่านหัวข้อกลับไปยังผู้บริโภค

รูปแบบนี้มีประโยชน์โดยทั่วไปน้อยกว่ารูปแบบก่อนหน้าเล็กน้อย โดยทั่วไป รูปแบบนี้จะสร้างสถาปัตยกรรมการประสานซึ่งบริการจะบอกบริการอื่นๆ อย่างชัดเจนว่าต้องทำอะไร มีเหตุผลสองสามประการที่คุณอาจต้องการใช้หัวข้อเพื่อขับเคลื่อนสิ่งนี้แทน API แบบซิงโครนัส:

คุณต้องการรักษาการเชื่อมต่อต่ำระหว่างบริการที่นายหน้าข้อความมอบให้เรา หากบริการที่ทำงานมีการเปลี่ยนแปลงตลอดเวลา บริการที่ใช้งานจริงก็ไม่จำเป็นต้องทราบเรื่องนี้ เนื่องจากเป็นเพียงการส่งคำขอไปยังหัวข้อหนึ่งๆ แทนที่จะถามบริการโดยตรง
งานใช้เวลานานกว่าจะเสร็จสิ้น ถึงจุดที่คำขอซิงโครนัสมักจะหมดเวลา ในกรณีนี้ คุณอาจตัดสินใจใช้ หัวข้อ ตอบกลับแต่ยังคงส่งคำขอพร้อมกัน
คุณกำลังใช้ตัวรับส่งข้อความสำหรับการสื่อสารส่วนใหญ่ของคุณอยู่แล้ว และต้องการใช้การบังคับใช้สคีมาที่มีอยู่และความเข้ากันได้แบบย้อนกลับที่ได้รับการสนับสนุนโดยอัตโนมัติโดยเครื่องมือที่ใช้กับคาฟคา

ข้อเสียอย่างหนึ่งของรูปแบบนี้คือคุณจะไม่ได้รับคำตอบในทันทีว่าคำขอนั้นสำเร็จหรือไม่ หรืออย่างน้อยก็ได้รับสำเร็จ บ่อยครั้งในสถานการณ์ “ดำเนินการบางอย่าง” ข้อมูลนี้มีประโยชน์มากที่จะทราบทันที โดยเฉพาะอย่างยิ่งหากเป็นธุรกรรมเชิงตรรกะบางประเภท

หากคุณใช้รูปแบบนี้ คุณอาจเปลี่ยนรูปแบบปกติของสถาปัตยกรรม Kafka และมีผู้ผลิต หลายราย ที่มีผู้บริโภค เพียงราย เดียว ในกรณีนี้ผู้บริโภคเป็นเจ้าของสคีมา ไม่ใช่ผู้ผลิต ซึ่งเป็นวิธีการทำงานที่ไม่ชัดเจน

เข้าร่วมและปรับปรุงหัวข้อ

กรณีการใช้งานทั่วไปสำหรับไมโครเซอร์วิสคือการรวมสองหัวข้อเข้าด้วยกันหรือปรับปรุงหัวข้อที่มีอยู่ด้วยข้อมูลเพิ่มเติม ตัวอย่างเช่น ที่Flippเราอาจมีหัวข้อที่มีข้อมูลผลิตภัณฑ์และหัวข้ออื่นที่เพิ่มหมวดหมู่ให้กับผลิตภัณฑ์ตามข้อมูลที่ป้อนเข้ามา

มีเครื่องมือที่มีอยู่แล้วที่ช่วยในกรณีการใช้งานเหล่า นี้เช่นKafka Streams สิ่งเหล่านี้มีประโยชน์ แต่มีข้อผิดพลาดมากมายที่เกี่ยวข้องกับการใช้:

หัวข้อของคุณต้องมีสคีมาหลักเดียวกัน การเปลี่ยนแปลงใด ๆ กับคีย์สคีมาอาจต้องแบ่งพาร์ติชันใหม่ ซึ่งอาจมีราคาแพง
หัวข้อของคุณควรมีปริมาณ งานพอๆ กัน หากหัวข้อใดหัวข้อหนึ่งใหญ่กว่า มาก หรือมี ข้อความ มากกว่าอีกหัวข้อหนึ่ง แสดงว่าคุณติดอยู่กับหัวข้อที่แย่ที่สุดของทั้งสองหัวข้อ คุณอาจลงเอยด้วยการเข้าร่วมหัวข้อ “เล็ก เร็ว” (อัปเดตจำนวนมาก ข้อความเล็ก) กับหัวข้อ “ใหญ่ ช้า” (อัปเดตน้อยลง ข้อความใหญ่ขึ้น) และต้องแสดงหัวข้อ “ใหญ่ เร็ว” ซึ่งอาจทำลาย บริการดาวน์สตรีมของคุณ
คุณกำลังเพิ่มการใช้ข้อมูลของคุณเป็นสองเท่าทุกครั้งที่คุณเปลี่ยนหัวข้อหนึ่งเป็นอีกหัวข้อหนึ่ง แม้ว่าคุณจะได้รับประโยชน์จากบริการที่มีสถานะน้อยกว่า แต่คุณก็จ่ายตามราคาสำหรับโบรกเกอร์ของคุณและยังมีลิงค์อื่นในห่วงโซ่ที่สามารถใช้งานไม่ได้
ข้อมูลภายในของบริการเหล่านี้อาจไม่ชัดเจนและเข้าใจยาก ตัวอย่างเช่น โดยค่าเริ่มต้น พวกเขาใช้ Kafka เป็นสถานะภายใน ส่งผลให้ตัวจัดการข้อความมีความเครียดมากขึ้นและหัวข้อชั่วคราวจำนวนมาก

ที่ Flipp เราเริ่มเลิกใช้ Kafka Streams และชอบใช้การเขียนบางส่วนไปยังที่เก็บข้อมูล หากหัวข้อจำเป็นต้องเข้าร่วม เราใช้เครื่องมืออย่างDeimosเพื่อทำให้การดัมพ์ทุกอย่างไปยังฐานข้อมูลในเครื่องเป็นเรื่องง่าย และสร้างอีกครั้งโดยใช้สคีมาและจังหวะที่เหมาะสม

บทสรุป

โบรกเกอร์ข้อความและหัวข้อเป็นวิธีการที่สมบูรณ์ในการขยายสถาปัตยกรรมของคุณ ลดการพึ่งพา และเพิ่มความปลอดภัยและความสามารถในการปรับขนาด การออกแบบระบบและหัวข้อของคุณเป็นงานที่ไม่สำคัญ และฉันได้นำเสนอรูปแบบบางอย่างที่ฉันพบว่ามีประโยชน์ เช่นเดียวกับสิ่งอื่นๆ สิ่งเหล่านี้ไม่ได้ถูกออกแบบมาเพื่อใช้ในทุกสถานการณ์ แต่มีหลายกรณีที่การใช้สิ่งเหล่านี้จะทำให้สถาปัตยกรรมมีความแข็งแกร่ง มีประสิทธิภาพ และบำรุงรักษาได้มากขึ้น

Face-sso (By K&O) หากท่านสนใจ เครื่องสแกนใบหน้ารุ่นต่างๆ หลากหลายรุ่น หรือ ติดตั้งระบบสแกนใบหน้า สามารถติดต่อสอบถามได้โดยตรง เรามีแอดมินคอยคอบคำถาม 24 ชั้วโมงที่ Line OA เครื่องสแกนใบหน้า สามารถ ขอราคาพิเศษได้ ตามงบประมาณที่เหมาะสม สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ มั่นใจเพราะเป็นราคาที่สุด คุ้มค่าที่สุด

หากท่านมีความสนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699

26 มกราคม 202326 มกราคม 2023

อัลกอริทึมแมชชีนเลิร์นนิง คิดได้อย่างไรว่าคุณควรดูอะไรต่อไป

อัลกอริทึมแมชชีนเลิร์นนิง คุณนั่งลงหน้าโทรทัศน์หรือพลิกไปที่แอพสตรีมมิ่งบนสมาร์ทโฟน คุณเลือกดูอะไร? การพิจารณาว่ารายการและภาพยนตร์ ใดจบลงต่อหน้าผู้ชมนั้นเป็นกระบวนการที่มนุษย์เป็นผู้ควบคุม แต่ละคนจะเห็นว่ามีเนื้อหาใดบ้าง พิจารณาว่ากลุ่มประชากรใดรับชมเมื่อใด และจัดตารางการแสดงและภาพยนตร์ในช่วงเวลาที่น่าจะมีผู้ชมที่เหมาะสม

อย่างไรก็ตามด้วยบริการสตรีมมิ่งไม่มีกำหนดการ ทุกอย่างสามารถใช้ได้ทุกเวลา การแสดงที่ถูกต้องต่อหน้าผู้ชมเมื่อพวกเขาพร้อมที่จะรับชมกลายเป็นปัญหาหลัก

สิ่งที่ครั้งหนึ่งเคยเป็นกระบวนการของมนุษย์ล้วน ๆ ได้พัฒนาขึ้นด้วยความก้าวหน้าของเทคโนโลยีแมชชีนเลิร์นนิง ที่ Warner Bros. Discovery เราใช้แมชชีนเลิร์นนิงเพื่อแสดงภาพยนตร์และรายการทีวีที่จะโดนใจผู้ชมมากที่สุด ทีมบรรณาธิการของเราได้เลือกโปรแกรมที่พวกเขาคิดว่าเป็นโปรแกรมที่ดีที่สุดในห้องสมุดของเรามานานแล้ว แต่โปรแกรมโปรดของคนๆ หนึ่งมักไม่ถูกใจใครอีกคนหนึ่งเสมอไป เช่นเดียวกับหลายๆ อุตสาหกรรม เราได้หันไปใช้แมชชีนเลิร์นนิงและข้อมูลผู้ใช้เพื่อทำให้ประสบการณ์ดิจิทัลของเราดีขึ้น

เป้าหมายของเราคือการทำให้ประสบการณ์ของผู้ชมง่ายขึ้นและง่ายขึ้น เพื่อให้พวกเขาพบเนื้อหาที่ต้องการรับชมได้อย่างรวดเร็ว ไม่มีใครในอุตสาหกรรมที่ไขปัญหานี้ได้อย่างสมบูรณ์ ซึ่งเป็นสิ่งที่ทำให้น่าตื่นเต้นมาก

ในบทความนี้ เราจะพูดถึงสิ่งที่เรากำลังทำกับ ML เพื่อให้แน่ใจว่ารายการโปรดใหม่ของคุณกำลังรอคุณอยู่เมื่อคุณเปิดDiscovery +หรือHBO Max

การย้ายจากกระบวนการของมนุษย์ไปสู่กระบวนการของเครื่องจักร

อย่างง่ายที่สุด คำแนะนำจะขึ้นอยู่กับรูปแบบ ถ้าคุณชอบนิยายวิทยาศาสตร์ คุณน่าจะดูหนังนิยายวิทยาศาสตร์มากกว่า จากการศึกษาของเรา เราพบว่าผู้ชมโดยเฉลี่ยมีแนวเพลงประมาณ 5 หรือ 6 ประเภท พวกมันไม่ใช่ประเภทเดียวกันสำหรับผู้ดูทุกคน ดังนั้นการเรียงลำดับการนำทางทั่วไป—แม้แต่การเรียงตามตัวอักษร—อาจเป็นเรื่องยาก คุณสามารถแสดงโปรแกรมยอดนิยมได้ แต่จากนั้นคุณก็จะละเลยเนื้อหา หางยาว ของคุณ

ระบบอัตโนมัติที่ง่ายที่สุดที่เราทำได้คือทำให้มั่นใจว่าแนวเพลงโปรดของผู้ใช้นั้นเข้าถึงได้ง่ายที่สุด เราทำสิ่งนี้ทั้งในหน้าเรียกดู เมื่อผู้ใช้คลิกเข้าไปในรายการทีวีและภาพยนตร์ และเห็นประเภทที่มีให้ แต่ยังรวมถึงในหน้าแรกของผู้ใช้ด้วย การสร้างโฮมเพจนั้นจำเป็นต้องปรับเปลี่ยนในแบบของคุณ เพื่อที่ผู้ใช้จะไม่เลื่อนแล้วเลื่อนอีกเพื่อไปยังประเภทของรายการที่พวกเขาดูตลอดเวลา

บรรณาธิการที่เป็นมนุษย์จะวิเคราะห์ประเภทเหล่านั้นและเลือกภาพยนตร์หรือรายการที่พวกเขาคิดว่าดีที่สุด: อัญมณี แต่บรรณาธิการคนเดียว ไม่ว่าจะมีรสนิยมดีแค่ไหน ก็ไม่สามารถเลือกผู้ชนะสำหรับทุกคนได้ เราเก็บข้อมูลประวัติของผู้ใช้ การโต้ตอบที่พวกเขาทำบนไซต์ และสัญญาณอื่น ๆ ที่บอกเราว่าพวกเขาสนใจอะไร เราใช้อัลกอริทึมการเรียนรู้เชิงลึกที่เรียกใช้ประวัติเหล่านี้ผ่านแบบจำลองตามลำดับเพื่อกำหนดความน่าจะเป็นของผู้ชมนี้ ต้องการชมการแสดงใด ๆ จากนั้นเราจะจัดอันดับเนื้อหาตามแนวโน้มที่จะดึงดูดลูกค้าและส่งอันดับนั้นไปให้พวกเขา ซึ่งนั่นคือสิ่งที่อัญมณีของพวกเขามี โดยพิจารณาจากข้อมูลที่พวกเขาส่งมาให้เรา

แน่นอน เราไม่เพียงแค่ต้องการให้บริการเนื้อหาที่คุณชอบอยู่แล้วเท่านั้น บรรณาธิการที่เป็นมนุษย์นั้นเก่งมากในการหากลุ่มความเชื่อมโยงที่กว้างขึ้นระหว่างสื่อต่างๆ พวกเขาจะแนะนำบางสิ่งที่ไม่ใช่เพราะข้อมูลเมตาบอกว่ามีฉากแอ็คชั่นที่นี่และฉากโรแมนติกที่นี่ แต่เป็นเพราะตัวแก้ไขกำลังเชื่อมต่อจุดที่อาจไม่สามารถแปลเป็นป้ายกำกับได้ง่ายๆ คุณชอบภาพยนตร์จากผู้กำกับคนนี้ บางทีคุณอาจจะชอบงานของพวกเขาในประเภทที่คุณไม่เคยสำรวจมาก่อน Pandora ลองใช้โมเดลนี้กับเพลงโดยให้บรรณาธิการที่เป็นมนุษย์สร้างความเชื่อมโยงระหว่างเพลง อย่างชัดเจน อัลกอริทึมแมชชีนเลิร์นนิง

เครือข่ายการเชื่อมต่อที่สร้างเนื้อหาที่หลากหลายและประสบการณ์ที่น่ายินดีคือสิ่งที่เรากำลังสำรวจอยู่ในขณะนี้ เว้นแต่ว่าเรากำลังพยายามใช้โปรแกรม ML ของเราเพื่ออนุมานการเชื่อมต่อเหล่านั้น ไม่ว่าจะเป็นการเชื่อมต่อรูปแบบการดู การดูข้อมูลเมตา หรือการแยกตัวชี้นำจากตัวเนื้อหา เราต้องการสร้างกลุ่มเนื้อหาที่สมบูรณ์ยิ่งขึ้นมากกว่าที่จะหาได้จากสัญญาณประเภทเท่านั้น อัลกอริทึมแมชชีนเลิร์นนิง

Warner Brothers Discovery กำลังเปลี่ยนโดยรวมจากการเป็นกองบรรณาธิการที่หนักหน่วงและขับเคลื่อนโดยมนุษย์ไปสู่ ML ที่หนักหน่วงมากขึ้น หนึ่งในสถานที่ที่เราเพิ่งเริ่มเข้าสู่วัฒนธรรมบรรณาธิการคือในสิ่งที่เราเรียกว่าแผงฮีโร่ ซึ่งเป็นแผงขนาดใหญ่ที่ด้านบนที่แสดงตัวอย่างรายการเดียวสำหรับรายการเด่น บรรณาธิการของเรามักจะเลือกสิ่งที่จะไปที่นั่น—ไม่ใช้เครื่องจักร เป็นเพียงชุดตัวเลือกที่หมุนเวียนตลอดเวลา ตอนนี้ เรากำลังเปลี่ยนสิ่งนี้ให้กลายเป็นปัญหาการเรียนรู้ของเครื่อง โดยพยายามหาวิธีปรับแต่งพื้นที่นั้นให้เป็นส่วนตัวด้วยชุดโปรแกรมที่เกี่ยวข้องกับผู้ที่กำลังดูพื้นที่นั้นหมุนเวียนอยู่ตลอดเวลา

มีตัวเลือกและเครื่องมือมากมายในการสร้างโซลูชัน ML ในปัจจุบัน เราเป็นร้านค้า AWS ส่วนใหญ่ และเราเริ่มต้นเส้นทาง ML โดยใช้บริการจำนวนมากของพวกเขา รวมถึง SageMaker สำหรับการฝึกอบรมโมเดลและไปป์ไลน์การปรับใช้ เราใช้ AWS Personalize สำหรับเครื่องมือแนะนำเบื้องต้นของเรา มันช่วยให้เราเริ่มต้นได้อย่างรวดเร็วและทำงานได้ดีกับปัญหาส่วนใหญ่

ตอนนี้เรากำลังสร้างโมเดลของเราเองใน TensorFlow หากคุณต้องการกรอบการประเมินที่สมบูรณ์ยิ่งขึ้น เวลาตอบสนองที่เร็วขึ้น และการควบคุมเทคนิคการเรียนรู้และอัลกอริทึมที่ใช้มากขึ้น นั่นคือขั้นตอนต่อไป โมเดลแบบกำหนดเองของเราทำงานได้ดีพอๆ กับสิ่งที่อุตสาหกรรมและ AWS จัดหาให้ และเรากำลังต้องการสร้างไปป์ไลน์ ML ที่รองรับกรณีการใช้งานเฉพาะของเราโดยไม่ต้องอาศัยเฟรมเวิร์กทั่วไปเหล่านี้

เราไม่ได้ต้องการคิดค้นล้อขึ้นมาใหม่ มีเทคโนโลยีโอเพ่นซอร์สและโซลูชันสำหรับองค์กรจำนวนมากที่เรากำลังพิจารณาที่จะเพิ่มเข้าไปในสแต็กของเรา เรากำลังดูเทคโนโลยีอย่างเช่นFeastสำหรับฟีเจอร์สโตร์และเครื่องมืออนุมานอย่าง KServe และ MLflow เพื่อจัดการการทดลองและไปป์ไลน์การปรับใช้ของเรา ด้วยเครื่องมือที่เรากำหนดเองและเทคโนโลยีโอเพ่นซอร์สที่ยอดเยี่ยมในตลาด เราสามารถออกแบบโซลูชัน ML ที่จัดการกับกรณีการใช้งานเฉพาะของเราได้

ในความเป็นจริงแล้ว ML tooling โดยทั่วไปมีมาไกลมาก แถบสำหรับการเริ่มต้นได้ลดลงอย่างมากในช่วงทศวรรษที่ผ่านมา ซึ่งคุณสามารถสร้างไปป์ไลน์ ML ที่มีประสิทธิภาพมากได้เพียงแค่ใช้เครื่องมือนอกกรอบ ด้วยความก้าวหน้าของฮาร์ดแวร์และอัลกอริทึมที่คุณสามารถใช้ประโยชน์ได้ คุณสามารถบูตสแตรปโซลูชันที่มีประสิทธิภาพมากซึ่งจะทำการอนุมานในเสี้ยวมิลลิวินาที

หากคุณต้องการพัฒนาเฟรมเวิร์กการประเมินที่สมบูรณ์ยิ่งขึ้นและเจาะลึกลงไปในชุดข้อมูลการฝึกอบรมของคุณ ถึงเวลานั้นคุณสามารถเริ่มปรับแต่ง เราได้พัฒนาโมเดลและไปป์ไลน์ของเราเองเพื่อให้เราควบคุมเทคนิคการเรียนรู้ได้มากขึ้น และช่วยให้ชุดข้อมูลของเรามีเวลาตอบสนองเร็วขึ้น จากนั้นเราสามารถสร้างโซลูชันที่เราได้บูทสแตรปไว้

แน่นอนว่าเครื่องมือ อัลกอริทึม และโมเดลไม่ใช่ส่วนที่ยากที่สุดเกี่ยวกับแมชชีนเลิร์นนิง มันคือข้อมูล

ปัญหาที่แท้จริงคือข้อมูล

รหัส ML เป็นส่วนเล็ก ๆ ของปริศนาที่ใหญ่กว่า: ข้อมูล การรวมข้อมูลและข้อมูลเมตาจำนวนมหาศาลเข้าด้วยกันเพื่อกำหนดคุณสมบัติและตัดสินใจว่าจะใช้ความหมายอย่างไรนั้นทั้งยากและจำเป็น หากคุณเคยผ่านบทช่วยสอน ML ข้อมูลจะมอบให้คุณ แต่ในการใช้งานจริง ข้อมูลจะไม่มีคุณภาพสูงเท่าที่คุณต้องการ คุณลงเอยด้วยการต่อสู้กับข้อมูลสำหรับโมเดลของคุณแล้วฝึกฝนโมเดลของคุณ แต่ส่วนการจัดการข้อมูลเป็นส่วนที่เราใช้เวลาส่วนใหญ่

เครื่องมือโอเพ่นซอร์สบางตัวนั้นดีมากจนคุณสามารถเขียนโค้ดสองบรรทัดใน Tensorflow และมีแอปพลิเคชัน ML เป็นของตัวเอง แต่จากนั้นคุณต้องปรับใช้ และเมื่อคุณปรับใช้ในสถานการณ์ธุรกิจจริง คุณจะต้องดำเนินการผ่านรายการตรวจสอบต่างๆ ไปป์ไลน์ต้องทำงานแบบเรียลไทม์ ปรับขนาดได้อย่างรวดเร็ว บำรุงรักษาได้ และยังคงโปร่งใสเพียงพอสำหรับเราที่จะประเมินว่าเรากำลังปฏิบัติตามสัญญาณที่ถูกต้องและสนับสนุนผู้ใช้ในทิศทางที่ดีหรือไม่

รับสัญญาณง่ายๆ: เวลาในการรับชม หากผู้ดูดูรายการใดรายการหนึ่งมากกว่า พวกเขาอาจจะชอบ และเราสามารถใช้รายการนั้นเพื่อสรุปรายการอื่นๆ ที่พวกเขาอาจชอบได้ ค่อนข้างตรงไปตรงมา แต่ข้อมูลนั้นจำเป็นต้องไหลกลับจากผู้ดูไปยังระบบของเรา สตรีมเนื้อหาไปยังไคลเอ็นต์ ซึ่งมักจะบัฟเฟอร์เกินความจำเป็นเพื่อป้องกันการหยุดชะงัก เพื่อให้คำแนะนำของเราแสดงเนื้อหาที่ถูกต้อง ข้อมูลนี้จำเป็นต้องไหลย้อนกลับในเวลาเกือบเรียลไทม์ หากผู้ชมเกลียดการแสดงและคลิกกลับไปที่หน้าแรก หน้านั้นจะต้องพร้อมที่จะรีเฟรชด้วยคำแนะนำใหม่

ข้อมูลเหล่านี้จะกลายเป็นข้อมูลขนาดเพตะไบต์ในแต่ละวัน และข้อมูลนี้จำเป็นต้องรวบรวมและส่งผ่านไปยังระบบแบ็กเอนด์ของเรา ข้อมูลที่มาจากไคลเอ็นต์ไม่ได้อยู่ในรูปแบบที่ใช้งานได้ง่าย ดังนั้นการรวมข้อมูลให้เป็นรูปแบบที่สามารถรวบรวมและป้อนเข้าสู่โมเดลของเราจึงเป็นหนึ่งในงานที่ท้าทายที่สุดที่เราเผชิญ

แต่เปอร์เซ็นต์การดูเป็นเมตริกพื้นฐานที่ค่อนข้างดี และไม่ได้บอกอะไรเรามากนักเกี่ยวกับสิ่งที่ผู้ชมชอบเกี่ยวกับรายการ เมตริกสำคัญอย่างหนึ่งของเราคือผลตอบแทนจากการลงทุนด้านเนื้อหา: จำนวนผู้ชมที่โปรแกรมได้รับขึ้นอยู่กับการลงทุนของเราในนั้น ส่วนหนึ่งของสิ่งที่เราต้องการจากสัญญาณที่ผู้ชมส่งกลับมาคือความสามารถในการเข้าใจเนื้อหาของวิดีโอได้ดีขึ้นโดยไม่ต้องพึ่งพาผู้ดูแลที่เป็นมนุษย์ เราเพียงแค่ขูดพื้นผิวของการแยกข้อมูลเมตาและคุณลักษณะต่างๆ จากวิดีโอ และกำลังพยายามตรวจสอบอย่างจริงจังว่ามีอะไรเพิ่มเติมที่เราสามารถเรียนรู้เกี่ยวกับเนื้อหาของเราจาก ML ได้หรือไม่

แมชชีนเลิร์นนิงเปลี่ยนแปลงอยู่เสมอ เช่นเดียวกับอัลกอริทึมของเรา ดังนั้นในขณะที่เราอัปเดตโมเดลและทำซ้ำตามข้อมูลของเรา เราต้องการวิธีที่ดีในการประเมินว่าโมเดลและการเปลี่ยนแปลงของคุณให้ผลลัพธ์ที่คุณต้องการหรือไม่ เราทำการทดลองมากมาย: การประเมินโมเดลแบบเทียบเคียงกับเมตริกเป้าหมายต่างๆ ขณะที่ผู้ใช้โต้ตอบกับรายการ ประเภท หรือส่วนต่างๆ ของแอป เราต้องการให้ฟีดข้อมูลนั้นกลับเข้าสู่โมเดลของเรา

ความเสี่ยงคือเราให้น้ำหนักมากเกินไปกับเมตริกใดเมตริกหนึ่งหรืออีกเมตริกหนึ่ง หากเมตริกเดียวของเราคือเวลาในการดู อัลกอริทึมจะเพิ่มประสิทธิภาพสำหรับสิ่งนั้น และตัวเลขเหล่านั้นก็จะเพิ่มขึ้น แต่ผู้ชมเลือกเนื้อหาที่มีความหมายสำหรับพวกเขาหรือไม่ เรากำลังนำพวกเขาไปยังวิดีโอที่พวกเขาชอบหรือเราแค่โยนเนื้อหาจำนวนมากใส่พวกเขาจนมีบางอย่างติดขัด? การพึ่งพาเมตริกเดียวมากเกินไปอาจทำให้คุณละเลยความสมบูรณ์ของมาโครโดยรวม ซึ่งอาจส่งผลต่อลำดับที่สองโดยไม่ได้ตั้งใจสำหรับเนื้อหาที่เหลือของคุณ

26 มกราคม 202326 มกราคม 2023

ปัญหามากมายในการใช้การ ลงชื่อครั้งเดียว

ลงชื่อครั้งเดียว สตาร์ทอัพ SaaS ส่วนใหญ่ต้องการขายให้กับองค์กร แต่หลายๆ แห่งไม่ได้เตรียมพร้อมสำหรับข้อกำหนดที่องค์กรร้องขอมากที่สุด นั่นคือ การลงชื่อเพียงครั้งเดียว (SSO) ผลิตภัณฑ์ SaaS มักจะออกแบบมาสำหรับชื่อผู้ใช้และรหัสผ่าน ไม่ใช่การผสานรวมที่ซับซ้อนกับผู้ให้บริการข้อมูลประจำตัว (IdP) เช่น Okta, Google หรือ Active Directory

เมื่อเผชิญกับความท้าทายในการสร้างการผสานรวม นักพัฒนาจำนวนมากจะเตรียมรับมือ อ่านข้อกำหนดการตรวจสอบสิทธิ์และการอนุญาต และเริ่มทำงาน น่าเสียดาย อาจมีช่องว่างมากมายสำหรับการตีความในข้อกำหนดเหล่านี้ ซึ่งการนำ SSO ไปใช้จะกลายเป็นเรื่องยาก ช้า และมีความเสี่ยง หากคุณเป็นบริษัทสตาร์ทอัพขนาดเล็ก หรือแม้แต่ธุรกิจขนาดกลางที่มีทีมวิศวกรที่ยุ่งวุ่นวาย งานนี้อาจเป็นการระบายครั้งใหญ่และทำให้ความสามารถของคุณในการเริ่มหาลูกค้าระดับองค์กรช้าลง

อาจใช้เวลาหลายสัปดาห์ (หรือหลายเดือน) อันมีค่าในการติดตั้ง SSO สำหรับดีลระดับองค์กร และที่สร้างความประหลาดใจให้กับนักพัฒนาหลายๆ คนก็คือ สิ่งที่ได้ผลกับลูกค้าองค์กรรายหนึ่งอาจใช้ไม่ได้กับอีกรายถัดไป SSO เป็นสิ่งที่ท้าทายอย่างไม่คาดคิดที่จะทำอย่างถูกต้องและสม่ำเสมอ เรามาแยกสาเหตุแล้วเสนอแนวทางอื่น

การสร้าง SSO นั้นยากอะไร

ให้ฉันบอกคุณเกี่ยวกับครั้งแรกที่ฉันพยายามใช้ SSO

ฉันเริ่ม Nylas Mail ในปี 2013 หลังจากเขียนโค้ดบรรทัดแรกในห้องหอพักของฉันที่ MIT กลายเป็นโครงการโอเพ่นซอร์สที่ประสบความสำเร็จอย่างมากและเราระดมเงินได้มากกว่า 10 ล้านเหรียญในความพยายามที่จะโค่น Microsoft Outlook ไม่นานก่อนที่เราจะต้องทำการค้า ซึ่งก็คือตอนที่เราต้องเผชิญหน้ากับผู้ชมกลุ่มใหม่ที่เป็นผู้ซื้อ ซึ่งได้แก่ ผู้นำด้านไอทีและผู้เชี่ยวชาญด้านการจัดซื้อจัดจ้าง เรารู้สึกตื่นเต้นที่จะได้พูดคุยกับลูกค้าระดับองค์กรเกี่ยวกับการนำไปใช้ แต่พวกเขาต้องการคุณสมบัติระดับองค์กรเพื่อเปิดตัว Nylas ในวงกว้าง ในฐานะบริษัทสตาร์ทอัพเล็กๆ เราได้ออกแบบแอปสำหรับผู้ใช้ทั่วไป ไม่ใช่เพื่อการใช้งานในองค์กร ดังนั้นเราจึงไม่พร้อมที่จะรวมเข้ากับ IdP หรือตอบสนองข้อกำหนดอื่นๆ ขององค์กร การทำงานเพื่อเพิ่มคุณลักษณะเหล่านั้นได้รับการพิสูจน์แล้วว่ามากเกินไปสำหรับเรา และขัดขวางไม่ให้เราประสบความสำเร็จในตลาดเชิงพาณิชย์

บทเรียนในที่นี้คือหากไม่มี SSO และฟีเจอร์สำหรับองค์กรอื่นๆ ผลิตภัณฑ์ก็จะไปได้ไกลเท่านั้น

สิ่งสำคัญที่ต้องทำความเข้าใจเกี่ยวกับ SSO คือปัญหาการรวมระบบ นักพัฒนาส่วนใหญ่สร้างแอปโดยใช้แพ็คเกจ OSS เช่นDeviseซึ่งจัดการการพิสูจน์ตัวตนสำหรับ Ruby on Rails สิ่งนี้ใช้ได้กับลูกค้าที่มีความต้องการพื้นฐาน ช่วยให้ผู้คนสามารถใช้โมเดลต่างๆ ที่มีโมดูลาร์สูงได้ เมื่อถึงจุดหนึ่ง นักพัฒนาจำเป็นต้องผสานรวมผลิตภัณฑ์ของตนเข้ากับ IdP ซึ่งมักจะเริ่มต้นด้วยอะไรก็ตามที่ลูกค้าต้องการมากที่สุด องค์กรต่างๆ ใช้โซลูชัน IdP ที่แตกต่างกัน: บางแห่งอาจใช้โซลูชันที่จำหน่ายทั่วไป เช่น Okta หรือ Azure Active Directory ในขณะที่บางแห่งมีโซลูชันที่ผลิตขึ้นเองเอง

ผู้ขายรายใดก็ตามที่ต้องการขายให้กับบริษัทเหล่านี้จะต้องผสานรวมกับ IdP เหล่านี้ทั้งหมด ซึ่งหมายถึงการจัดการทั้งการตรวจสอบความถูกต้องของ IdP และผู้ใช้ที่ใช้ข้อมูลรับรองดั้งเดิม (นั่นคือ ชื่อผู้ใช้และรหัสผ่านที่มาจากแพลตฟอร์มของผู้ขาย) เนื่องจากไม่มีฟังก์ชัน IdPs ใดที่เหมือนกันและมีผู้ให้บริการ SSO จำนวนมาก คุณจึงต้องรักษาการผสานรวมหลายรายการพร้อมกัน

หากคุณต้องการอ่านเกี่ยวกับขั้นตอนอื่นในการเพิ่ม SSO ให้กับผลิตภัณฑ์ขององค์กร นี่คือวิธี ที่ Stack Overflow ทำ

การรวม SSO เป็นมากกว่าการสร้างฟีเจอร์และฟังก์ชันการทำงาน ต้องใช้ความพยายามอย่างมากในการปรับขั้นตอนการเข้าสู่ระบบของแอปให้ราบรื่น การจัดระเบียบและการเปิดใช้งานคุณสมบัติขึ้นอยู่กับฟังก์ชันการทำงานของ IdP และต้องการตรรกะทางธุรกิจใหม่ที่มีความเกี่ยวข้องกับมือถือและการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) SSO มักจะมี 2FA ในตัวด้วย สร้างความซับซ้อนเพิ่มเติมที่ต้องพิจารณาควบคู่ไปกับการผสานรวมระดับระบบอื่นๆ

SAML มีชัยไปกว่าครึ่ง

มีหลายวิธีในการดำเนินการ SSO หนึ่งในความนิยมมากที่สุดคือผ่านมาตรฐานเปิดแบบ XML ที่เรียกว่า Security Assertion Markup Language (SAML) ข้อกำหนดSAMLมีความยืดหยุ่นและมีตัวเลือกมากมายเพื่อให้ครอบคลุมกรณีต่างๆ ที่เป็นไปได้ ไม่มีผู้ขายสองรายใช้ข้อมูลจำเพาะในลักษณะเดียวกัน กล่าวอีกนัยหนึ่ง มันไม่ได้ใช้งานอย่างสม่ำเสมอ และ SAML มี “รสชาติ” หลายอย่าง เป็นผลให้มีโอกาสมากมายสำหรับปัญหาด้านความปลอดภัย

พูดให้ชัดเจน ไม่ใช่ว่าสเปคได้รับการออกแบบมาไม่ดี เมื่อโปรโตคอลได้รับการออกแบบ นักออกแบบต้องการครอบคลุมความเป็นไปได้มากมาย สามารถทำได้หลายอย่างด้วย SAML ที่ไม่ค่อยได้นำมาใช้ แต่การผสานรวม SSO ยังคงต้องพร้อมรองรับกรณีขอบบางกรณี ซึ่งเป็นจุดที่ช่องโหว่ปรากฏขึ้น

เพย์โหลด SAML

เมื่อเตรียมการรวม SSO ผู้ให้บริการองค์กรมักจะดำเนินการตรวจสอบความปลอดภัยของรหัส SAML เพื่อค้นหารหัสหรือโฟลว์ที่ใช้ประโยชน์ได้ ตัวอย่างเช่น SAML ใช้ใบรับรองและลายเซ็นสำหรับเพย์โหลด ซึ่งโครงสร้างข้อมูลที่ซ้อนกันอาจมีความซับซ้อนเป็นพิเศษ สิ่งนี้มีประโยชน์สำหรับการจัดการการสื่อสาร IdP หลายระดับ โดยเฉพาะอย่างยิ่งในองค์กรขนาดใหญ่ที่อาจมีการตรวจสอบสิทธิ์ SAML หลายชั้นเพื่อส่งผ่าน แต่ละเลเยอร์มีลายเซ็นที่ต้องได้รับการตรวจสอบ ซึ่งเป็นกระบวนการที่เหมือนกับการปอกหัวหอม การผสานรวม SAML แบบทั่วไปอาจใช้งานและตรวจสอบได้ยาก เนื่องจากไม่ได้เป็นลำดับชั้นเสมอไป และคำขอระหว่างระบบอาจไม่ใช่แบบเชิงเส้น ลงชื่อครั้งเดียว

หากไม่ตรวจสอบทุกเลเยอร์อย่างละเอียด ผู้ประสงค์ร้ายอาจใช้เพย์โหลดในทางที่ผิดได้ การหาประโยชน์จาก SAML ทั่วไปคือการแก้ไขการตอบกลับที่ถูกต้องและใส่ลายเซ็นที่ไม่ถูกต้องจากเซสชันที่หมดอายุ เหตุผลที่ใช้งานได้ง่ายๆ ก็คือ นักพัฒนาซอฟต์แวร์ SAML SSO รายหนึ่งเขียนโค้ดที่ตรวจหาลายเซ็นที่ถูกต้อง แต่ไม่ผ่านการตอบกลับทั้งหมด ทุกเลเยอร์ของเพย์โหลด SAML จำเป็นต้องได้รับการตรวจสอบตลอด องค์กรส่วนใหญ่ไม่มีระบบรหัสหลายระดับ ดังนั้นนี่จึงไม่ใช่การใช้ประโยชน์ทั่วไปโดยเฉพาะ แต่โปรโตคอลรองรับเพราะได้รับการออกแบบโดยคำนึงถึงความยืดหยุ่นประเภทนี้

การขาดมาตรฐานสามารถนำไปสู่ความล้มเหลวและความเปราะบางได้ง่าย

เมื่อพูดถึง SSO มีหลายสิ่งที่ต้องทำให้ถูกต้องและมีรายละเอียดเล็กๆ น้อยๆ มากมายที่ต้องพิจารณา คุณสามารถใช้บางอย่างและทำให้ใช้งานได้ แต่ความทนทานจะมาจากการทดสอบกับการใช้งาน และแม้ว่าข้อมูลจำเพาะจะเป็นมาตรฐาน แต่การใช้งานเหล่านั้นกลับไม่เป็นอย่างนั้น

พิจารณาเขียนการรวม SAML สำหรับแพลตฟอร์มใหม่ขององค์กร แพลตฟอร์มอาจใช้Canonical XMLแต่อาจไม่ประกาศเนมสเปซอย่างชัดเจน ซึ่งอาจทำให้การตรวจสอบสิทธิ์ล้มเหลว แม้ว่าทั้งสองฝ่ายในแต่ละด้านของโฟลว์จะเป็นไปตามข้อกำหนด ก็ไม่มีการรับประกันว่าจะทำงานนอกกรอบ เป็นเรื่องที่เจ็บปวดอย่างยิ่งเมื่อฝ่ายใดฝ่ายหนึ่งทำการเปลี่ยนแปลงแม้เพียงเล็กน้อยในการนำไปใช้งาน เนื่องจากอาจนำไปสู่การเข้าสู่ระบบล้มเหลวซึ่งยากต่อการแก้ไขปัญหาเป็นพิเศษ ผู้ใช้อาจโทรหาแผนกไอทีและพูดว่า “ฉันเข้าสู่ระบบไม่ได้” ซึ่งเป็นการเริ่มต้นการไล่ล่าห่านป่าด้วยความพยายามที่จะแก้ไขปัญหาเกี่ยวกับการเปลี่ยนแปลง XML เล็กน้อยในระบบที่พวกเขาไม่ได้ควบคุม

ลักษณะที่ใช้ XML ของ SAML มาพร้อมกับความท้าทายที่เกี่ยวข้องกับ XML การเรียงลำดับวัตถุและการจัดเรียงเอนทิตีที่ซ้อนกัน (นั่นคือแท็ก) อาจทำให้เกิดปัญหาได้ การแมปแอตทริบิวต์ไม่ได้มาตรฐานในทุกแพลตฟอร์ม ตัวระบุสำหรับผู้ใช้บนแพลตฟอร์มไม่ได้มาตรฐาน บางครั้งคุณได้รับ ID บางครั้งอีเมล บางครั้งไม่มีตัวระบุและมีลักษณะทึบแสง เช่น สตริง Active Directory ที่ทำให้เป็นอนุกรม อาจเป็นเรื่องดึงดูดใจที่จะใช้ไลบรารีโอเพนซอร์ส ซึ่งไม่มีอะไรดีไปกว่าของฟรีราคาถูก แต่มีแพ็คเกจโอเพ่นซอร์สไม่มากนักที่จัดการกับ XML ได้ดี

การออกแบบแอปอาจส่งผลต่อฟังก์ชันการทำงานและความปลอดภัยของ SAML

การรวม SSO อาจแตกต่างกันไปตามโครงสร้างของแอปพลิเคชัน ตัวอย่างเช่น ฉันสามารถลงชื่อเข้าใช้ GitHub ด้วยบัญชี Gmail ส่วนตัวของฉัน จากนั้นจึงข้ามเข้าสู่ระบบภายในบริษัทระบบใดระบบหนึ่ง โดยพื้นฐานแล้ว GitHub ทำหน้าที่เป็นปัจจัยการตรวจสอบสิทธิ์ที่สองสำหรับแอปภายในของฉัน ทำให้ฉันข้ามผ่านกลไกการตรวจสอบสิทธิ์หลักสำหรับแอปได้ คุณสามารถมีวิธีตรวจสอบสิทธิ์หลักและวิธีรอง—และขั้นตอนต่างๆ สำหรับการตรวจสอบสิทธิ์อีเมลและรหัสผ่าน—แต่ระบบเหล่านั้นจะทำงานตามที่ออกแบบไว้หรือไม่นั้นขึ้นอยู่กับลักษณะของแอปพลิเคชันเอง

เมื่อคุณสร้างแอปด้วย SAML SSO คุณไม่ต้องกังวลเกี่ยวกับการเปลี่ยนชื่อผู้ใช้หรือรหัสผ่าน เพราะสามารถทำได้นอกแอปพลิเคชันของคุณ อย่างไรก็ตามกระแสต้องสะท้อนความเป็นจริงนั้น ระบบ IdP บางอย่าง เช่น Active Directory ของ Microsoft ซึ่งมีสตริงที่ไม่ซ้ำและไม่ซ้ำกัน ไม่มีที่อยู่อีเมล หากคุณไม่ได้รับที่อยู่อีเมล คุณต้องหาวิธีอื่นในการระบุและรับรองผู้ใช้ วิธีการดังกล่าวอาจใช้ไม่ได้กับโครงสร้างข้อมูลหรือสถาปัตยกรรมโดยรวมของแอปพลิเคชันของคุณ

แอป SaaS ที่พร้อมใช้งานสำหรับองค์กรจำนวนมากเริ่มต้นการเข้าสู่ระบบ SSO โดยขอโดเมนย่อยขององค์กร การค้นหาเบื้องหลังจะนำคุณไปยังแบบฟอร์มเข้าสู่ระบบสำหรับการเข้าสู่ระบบ IdP ของบริษัทนั้นในแอปพลิเคชัน SaaS นั้น ปัญหาคือผู้ประสงค์ร้ายอาจหาช่องโหว่ได้โดยการพิมพ์โดเมนย่อยของบริษัทต่างๆ และรู้ว่าใครใช้ SSO และ SAML หากผู้ประสงค์ร้ายรายนั้นต้องการใช้ช่องโหว่ด้านความปลอดภัยที่เพิ่งค้นพบ เป็นไปได้ว่าการโจมตีจะทำงานในหน้าจอเข้าสู่ระบบ IdP เหล่านี้อย่างน้อยหนึ่งหน้าจอ

การสร้างส่วนต่อประสานผู้ใช้ที่รองรับ SSO นั้นยากและทุกบริษัทต่างทำสิ่งที่แตกต่างออกไป รูปแบบที่พบบ่อยที่สุดคือให้มีช่องชื่อผู้ใช้และรหัสผ่านพร้อมไอคอน IdP ด้านล่างและในข้อความขนาดเล็ก “ลงชื่อเข้าใช้ด้วย SAML/SSO” การเข้าสู่ระบบ iCloud ของ Apple จะไม่แสดงฟิลด์รหัสผ่านทันที เนื่องจากจะตรวจสอบว่าโดเมนของชื่อผู้ใช้ครอบคลุมอยู่ในโฟลว์ SSO หรือไม่ Slack ใช้ CNAME ที่กำหนดเองใน URL เช่น StackOverflow.slack.com และส่งคุณไปยังขั้นตอนการเข้าสู่ระบบที่ถูกต้อง ไม่มีวิธีมาตรฐานในการทำ ซึ่งเป็นเหตุผลว่าทำไมทุกคนจึงทำแตกต่างกัน

การต้อนรับองค์กรและการออกจากพนักงาน

ความยุ่งยากอีกอย่างที่เกี่ยวข้องกับ SSO ที่ใช้ SAML คือการต้อนรับลูกค้าใหม่ สมมติว่าคุณเป็นผู้ให้บริการ SaaS และคุณเพิ่งลงนามในสัญญาขนาดใหญ่ฉบับแรกกับองค์กรขนาดใหญ่ ตอนนี้ได้เวลานำผู้ใช้ระดับองค์กรเข้าสู่ระบบของคุณแล้ว วิศวกรการรวมระบบของคุณจะได้รับการตั้งค่าการรวม SAML โดยทำงานร่วมกับสถาปนิกด้านความปลอดภัยขององค์กร

การตั้งค่าการรวม SAML เกี่ยวข้องกับการแลกเปลี่ยนชุดพารามิเตอร์ข้อมูล เช่น URL การเปลี่ยนเส้นทาง และการแมปฟิลด์ของแอตทริบิวต์ SAML ไม่มีข้อมูลจำเพาะที่ชัดเจนว่าชื่อควรเป็นอย่างไร (เช่น ความละเอียดอ่อนของตัวพิมพ์เล็กและใหญ่) ดังนั้นจึงจำเป็นต้องทำการทดสอบเพื่อให้แน่ใจว่าทั้งสองด้านทำงานได้ นอกจากนี้ยังจำเป็นต้องอัปโหลดใบรับรองซึ่งไม่มีวิธีการที่ชัดเจนในข้อมูลจำเพาะ

การทดสอบการผสานรวม SAML เป็นอุปสรรคใหญ่สำหรับบริษัทต่างๆ และมักจะทำด้วยตนเอง ซึ่งหมายความว่าเครื่องมือสำหรับการตั้งค่าจะได้รับการจัดการด้วยตนเองเช่นกัน โดยพื้นฐานแล้ว บริษัทต่างๆ จะใช้สเปรดชีตหรือแบบฟอร์มอย่างง่ายสำหรับการแลกเปลี่ยนพารามิเตอร์ข้อมูล กระบวนการนี้มีแนวโน้มที่จะแตกหักง่าย จึงมักได้รับการจัดการด้วยบริการส่วนบุคคลที่สวมถุงมือสีขาว การสร้างแผงการดูแลระบบแบบใช้งานได้หลากหลายสำหรับ SAML นั้นมีค่าใช้จ่ายสูงและยาก ดังนั้นบริษัทต่างๆ มักจะดำเนินการด้วยตนเองจนกว่าโครงการจะประหยัดค่าใช้จ่าย

การประสานงาน การกำหนดค่า การนำไปใช้ และการทดสอบ SSO อาจใช้เวลาหลายสัปดาห์หากไม่ใช่การสื่อสารกลับไปกลับมาหลายเดือน เป็นกระบวนการที่ลำบาก มักจะเกี่ยวข้องกับการอภิปรายจำนวนมากและการทำงานเกี่ยวกับการรับรองความถูกต้อง (“นี่คือข้อมูลระบุตัวตนที่ตรวจสอบความถูกต้องของผู้ใช้”) และการอนุญาต (“นี่คือบริการและคุณสมบัติที่ผู้ใช้ที่ผ่านการตรวจสอบแล้วสามารถเข้าถึงได้”) ระบบ Enterprise ID เช่น SAML ทำการตรวจสอบสิทธิ์เพื่อพิสูจน์ว่าใครบางคนคือบุคคลที่พวกเขากล่าวว่าเป็นเท่านั้น โดยปล่อยให้การอนุญาตขึ้นอยู่กับแอปและบริการต่างๆ SAML ควรเป็นนายหน้าในเซสชันจริง เช่น การอนุญาตแบบบิต การพิสูจน์ว่าบุคคลนั้นเป็นใคร เกือบจะเหมือนกับการสแกนป้าย RFID ที่ประตูรักษาความปลอดภัย สิ่งที่เกิดขึ้นหลังจากที่พวกเขาผ่านประตูไปก็เป็นอีกเรื่องหนึ่ง

ความท้าทายในการจัดการเซสชัน

เมื่อคุณตรวจสอบสิทธิ์ด้วย SAML แสดงว่าคุณกำลังตรวจสอบสิทธิ์ผู้ใช้ แต่หลังจากการตรวจสอบแล้ว คุณจะตรวจสอบไม่ได้ว่าผู้ใช้นั้นยังคงเป็นเซสชันที่ใช้งานอยู่ในปัจจุบัน คุณรู้ว่าคุณมีเซสชันปัจจุบัน ณ เวลาใดเวลาหนึ่งเมื่อคุณตรวจสอบสิทธิ์ แต่เซสชันของคุณจะอยู่ได้นานแค่ไหน หากเวลาสั้นเกินไป เช่น 24 ชั่วโมง อาจเป็นเรื่องที่น่าปวดหัว เพราะต้องมีการเข้าสู่ระบบทุกวันสำหรับผู้ใช้ทุกคน มีวิธีแก้ไขปัญหานี้หากคุณมีสิทธิ์เข้าถึงระบบระบุตัวตนอื่นๆ แต่ประเด็นคือ: การจัดการเซสชันเป็นสิ่งที่ท้าทาย

สำหรับผลิตภัณฑ์ B2C SaaS การออกจากระบบของผู้ใช้มีผลเสียต่อการรักษาและการมีส่วนร่วม ผลิตภัณฑ์ส่วนใหญ่มีคุกกี้สองสัปดาห์เพื่อให้เซสชันใหม่อยู่เสมอ แต่ผู้ดูแลระบบไอทีขององค์กรไม่ต้องการเช่นนั้นเสมอไป ผู้จำหน่าย SaaS โดยเฉพาะที่เพิ่งขายให้กับลูกค้าองค์กรรายแรก อาจต้องคิดใหม่เกี่ยวกับการจัดการเซสชันสำหรับแอปของตน จากนั้นมีข้อพิจารณาเกี่ยวกับวิธีจัดการเซสชันบนอุปกรณ์เคลื่อนที่

ผู้ใช้นอกระบบ

เมื่อองค์กรเซ็นสัญญากับผลิตภัณฑ์ของคุณ พวกเขาจะนำผู้ใช้ใหม่เข้ามาจำนวนมาก แต่ไม่ใช่ผู้ใช้ทั้งหมดที่จะอยู่ตลอดอายุของสัญญา จำเป็นต้องออกแบบกระบวนการที่หลากหลายสำหรับการออกจากงานของพนักงานในองค์กร ตัวอย่างเช่น:

จะเกิดอะไรขึ้นกับข้อมูลของผู้ใช้เมื่อพนักงานลาออก
ข้อมูลหรือบัญชีของผู้ใช้จะเปลี่ยนเป็นบัญชีผู้ดูแลระบบหรือไม่
ควรยกเลิกเซสชันทั้งหมดหรือไม่ ถ้าเป็นเช่นนั้น คุณจะรู้ได้เร็วแค่ไหนและอย่างไรว่าพวกเขาจากไป?
สิ่งของที่ใช้ร่วมกันจะได้รับการจัดการอย่างไร?
อะไรที่ต้องปิดการใช้งานและอะไรที่ต้องรักษาไว้?

คำถามเหล่านี้เป็นคำถามสำคัญหลายประการที่ควรพิจารณาเมื่อขายให้กับลูกค้าองค์กร ไม่ใช่เรื่องง่ายที่จะตอบคำถาม โดยเฉพาะอย่างยิ่งหากมีการปิดใช้งานผู้ใช้ด้วยวิธีที่ไม่ยืดหยุ่นอยู่แล้ว

เมื่อพนักงานออกจากองค์กรลูกค้า อาจด้วยแง่ที่ไม่ดี มีโอกาสที่พนักงานจะเข้าถึงข้อมูลที่ละเอียดอ่อน การส่งมอบที่สำคัญที่กำลังดำเนินการ หรือเอกสารที่ใช้ร่วมกันซึ่งมีผลกระทบทางการเงินที่มีผลกระทบ หากปราศจากแผนการที่มั่นคงสำหรับการปิดใช้งานผู้ใช้เหล่านั้น ผู้จำหน่าย SaaS สามารถพบว่าตัวเองอยู่ในเส้นทางที่สำคัญสำหรับกระบวนการปิดระบบ HR, IT และความปลอดภัยของข้อมูลของลูกค้าองค์กร หากพนักงานเลือกที่จะก่อวินาศกรรมหรือยุ่งเกี่ยวกับข้อมูลที่พวกเขาไม่ควรเข้าถึงอีกต่อไป นั่นเป็นข่าวร้ายสำหรับผู้ขาย

ข้ามช่องว่างขององค์กร

เมื่อขายให้กับองค์กร ผลิตภัณฑ์ของคุณต้องมีคุณสมบัติสำหรับองค์กร การใช้ SSO ซึ่งเป็นฟีเจอร์ระดับองค์กรที่ได้รับการร้องขอมากที่สุด อาจต้องมีการเปลี่ยนแปลงตั้งแต่สถาปัตยกรรมแอปพลิเคชันและข้อมูลไปจนถึงวิธีที่ทีมพัฒนาดำเนินการและโต้ตอบกับลูกค้ารายใหญ่ แทบไม่มีสิ่งใดในแอป SaaS ที่ไม่ต้องการการพิจารณาใหม่ (หรืออย่างน้อยการตรวจสอบอีกครั้ง) เพื่อรองรับไคลเอ็นต์องค์กรรายแรก

SSO ไม่ใช่แค่การสร้างฟีเจอร์ระดับองค์กร แต่ยังเกี่ยวกับการรักษาชุดโฟลว์ที่ช่วยให้ไคลเอ็นต์ต่างๆ ที่มี IdP ต่างกันใช้แอปได้ การสร้าง SSO ด้วย SAML ต้องใช้การตัดสินใจและตรรกะทางธุรกิจมากมาย ซึ่งไม่ได้เกิดขึ้นเอง นอกจากนี้ แนวทางปฏิบัติที่ดีที่สุดคือเพื่อให้แน่ใจว่ามีพนักงานมากกว่าหนึ่งคนที่เข้าใจการใช้งาน SAML มิฉะนั้น หากผู้พัฒนาออกไปและไม่มีใครรู้โปรโตคอล มันอาจจะยุ่งเหยิงอย่างรวดเร็ว และองค์กรต่างๆ ก็ไม่ต้องการยุ่งกับ SAML

26 มกราคม 202326 มกราคม 2023

ชุดข้อมูลแมชชีนเลิร์นนิง ที่เป็นมิตรต่อความเป็นส่วนตัว: ข้อมูลสังเคราะห์

ชุดข้อมูลแมชชีนเลิร์นนิง ด้วยการเพิ่มจำนวนของเทคโนโลยี AI เช่น GitHub Copilot สำหรับการกรอกโค้ด การแพร่กระจายที่เสถียรสำหรับการสร้างรูปภาพ และ GPT-3 สำหรับข้อความ ทำให้นักวิจารณ์จำนวนมากเริ่มพิจารณาข้อมูลที่พวกเขาใช้ในการฝึกโมเดล AI/ML ของตน ปัญหาด้านความเป็นส่วนตัวและความเป็นเจ้าของเกี่ยวกับเครื่องมือเหล่านี้เป็นเรื่องที่ยุ่งยาก และข้อมูลที่ใช้ในการฝึกเครื่องมือ AI ที่โดดเด่นน้อยกว่าก็สามารถให้ผลลัพธ์ที่เป็นปัญหาได้ไม่แพ้กัน โมเดลใดก็ตามที่ใช้ข้อมูลจริงมีโอกาสที่จะเปิดเผยข้อมูลนั้นหรือปล่อยให้ผู้ไม่หวังดีทำวิศวกรรมย้อนกลับข้อมูลผ่านการโจมตีต่างๆ

นั่นคือที่มาของข้อมูลสังเคราะห์ ข้อมูลสังเคราะห์คือข้อมูลที่สร้างขึ้นผ่านโปรแกรมคอมพิวเตอร์แทนที่จะรวบรวมผ่านเหตุการณ์ในโลกแห่งความเป็นจริง เราติดต่อกับ Kalyan Veeramachaneni นักวิทยาศาสตร์การวิจัยหลักของ MIT และผู้ร่วมก่อตั้ง DataCebo บริษัทสตาร์ทอัพด้านข้อมูลขนาดใหญ่เกี่ยวกับโครงการของเขาในการเปิดแหล่งที่มาของพลังของข้อมูลขนาดใหญ่และให้การเรียนรู้ของเครื่องรวบรวมข้อมูลที่จำเป็นในการสร้างแบบจำลองของจริง โลกโดยไม่มีปัญหาความเป็นส่วนตัวในโลกแห่งความจริง

ก่อนหน้านี้เราได้กล่าวถึงข้อมูลสังเคราะห์ในพอดคาสต์ในอดีต

คำตอบด้านล่างได้รับการแก้ไขเพื่อรูปแบบและความชัดเจน

ถาม:คุณช่วยบอกเราเล็กน้อยเกี่ยวกับข้อมูลสังเคราะห์และสิ่งที่ทีมของคุณกำลังจะเผยแพร่ได้ไหม

ตอบ:เป้าหมายของข้อมูลสังเคราะห์คือการแสดงข้อมูลในโลกแห่งความเป็นจริงอย่างถูกต้องเพียงพอที่จะใช้ในการฝึกปัญญาประดิษฐ์ (AI) และโมเดลการเรียนรู้ของเครื่องที่ใช้ในโลกแห่งความเป็นจริง

ตัวอย่างเช่น สำหรับบริษัทที่ทำงานเพื่อพัฒนาระบบนำทางสำหรับรถยนต์ไร้คนขับ ไม่สามารถรับข้อมูลการฝึกอบรมที่แสดงถึงทุกสถานการณ์การขับขี่ที่อาจเกิดขึ้นได้ ในกรณีนี้ ข้อมูลสังเคราะห์เป็นวิธีที่มีประโยชน์ในการแนะนำระบบให้รู้จักกับสถานการณ์ที่แตกต่างกันมากที่สุดเท่าที่จะเป็นไปได้

ในเดือนกันยายน ทีมงานของฉันที่DataCeboได้เปิดตัวSDMetrics 0.7ซึ่งเป็นชุดเครื่องมือโอเพ่นซอร์สสำหรับประเมินคุณภาพของฐานข้อมูลสังเคราะห์โดยเปรียบเทียบกับฐานข้อมูลจริงที่จำลองขึ้นมา SDMetrics สามารถวิเคราะห์ปัจจัยต่างๆ ที่เกี่ยวข้องกับว่าข้อมูลสังเคราะห์เป็นตัวแทนของข้อมูลต้นฉบับได้ดีเพียงใด ตั้งแต่การปฏิบัติตามขอบเขตไปจนถึงความคล้ายคลึงกันของความสัมพันธ์ ตลอดจนความเสี่ยงด้านความเป็นส่วนตัวที่คาดการณ์ไว้ นอกจากนี้ยังสามารถสร้างรายงานและภาพกราฟิกเพื่อสร้างกรณีที่ชัดเจนยิ่งขึ้นสำหรับผู้ที่ไม่ใช่วิศวกรเกี่ยวกับมูลค่าของชุดข้อมูลสังเคราะห์ที่กำหนด

ตรวจสอบ เว็บไซต์ SDMetrics เพื่อดูองค์ประกอบต่างๆ ของกล่องเครื่องมือ SDMetrics

ถาม:ข้อมูลสังเคราะห์มีการป้องกันสถานการณ์ประเภทใดบ้าง

ตอบ:ข้อมูลสังเคราะห์มีศักยภาพมากมายจากมุมมองด้านความเป็นส่วนตัว มีตัวอย่างมากมายเกี่ยวกับปัญหาความเป็นส่วนตัวที่สำคัญที่เกี่ยวข้องกับการรวบรวม จัดเก็บ แบ่งปัน และวิเคราะห์ข้อมูลของบุคคลจริง รวมถึงกรณีของนักวิจัยและแฮ็กเกอร์ที่สามารถยกเลิกการระบุข้อมูลที่ไม่ระบุชื่อได้ โดยทั่วไปปัญหาประเภทนี้มักไม่ค่อยเกิดขึ้นกับข้อมูลสังเคราะห์ เนื่องจากชุดข้อมูลไม่สอดคล้องโดยตรงกับเหตุการณ์จริงหรือผู้คนตั้งแต่แรก

ข้อมูลในโลกแห่งความเป็นจริงมักมีข้อผิดพลาดและความไม่ถูกต้อง และอาจพลาดกรณีขอบที่ไม่ได้เกิดขึ้นเป็นประจำ ชุดข้อมูลสังเคราะห์สามารถพัฒนาได้เพื่อให้มั่นใจว่าข้อมูลมีคุณภาพถึงระดับรายละเอียด ซึ่งรวมถึงการแก้ไขฉลากที่ผิดพลาดโดยอัตโนมัติและการเติมค่าที่ขาดหายไป

นอกจากนี้ ข้อมูลในโลกแห่งความเป็นจริงอาจมีอคติทางวัฒนธรรมในลักษณะที่อาจส่งผลกระทบต่ออัลกอริทึมที่ฝึกฝน วิธีการสังเคราะห์ข้อมูลสามารถใช้คำจำกัดความทางสถิติของความเป็นธรรมเพื่อแก้ไขอคติเหล่านี้ที่แกนหลักของปัญหา: ในข้อมูลเอง ชุดข้อมูลแมชชีนเลิร์นนิง

ถาม:คุณจะสร้างข้อมูลสังเคราะห์ที่ดูเหมือนข้อมูลจริงได้อย่างไร

ตอบ:ข้อมูลสังเคราะห์ถูกสร้างขึ้นโดยใช้วิธีการเรียนรู้ของเครื่องที่มีทั้งการเรียนรู้ของเครื่องแบบดั้งเดิมและวิธีการเรียนรู้เชิงลึกที่เกี่ยวข้องกับโครงข่ายประสาทเทียม

พูดกว้าง ๆ มีข้อมูลสองประเภท: มีโครงสร้างและไม่มีโครงสร้าง โดยทั่วไปข้อมูลที่มีโครงสร้างจะเป็นแบบตาราง กล่าวคือเป็นประเภทข้อมูลที่สามารถจัดเรียงในตารางหรือสเปรดชีตได้ ในทางตรงกันข้าม ข้อมูลที่ไม่มีโครงสร้างครอบคลุมแหล่งที่มาและรูปแบบที่หลากหลาย รวมถึงรูปภาพ ข้อความ และวิดีโอ

มีวิธีการต่างๆ มากมายที่ใช้เพื่อสร้างข้อมูลสังเคราะห์ประเภทต่างๆ ประเภทของข้อมูลที่จำเป็นอาจส่งผลต่อวิธีการสร้างที่ดีที่สุดที่จะใช้ ในแง่ของแมชชีนเลิร์นนิงแบบคลาสสิก วิธีที่พบมากที่สุดคือการจำลองแบบมอนติคาร์โล ซึ่งสร้างผลลัพธ์ที่หลากหลายโดยกำหนดพารามิเตอร์เริ่มต้นที่เฉพาะเจาะจง โมเดลเหล่านี้มักจะออกแบบโดยผู้เชี่ยวชาญที่รู้จักโดเมนซึ่งข้อมูลสังเคราะห์นั้นถูกสร้างขึ้นเป็นอย่างดี ในบางกรณีจะใช้การจำลองตามหลักฟิสิกส์ ตัวอย่างเช่น แบบจำลองการคำนวณตามพลศาสตร์ของไหลที่สามารถจำลองรูปแบบการบินได้

ในทางตรงกันข้าม วิธีการเรียนรู้เชิงลึกมักจะเกี่ยวข้องกับเครือข่ายฝ่ายตรงข้ามเชิงกำเนิด (GAN) ตัวเข้ารหัสแบบแปรผัน (VAE) หรือฟิลด์ความกระจ่างใสของระบบประสาท (NeRF) วิธีการเหล่านี้ได้รับชุดย่อยของข้อมูลจริงและเรียนรู้รูปแบบเชิงกำเนิด เมื่อเรียนรู้แบบจำลองแล้ว คุณสามารถสร้างข้อมูลสังเคราะห์ได้มากเท่าที่คุณต้องการ วิธีการอัตโนมัตินี้ทำให้การสร้างข้อมูลสังเคราะห์เป็นไปได้สำหรับแอปพลิเคชันทุกประเภท ข้อมูลสังเคราะห์จำเป็นต้องตรงตามเกณฑ์บางประการจึงจะเชื่อถือได้และมีประสิทธิภาพ ตัวอย่างเช่น การรักษารูปร่างของคอลัมน์การครอบคลุมหมวดหมู่และความสัมพันธ์. เพื่อเปิดใช้งานสิ่งนี้ กระบวนการที่ใช้สร้างข้อมูลสามารถควบคุมได้โดยการระบุการแจกแจงทางสถิติเฉพาะสำหรับคอลัมน์ สถาปัตยกรรมแบบจำลอง และวิธีการแปลงข้อมูล การเลือกวิธีการแจกแจงหรือการแปลงที่จะใช้นั้นขึ้นอยู่กับข้อมูลและกรณีการใช้งานเป็นอย่างมาก

ถาม:ข้อดีของการใช้ข้อมูลสังเคราะห์เทียบกับข้อมูลจำลองคืออะไร

ตอบ: การจำลองข้อมูลซึ่งโดยปกติจะสร้างขึ้นด้วยมือและเขียนขึ้นโดยใช้กฎนั้นไม่สามารถนำไปใช้ได้จริงในระดับที่เป็นประโยชน์สำหรับบริษัทส่วนใหญ่ที่ใช้ข้อมูลขนาดใหญ่

แอปพลิเคชันที่ขับเคลื่อนด้วยข้อมูลส่วนใหญ่จำเป็นต้องเขียนตรรกะของซอฟต์แวร์ที่สอดคล้องกับความสัมพันธ์ที่เห็นในข้อมูลเมื่อเวลาผ่านไป และข้อมูลจำลองจะไม่จับความสัมพันธ์เหล่านี้

ตัวอย่างเช่น สมมติว่าคุณเป็นผู้ค้าปลีกออนไลน์ที่ต้องการแนะนำข้อตกลงเฉพาะสำหรับลูกค้าที่ซื้อทีวีและทำธุรกรรมอื่นๆ อย่างน้อยเจ็ดรายการ หากต้องการทดสอบว่าตรรกะนี้จะทำงานตามที่ระบุเมื่อเขียนในซอฟต์แวร์หรือไม่ คุณต้องใช้ข้อมูลที่มีรูปแบบเหล่านั้น ซึ่งอาจเป็นข้อมูลการผลิตจริงหรือข้อมูลสังเคราะห์ที่อ้างอิงจากข้อมูลในโลกแห่งความเป็นจริงก็ได้

มีตัวอย่างมากมายเช่นนี้ที่รูปแบบในข้อมูลมีความสำคัญต่อการทดสอบตรรกะที่เขียนในซอฟต์แวร์ ข้อมูลจำลองไม่สามารถจับสิ่งนั้นได้ ทุกวันนี้มีการเพิ่มตรรกะที่ใช้ข้อมูลมากขึ้นเรื่อยๆ ในแอปพลิเคชันซอฟต์แวร์ การรวบรวมตรรกะนี้ทีละรายการผ่านกฎแทบจะเป็นไปไม่ได้ที่จะทำในระดับที่จำเป็นในการให้คุณค่าที่แท้จริงแก่องค์กรที่ใช้งาน

เราจะหารือเกี่ยวกับข้อจำกัดของข้อมูลจำลองในรายละเอียดเพิ่มเติมในบล็อกของเรา

ถาม:ห้องสมุดนี้มีประโยชน์หรือข้อกังวลใด ๆ หรือไม่? จะปลอดภัยกว่าไหม? มีใครสามารถทำวิศวกรรมย้อนกลับข้อมูลจริงที่รู้โมเดลและอัลกอริทึมได้หรือไม่?

ตอบ: แหล่ง ข้อมูล Synthetic Data Vaultของ DataCebo มีเทคนิคการสร้างแบบจำลองและอัลกอริทึมจำนวนมาก การทำให้อัลกอริทึมเหล่านี้เป็นสาธารณะช่วยให้เกิดความโปร่งใส ปรับปรุงการตรวจสอบข้ามจากชุมชน และปรับปรุงวิธีการพื้นฐานเพื่อให้มีความเป็นส่วนตัวมากขึ้น จากนั้นอัลกอริทึมเหล่านี้จะนำไปใช้กับข้อมูลโดยผู้ควบคุมข้อมูลในการตั้งค่าส่วนตัว เพื่อฝึกโมเดล ผลลัพธ์อย่างหนึ่งของแนวทางนี้คือตัวแบบไม่ได้เปิดเผยต่อสาธารณะ

นอกจากนี้ยังมีเทคนิคการเพิ่มความเป็นส่วนตัวบางอย่างที่เพิ่มเข้ามาในระหว่างกระบวนการฝึกอบรม เทคนิคเหล่านี้ไม่ได้เป็นส่วนหนึ่งของไลบรารีโอเพ่นซอร์ส ในขณะที่อธิบายไว้ในเอกสาร

การรู้เทคนิคเหล่านี้ในตัวมันเองอาจไม่นำไปสู่การทำวิศวกรรมย้อนกลับ เนื่องจากมีการสุ่มเข้ามาเกี่ยวข้องในปริมาณที่เพียงพอ อย่างไรก็ตาม เป็นคำถามที่น่าสนใจที่ชุมชนควรพิจารณา

SDMetrics รุ่น ใหม่ของเราเกี่ยวข้องกับวิธีการประเมินข้อมูลสังเคราะห์บนแกนต่างๆ เมตริกเหล่านี้เกี่ยวกับคุณภาพของข้อมูลสังเคราะห์ ประสิทธิภาพของข้อมูลสังเคราะห์สำหรับงานเฉพาะ และเมตริกความเป็นส่วนตัวบางรายการ

เรารู้สึกว่าเมตริกเหล่านี้มีความสำคัญอย่างยิ่งที่จะต้องเป็นโอเพ่นซอร์ส เนื่องจากจะช่วยให้การประเมินเป็นมาตรฐานในชุมชนได้ การสร้างข้อมูลสังเคราะห์—และตัวข้อมูลสังเคราะห์เอง—ท้ายที่สุดจะอยู่ในการตั้งค่า “หลังกำแพง” เนื่องจากไดนามิกดังกล่าว เราจึงต้องการสร้างมาตรฐานที่ทุกคนสามารถอ้างอิงได้เมื่อมีคนอ้างอิงเมตริกที่พวกเขาใช้ในการประเมินข้อมูล (ปิดวอลล์) ของตน ผู้คนสามารถกลับไปที่ SDMetrics เพื่อดูรหัสที่อยู่ใต้เมตริก และหวังว่าจะมีความเชื่อมั่นมากขึ้นในเมตริกที่ใช้อยู่

26 มกราคม 202326 มกราคม 2023

ฮาร์ดแวร์และซอฟต์แวร์สามารถ เพิ่มสถานะโฟลว์ของคุณ ได้อย่างไร

เพิ่มสถานะโฟลว์ของคุณ สนับสนุนโดยโลจิเทค อาจเป็นการดึงดูดให้คิดว่าประสิทธิภาพของนักพัฒนาสัมพันธ์โดยตรงกับความเร็วบนแป้นพิมพ์ ท้ายที่สุดแล้ว ความเร็วในการเขียนโปรแกรมของคุณจะถูกจำกัดด้วยความเร็วที่คุณสามารถป้อนอักขระที่จำเป็นในการสร้างบรรทัดโค้ดที่เขียนซอฟต์แวร์

อันที่จริงแล้ว นี่เป็นการวัดประสิทธิภาพที่แย่มาก ความเร็วบนแป้นพิมพ์ของคุณไม่ได้บ่งบอกว่าคุณมีประสิทธิภาพเพียงใด เช่นเดียวกับจำนวนบรรทัดของโค้ดหรือคอมมิตที่คุณทำไม่ได้บ่งชี้ว่าแอปพลิเคชันนั้นดีเพียงใด นี่เป็นข้อผิดพลาดที่ แอปพลิเคชัน Bosswareทำขึ้น โดยวัดว่าพนักงานทำงานได้ดีหรือไม่โดยการดูการกดแป้นพิมพ์และการเคลื่อนไหวของเมาส์ นั่นคือการวัดความร้อน ไม่ใช่ผลลัพธ์

อย่างไรก็ตาม เป็นเรื่องจริงที่นักพัฒนาใช้เวลาส่วนใหญ่ไปกับการเลื่อนแป้นพิมพ์ แปลความคิดของตนเป็นโค้ด ดังนั้นหากพวกเขาใช้Vim , Emacsหรือโปรแกรมแก้ไขข้อความบนคอนโซลอื่นๆ สำหรับพวกเราที่ไล่ตามความเร่งรีบอย่างมีประสิทธิผลของสถานะการไหล มันมักจะเริ่มต้นด้วยส่วนต่อประสานระหว่างนิ้วของคุณกับคอมพิวเตอร์: แป้นพิมพ์ที่เรียบง่าย คีย์บอร์ด (และเมาส์) ไม่จำเป็นต้องช่วยให้คุณเข้าสู่สถานะลื่นไหล แต่คีย์บอร์ดที่ดีอย่างMX Master Seriesสามารถช่วยให้คุณไปต่อได้

ในบทความนี้ เราจะพูดถึงการวิจัยเกี่ยวกับนักพัฒนาซอฟต์แวร์และสถานะโฟลว์ การเอาชนะสิ่งรบกวนที่ดึงคุณออกจากโฟกัส และเครื่องมือที่ดีที่สุดคือเครื่องมือที่คุณลืมได้อย่างไร

สถานะการไหลและผู้พัฒนาซอฟต์แวร์

สถานะที่ลื่นไหล หรือสถานะที่มีสมาธิ คือการที่คุณมีส่วนร่วมในงานของคุณมากจนคุณสูญเสียเวลาและโลกรอบตัวคุณไป มีสมาธิจดจ่อกับงานที่ทำอยู่อย่างเต็มที่และเต็มที่ มันเป็นสภาวะที่น่าพึงพอใจที่พวกเราหลายคนแสวงหา แต่เพียงตระหนักว่าเราเคยอยู่ในนั้นเมื่อเราโผล่ออกมาจากมันและตระหนักว่าเราลืมกินข้าวเที่ยง การอยู่ในสถานะลื่นไหลนั้นรู้สึกดีมากเพราะคุณกำลังสร้างสิ่งที่ตรงกับทักษะของคุณโดยทำในสิ่งที่คุณชอบทำ

ในฐานะนักพัฒนาซอฟต์แวร์ สถานะโฟลว์เกิดขึ้นเมื่อคุณกำลังแก้ปัญหาที่เท่ากับทักษะของคุณ คุณต้องการงานที่ท้าทายพอสมควร หากงานไม่ท้าทายพอ คุณก็อาจจะเบื่อได้ ถ้ามันยากเกินไปสำหรับชุดทักษะของคุณ คุณอาจรู้สึกหงุดหงิดและเสียสมาธิ คุณสามารถก้าวขึ้นสู่ความท้าทายได้ แต่จำเป็นต้องลงทุนอย่างเต็มที่กับความท้าทายนั้น

การทำงานหน้าคอมพิวเตอร์ย่อมมีขึ้นมีลงเป็นธรรมดา ดร. กลอเรีย มาร์ค แห่งมหาวิทยาลัยแคลิฟอร์เนีย เออร์ไวน์ พบว่าสัปดาห์ทำงานสำหรับพนักงานข้อมูลมีรูปแบบที่คาดเดาได้ โฟกัสสูงสุดในช่วงบ่าย ส่วนความเบื่อจะสูงสุดในช่วงบ่าย วันจันทร์เป็นทั้งวันที่น่าเบื่อที่สุด แต่ก็มีสมาธิมากที่สุดเช่นกัน ในแง่ของการทำงาน ผู้คนมีความสุขที่สุดในการทำงานแบบจำเจ และเครียดมากที่สุดระหว่างการทำงานที่มีสมาธิ

ศาสตราจารย์ Thomas Fritz แห่งมหาวิทยาลัย Zurich (ผู้ที่เราพูดคุยด้วยในบทความนี้) พบว่านักพัฒนาใช้เวลาประมาณ 50% ของวันทำงานหน้าคอมพิวเตอร์ ครึ่งหนึ่งของเวลานั้นถูกใช้ไปกับ IDE ที่ทำงานเกี่ยวกับโค้ด ในขณะที่การเขียนและอ่านโค้ดใช้เวลาเพียงหนึ่งในสี่ของวันของวิศวกรซอฟต์แวร์ นั่นเป็นช่วงเวลาที่พวกเขาต้องให้ความสำคัญมากที่สุด ขอบใด ๆ เพื่อลดความเครียดและปรับปรุงการไหลช่วยได้

นักวิจัยเหล่านี้ทราบได้อย่างไรว่าบุคคลใดอยู่ในสถานะไหล วิธีที่ง่ายที่สุดคือการถามพวกเขาเป็นระยะ—แสดงป๊อปอัปบนหน้าจอหรือสมาร์ทวอทช์ทุกๆ 10 นาทีหรือชั่วโมง แม้ว่าจะเป็นกลยุทธ์การวิจัยที่มีประสิทธิภาพ แต่คำขอเหล่านั้นอาจสร้างการหยุดชะงักและทำลายสถานะที่มุ่งเน้นได้

การค้นพบที่น่าประหลาดใจประการหนึ่งจากการวิจัยของศาสตราจารย์ฟริตซ์คือสิ่งที่เราถือว่ามีประสิทธิผลคือการรับรู้ของแต่ละคน ในระหว่างการศึกษาการรายงานด้วยตนเอง การเช็คอินรายชั่วโมงที่ถามเกี่ยวกับประสิทธิภาพการทำงานของพวกเขากระตุ้นให้นักพัฒนาพิจารณาว่าพวกเขาใช้เวลาอย่างไร การได้หยุดพักและพิจารณางานของตนเองทำให้บางคนรู้สึกดีขึ้นเกี่ยวกับวิธีที่พวกเขาใช้เวลา และด้วยเหตุนี้พวกเขาจึงมองว่าตนเองมีประสิทธิผลมากกว่าการไม่ไตร่ตรองตนเอง สำหรับคนอื่นๆการทบทวนตนเองช่วยให้พวกเขาพิจารณากิจกรรมของตนใหม่และเปลี่ยนแปลงบางอย่างหากยังทำไม่ได้ผล เพิ่มสถานะโฟลว์ของคุณ
นอกจากนี้ นักพัฒนามองว่าตนเองมีประสิทธิภาพมากขึ้นเมื่อใช้เวลากับแป้นพิมพ์และเมาส์มากขึ้น

นักวิจัยยังได้ลองใช้มาตรการทางไบโอเมตริกซ์ต่างๆ เนื่องจากสถานะที่โฟกัสมักจะสัมพันธ์กับตัวบ่งชี้ความเครียด: การทำงานของผิวหนังอิเล็กโทรด อัตราการกะพริบตา และความแปรปรวนของอัตราการเต้นของหัวใจ อย่างไรก็ตาม มาตรการไบโอเมตริกทั้งหมดเหล่านี้ (รวบรวมจากเซ็นเซอร์ที่มีการรุกล้ำต่ำ) นั้นดีพอๆ กับหรือแย่กว่า การตรวจสอบการทำงาน ของแป้นพิมพ์และเมาส์ แม้ว่าเทคนิคการวัดจะรุกรานมากที่สุด—ศ. โดยพื้นฐานแล้ว ทีมของ Fritz ทำการล็อกคีย์โดยไม่บันทึกการกดคีย์ใดคีย์หนึ่ง พวกเขาสามารถคาดการณ์สถานะการโฟกัสได้ค่อนข้างดี

แม้ว่าการใช้แป้นพิมพ์และเมาส์จะมีความสัมพันธ์อย่างมากกับประสิทธิภาพการทำงาน แต่ก็ไม่มีเส้นทางที่แน่นอนจากแป้นพิมพ์ไปยังสถานะโฟลว์ หากมีกระบวนการทางเวทมนตร์เช่นนั้น พวกเราทุกคนจะใช้มัน ที่กล่าวว่าคีย์บอร์ดเชิงกลสามารถช่วยในการรับรู้ของนักพัฒนาเกี่ยวกับประสิทธิภาพการทำงาน สิ่งที่เรียบง่ายอย่างการกดปุ่มทั้งเมื่อกดลงและเมื่อปล่อยสามารถทำให้คุณรู้สึกมีประสิทธิผลมากขึ้นเป็นสองเท่า ซึ่งเป็นการตอบสนองแบบ Pavlovian ต่อสิ่งเร้าทางการได้ยิน เมื่อคีย์บอร์ดใช้งานได้ดี คุณจะสามารถใช้งานคีย์บอร์ดได้ง่ายขึ้น

แม้ว่าประสิทธิภาพการทำงานอาจเป็นเรื่องยากและเป็นอัตนัยในการวัด แต่เราสามารถค่อนข้างแน่ใจได้ในสิ่งที่ไม่ใช่: การขัดจังหวะและการเสียสมาธิ

ลดการรบกวนด้วยเครื่องมือที่ดี

อีกวิธีหนึ่งในการคิดเกี่ยวกับสภาวะที่มีสมาธิคือกรอบความคิดซึ่งคุณจะไม่ถูกขัดจังหวะน้อยลง เมื่อสถานะจดจ่อเปลี่ยนความสนใจของคุณไปที่งานเดียว สถานะเน้นความสนใจบางสถานะจะกระจายมากกว่า และทำให้คุณไวต่อการแจ้งเตือนและสิ่งรบกวนอื่นๆ ขึ้นอยู่กับงานที่พนักงานสารสนเทศทำ พวกเขาอาจใช้เวลาส่วนใหญ่ในการเปิดรับสิ่งรบกวนจากอีเมลและโปรแกรมแชท การสลับบริบทระหว่างงานเล็กๆ หรือการเข้าร่วมการประชุม คนอื่นอาจใช้เวลาส่วนใหญ่ในสถานะโฟกัส เขียนโค้ดหรือดีบัก

คุณไม่ได้รับการยกเว้นจากการรบกวนเมื่อคุณอยู่ในสถานะการไหลที่ไม่หยุดชะงัก แต่ความฟุ้งซ่านอาจส่งผลเสียต่อสมาธิของคุณ ดร. มาร์คพบว่าต้องใช้เวลาเฉลี่ย 23 นาทีในการกู้คืนโฟกัสหลังจากมีสิ่งรบกวน ซึ่งเป็นการสูญเสียประสิทธิภาพการทำงานอย่างมาก

ศาสตราจารย์ฟริตซ์และทีมของเขาใช้ข้อมูลจากการศึกษาไบโอเมตริกและแป้นพิมพ์และเมาส์ด้านบนเพื่อระบุสถานะที่หยุดชะงัก พวกเขาใช้การวัดแบบอัตวิสัยบวกกับการจัดประเภทการเรียนรู้ของเครื่องเพื่อกำหนดโดยอัตโนมัติว่าบุคคลสามารถถูกขัดจังหวะโดยไม่ทำลายสถานะการไหลหรือไม่ ความมุ่งมั่นนี้ถูกป้อนเข้าไปในไฟ LED(เช่นเดียวกับสถานะสำหรับโปรแกรมแชท) เพื่อสร้างสถานะสีแดง เหลือง และเขียว จำลองตามสัญญาณไฟจราจร สีแดงหมายถึงมีสมาธิ และสีเขียวหมายถึงเปิดรับสิ่งรบกวน หลังจากทดสอบภาคสนามกับผู้เข้าร่วม 450 คน ทีมวิจัยพบว่าตัวบ่งชี้สถานะนี้มีความแม่นยำประมาณ 75% ของเวลาทั้งหมด มันไม่สมบูรณ์แบบ แต่ดีพอที่จะรักษาสถานะการไหล คิดว่ามันเหมือนกับตัวบ่งชี้สถานะในแอปแชทที่บอกคนอื่นว่าคุณว่างหรือไม่อยู่ แต่ตัวบ่งชี้นี้จะอัปเดตโดยอัตโนมัติเพื่อให้ตรงกับสภาวะจิตใจของคุณ เพิ่มสถานะโฟลว์ของคุณ

คุณสามารถใช้ฮาร์ดแวร์และซอฟต์แวร์ที่มีอยู่เพื่อลดสิ่งรบกวนให้เหลือน้อยที่สุดโดยลดสิ่งเหล่านั้นและทำให้การสลับบริบทเป็นไปได้อย่างราบรื่นยิ่งขึ้น ลองนึกถึงแอปพลิเคชันที่คุณเปิดไว้—มีป๊อปอัปการแจ้งเตือนมากมายหรือเรียกร้องความสนใจจากคุณ คุณสามารถช่วยได้โดยการล้างเดสก์ท็อปและย่อขนาดแอปพลิเคชันที่ไม่ได้อยู่ในบริบทของงานปัจจุบันของคุณ ซอฟต์แวร์ก็สามารถช่วยได้โดยการทำให้ทุกอย่างที่ไม่อยู่ในเวิร์กโฟลว์ของคุณเป็นสีเทาหรือทำให้กระโดดเข้าสู่แอปพลิเคชันที่คุณต้องการได้ง่ายขึ้น

บางครั้งสวิตช์บริบทเป็นส่วนหนึ่งของเวิร์กโฟลว์เดียว ลองนึกภาพกระบวนการสร้างที่ใช้เวลาห้าถึงสิบนาที คุณสามารถข้ามไปที่อีเมล ตอบคำถามสั้นๆ และกลับมาทดสอบบิลด์ได้โดยไม่หยุดชะงัก สตรีมงานนั้นมีประสิทธิผลมากกว่าการอยู่ในบริบทกระบวนการสร้าง ในบางครั้ง อาจเป็นไปได้ว่าคุณเจออุปสรรคด้านข้อมูล เปลี่ยนไปใช้ Stack Overflow เพื่อหาคำตอบ และกลับไปที่ IDE ของคุณ แต่พวกเราหลายคนมีแท็บมากมายที่เปิดอยู่ในเบราว์เซอร์ของเรา ทำให้มีโอกาสมากขึ้นที่เราจะเสียสมาธิและสงสัยว่าทำไมเราถึงเปลี่ยนไปใช้เบราว์เซอร์ตั้งแต่แรก หากเวิร์กโฟลว์ของคุณมีการสลับไปมาระหว่างหน้าต่างเบราว์เซอร์เป็นประจำ ให้พิจารณาจำกัดจำนวนแท็บที่คุณเปิดในหน้าต่างที่กำหนด

บางครั้งการสลับบริบทอาจทำได้ง่ายเพียงแค่ย้ายจากแป้นพิมพ์และเมาส์ ดูจำนวนนักพัฒนาที่เติบโตบนเครื่องมือบรรทัดคำสั่งหรือโปรแกรมแก้ไขข้อความคอนโซลเช่น Vim อาจมีเส้นโค้งการเรียนรู้เริ่มต้น แต่เมื่อคุณจำทางลัดได้แล้ว การทำงานกับทุกสิ่งที่คุณต้องการภายใต้ปลายนิ้วทั้งสิบของคุณจะกลายเป็นเรื่องลื่นไหลมากขึ้น หากคุณมีแป้นพิมพ์ที่ปรับแต่งได้ซึ่งคุณสามารถปรับแต่งทางลัดได้ คุณก็จะสามารถเคลื่อนที่ได้เร็วยิ่งขึ้นไปอีก

ฮาร์ดแวร์ของคุณอาจเป็นสิ่งที่ทำให้ไขว้เขวได้ในบางครั้ง ทุกวันนี้เมาส์และคีย์บอร์ดไร้สายจำนวนมาก การเชื่อมต่อไร้สายที่ไม่ดีหรืออายุการใช้งานแบตเตอรี่ที่จำกัดสามารถหยุดเซสชันการเข้ารหัสที่มีประสิทธิผลได้ทันที หากคุณมีเมาส์ที่เคลื่อนที่ระหว่างจุดต่างๆ ช้าหรือเร็วเกินไป นั่นอาจทำให้คุณสะดุดได้เช่นกัน หากฮาร์ดแวร์ของคุณกำลังทำงาน คุณไม่ควรรู้ด้วยซ้ำว่ามีฮาร์ดแวร์อยู่

การออกแบบสำหรับการล่องหน

หากเรากำลังสร้างแป้นพิมพ์และเมาส์เพื่อประสิทธิภาพการทำงานสูงสุด เราต้องการให้ผู้ใช้นึกถึงพวกเขาให้น้อยที่สุด เราต้องการให้พวกเขาหายไป เมื่อใดก็ตามที่คุณต้องมองแป้นพิมพ์เพื่อปรับทิศทางตัวเอง เมื่อใดก็ตามที่คุณคิดว่ามือของคุณอยู่บนเมาส์ คุณจะช้าลง ลองนึกถึงนักเทนนิส: ไม้เทนนิสควรเป็นส่วนขยายของมือ ถ้ารู้สึกไม่ดี ถ้าพวกเขาต้องมองไปที่แร็กเก็ต แสดงว่ามีบางอย่างผิดปกติและพวกเขาจะเล่นแย่ลง จุดเริ่มต้นของเครื่องมือใดๆ คือความสะดวกสบาย

สิ่งที่เราได้ยินจากนักพัฒนาจำนวนมากคือพวกเขาต้องการพิมพ์เร็วเท่าที่พวกเขาคิด เมื่ออยู่ในสถานะลื่นไหล พวกเขาต้องการให้แป้นพิมพ์ทำหน้าที่เป็นส่วนเสริมของมือ ดังนั้นโซลูชันโค้ดจึงส่งจากสมองไปยังหน้าจอให้เร็วที่สุด เรามักไม่นึกถึงมัน แต่การที่สามารถเลื่อนจากการกดแป้นหนึ่งไปยังอีกแป้นหนึ่งได้อย่างง่ายดายทำให้ความเร็วในการพิมพ์แตกต่างกันอย่างมาก อัน ที่จริง เค้าโครง QWERTY ดั้งเดิมนั้นมีความสำคัญมาช้านาน ซึ่ง ผ่านกระบวนการพัฒนาที่ยาวนานเพื่อรองรับผู้ให้บริการโทรเลขได้ดีที่สุด แม้ว่าเค้าโครงทางเลือกอย่าง DVORAK อาจเร็วกว่าหรือไม่เร็วกว่าสำหรับผู้สื่อสารสมัยใหม่

อุปกรณ์ที่สะดวกสบายและถูกหลักสรีรศาสตร์สามารถช่วยคุณได้ในระยะยาว เราทุกคนต่างเห็นกรณีอุโมงค์ carpal เพิ่มขึ้นในช่วงหลายปีที่ผ่านมา โดยเฉพาะอย่างยิ่งเมื่อพวกเราจำนวนมากขึ้นทำงานทุกวันโดยใช้คอมพิวเตอร์ การบาดเจ็บเช่นนี้อาจส่งผลต่อประสิทธิภาพการทำงานในระยะยาวของคุณ แต่แป้นพิมพ์ที่ออกแบบตามหลักสรีรศาสตร์สามารถบรรเทาความเจ็บปวดได้แม้ว่าจะได้รับบาดเจ็บก็ตาม

โดยเฉพาะอย่างยิ่ง หนู อาจเป็นความท้าทายในการออกแบบตามหลักสรีรศาสตร์ แม้ว่าการออกแบบของมือมนุษย์จะไม่เปลี่ยนแปลงมานานนับพันปี แต่ขนาดของมือแต่ละบุคคลมีความแตกต่างกันอย่างมาก โดยเฉพาะอย่างยิ่งระหว่างชายและหญิง พวกเราที่ Logitech ได้ทำซ้ำ เมาส์ MX Masterในห้ารุ่นที่ผ่านมาโดยพยายามค้นหารูปทรงที่เหมาะสมที่สุดสำหรับมือทุกขนาด เราได้ตัดสินใจอย่างมีสติในรุ่นที่ห้าที่จะไม่เปลี่ยนจุดสัมผัส ผู้คนต่างชื่นชอบดีไซน์ปัจจุบัน ดังนั้นหวังว่าเราจะได้มันที่ถูกใจ สำหรับผู้ที่มีมือเล็ก เรามีMX Anywhereเมาส์เคลื่อนที่ของเราที่มีขนาดเล็กลงเพื่อการพกพา แต่ถ้าคุณมีมือที่เล็กกว่า เมาส์นี้จะทำหน้าที่เป็นเมาส์หลัก

สำหรับแป้นพิมพ์ MX ของเรา เราได้ทำงานเพื่อรวมรายละเอียดเล็กๆ น้อยๆ ที่ทำให้ง่ายต่อการรักษาสถานะของโฟลว์ พวกเราหลายคนทำงานอย่างหนักเพื่อเรียนรู้การพิมพ์แบบสัมผัสและทำให้แป้นพิมพ์ลัดของเราสมบูรณ์แบบ ดังนั้นการเหลือบมองที่แป้นพิมพ์ก็ทำให้เราหลุดจากความลื่นไหลได้ คีย์บอร์ดเชิงกลของเรามีโทนสีแบบทูโทน คุณจึงรับรู้ได้ว่านิ้วของคุณอยู่ตำแหน่งใดจากการมองเห็นอุปกรณ์ต่อพ่วง สำหรับช่วงเวลาที่คุณเคลื่อนผ่านพระอาทิตย์ตกดิน คีย์บอร์ดเชิงกลของเราจะปรับไฟแบ็คไลท์ให้เข้ากับแสงโดยรอบโดยอัตโนมัติ

แทร็คแพดของแล็ปท็อปได้ทำสิ่งต่างๆ มากมายเพื่อสร้างสรรค์รูปแบบลายเส้นใหม่ๆ เพื่อสลับไปมาระหว่างแอพต่างๆ ทำให้แอพปัจจุบันเต็มหน้าจอ และอื่นๆ อีกมากมาย เราต้องการนำท่าทางสัมผัสเหล่านั้นมาใช้กับเมาส์ด้วย ดังนั้นเราจึงเพิ่มปุ่มให้กับเมาส์ MX Master ของเรา ซึ่งช่วยให้คุณสลับไปมาระหว่างพื้นที่ทำงานหรือเล่นแบบเต็มหน้าจอได้ คล้ายกับการปัดสามนิ้วบนแทร็คแพดของ Mac สำหรับผู้ที่มีแท็บจำนวนมากในเว็บเบราว์เซอร์ เราได้เพิ่มปุ่มหมุนสำหรับเลื่อนไปมาระหว่างแท็บต่างๆ เรายังมองหาการอัปเกรดล้อเลื่อนมาตรฐานเพื่อให้การเลื่อนช้าๆ ทีละบรรทัดผ่านหน้าจอ ในขณะที่การหมุนล้อจะปลดวงล้อและครอบคลุมโค้ดนับพันบรรทัดในวินาทีเดียว

ผู้ใช้ขั้นสูงของเราสลับไปมาระหว่างบริบทขั้นสูงสุด: คอมพิวเตอร์แยกจากกัน สำหรับบางคน พวกเขาพัฒนาบน Mac และต้องทดสอบบนพีซีหรือ Linux สำหรับคนอื่นๆ ที่ทำงานจากที่บ้าน พวกเขาต้องการข้ามไปมาระหว่างคอมพิวเตอร์ที่ทำงานและที่บ้านได้อย่างราบรื่น ฮาร์ดแวร์บางตัวของเรามีปุ่มที่ให้คุณย้ายฮาร์ดแวร์ระหว่างคอมพิวเตอร์ผ่าน Bluetooth ได้ทันที ทางออกที่ดีที่สุดของเราคือซอฟต์แวร์ที่เราเรียกว่าโฟลว์ ช่วยให้คุณดูแลคอมพิวเตอร์หลายเครื่องได้เหมือนจอภาพเสริม เลื่อนเมาส์ไปที่ขอบของหน้าจอ Mac แล้วคุณก็อยู่บนเดสก์ท็อป Windows ทันที!

ทำงานด้วยความเร็วของความคิด

แม้ว่างานทั้งหมดของเราในฐานะนักพัฒนาซอฟต์แวร์ไม่ได้เกิดขึ้นหน้าแป้นพิมพ์ แต่ขอบเขตนั้นก็กลายเป็นงานที่เรามุ่งเน้นมากที่สุด เมื่อเรากำลังแก้ปัญหาที่ต้องใช้ทักษะอย่างเต็มที่ นั่นคือเวลาที่เราต้องการลดสิ่งรบกวนให้เหลือน้อยที่สุดและเข้าสู่กระแส ดังนั้นการรักษาความลื่นไหลอาจขึ้นอยู่กับอินเทอร์เฟซที่คุณมีระหว่างสมองและคอมพิวเตอร์: แป้นพิมพ์และเมาส์

ที่ Logitech เราพยายามออกแบบฮาร์ดแวร์ที่สนับสนุนสถานะการไหลและขจัดสิ่งรบกวน องค์กรต่าง ๆ ไล่ตามเมตริกต่าง ๆ เพื่อลองและเพิ่มประสิทธิภาพการผลิตและความเร็ว แต่เมตริกที่ดีที่สุดอาจเป็นสิ่งที่สะดวกสบาย ยิ่งคีย์บอร์ดและเมาส์ของคุณกลายเป็นส่วนต่อขยายของมือ คุณก็ยิ่งเข้าใกล้การเขียนโค้ดได้เร็วเท่าความคิด

26 มกราคม 202326 มกราคม 2023

ทำให้ข้อมูลของคุณเป็นรูปเป็นร่างสำหรับ แมชชีนเลิร์นนิง

แมชชีนเลิร์นนิง การจัดการข้อมูลเป็นส่วนสำคัญ ของกิจวัตรประจำวันของโปรแกรมเมอร์ โดยทั่วไป ข้อมูลจะถูกจัดระเบียบเป็นอาร์เรย์และอ็อบเจกต์ จัดเก็บภายนอกใน SQL หรือฐานข้อมูลแบบเอกสาร หรือเข้ารหัสเป็นข้อความหรือไฟล์ไบนารี แมชชีนเลิร์นนิงนั้นเกี่ยวกับข้อมูลและทำงานได้ดีที่สุดเมื่อใช้ข้อมูลจำนวนมาก ดังนั้น ข้อมูลและการประมวลผลข้อมูลจึงมีบทบาทสำคัญในการออกแบบ และสร้างไปป์ไลน์การเรียนรู้ของเครื่อง อย่างไรก็ตาม รูปแบบข้อมูลมักจะแตกต่าง จากคลาสและออบเจกต์อย่างมาก และมีการใช้คำศัพท์อย่างเช่น เวกเตอร์ เมทริกซ์ และเทนเซอร์ ในบทความนี้ เราจะอธิบายว่าเหตุใดแมชชีนเลิร์นนิงจึงต้องการไปป์ไลน์ข้อมูลและรูปแบบข้อมูล ที่มีประสิทธิภาพ เราอธิบายโครงสร้างข้อมูลพื้นฐานตั้งแต่สเกลาร์ไปจนถึงเทนเซอร์ n มิติ และยกตัวอย่างการประมวลผลข้อมูลประเภทต่างๆ

เหตุใดโครงสร้างข้อมูลจึงแตกต่างกันใน ML

เมื่อเราพูดถึงข้อมูล สำหรับแมชชีนเลิร์นนิง เราหมายถึงข้อมูลการฝึกอบรม ที่ใช้ในการสร้างและทดสอบโมเดล เป้าหมายการออกแบบ สำหรับโครงสร้างข้อมูล แมชชีนเลิร์นนิงนั้นแตกต่างจาก การเขียนโปรแกรมแบบดั้งเดิม บ่อยครั้งที่ข้อมูลดิบประกอบด้วย ข้อมูลแบบตาราง รูปภาพหรือวิดีโอ ข้อความหรือเสียงที่จัดเก็บไว้ในดิสก์ภายในเครื่อง หรือในที่เก็บข้อมูลบนคลาวด์ เฟรมเวิร์กแมชชีน เลิร์นนิงไม่สามารถใช้ข้อมูลนี้ได้โดยตรง เนื่องจากมักถูกเข้ารหัส (เช่น เป็น JPG หรือ MP4) มีข้อมูลเพิ่มเติมและไม่สามารถประมวลผลได้อย่างมีประสิทธิภาพ ประสิทธิภาพมีความสำคัญอย่างมากในแมชชีนเลิร์นนิง และข้อมูลการฝึกอบรมจะถูกอนุมานเป็นร้อยเป็นพันครั้งโดยแบบจำลองในระหว่างการฝึกอบรม แอปพลิเคชันแมชชีนเลิร์นนิงได้รับการฝึกฝนและใช้งานโดย GPU (หลายตัว) ที่ซิงโครไนซ์ข้อมูลผ่านเครือข่ายและไพพ์ภายในที่มีประสิทธิภาพสูง

เป้าหมายการออกแบบสำหรับโครงสร้างข้อมูล ML

เหมาะสำหรับการประมวลผลและการคำนวณที่มีประสิทธิภาพสูง
การซิงโครไนซ์ที่มีประสิทธิภาพระหว่าง GPU และเครื่องต่างๆ
ยืดหยุ่นสำหรับข้อมูลประเภทต่างๆ

โชคดีที่งานที่ซับซ้อนส่วนใหญ่ได้รับการจัดการโดยเฟรมเวิร์กแมชชีนเลิร์นนิง เช่น Tensorflow หรือ PyTorch อย่างไรก็ตาม สิ่งสำคัญคือต้องเข้าใจพื้นฐานต่อไปนี้เพื่อออกแบบไปป์ไลน์ข้อมูลที่มีประสิทธิภาพ

สเกลาร์ เวกเตอร์ และเมทริกซ์

ในรูปแบบข้อมูลที่ยืดหยุ่นของเรา เราเริ่มต้นอย่างเรียบง่ายที่สุดเท่าที่จะเป็นไปได้ ด้วยองค์ประกอบเดียว: สเกลาร์ สเกลาร์หมายถึงจุดข้อมูลเดียว ตัวอย่างเช่น ปริมาณของสีน้ำเงินในพิกเซล RGB หรือการแทนโทเค็นสำหรับตัวอักษรหรือคำ ในภาษาการเขียนโปรแกรม เช่น Java หรือ Python สเกลาร์คือจำนวนเต็มเดี่ยว จำนวนเต็ม หรือบูลีน

เมื่อสร้างรายการจากสเกลาร์และรายการมีลำดับคงที่ (กำกับ) จะเรียกว่าเวกเตอร์ เวกเตอร์เป็นเรื่องปกติมากในการเขียนโปรแกรมแบบคลาสสิกและมักใช้เป็นทูเพิล อาร์เรย์ หรือรายการ ด้วยเวกเตอร์ เราสามารถแสดงพิกเซล RGB ที่สมบูรณ์ (ค่าสำหรับสีแดง สีเขียว และสีน้ำเงิน) หรือประโยค (แต่ละคำหรือบางส่วนของคำจะแสดงด้วยโทเค็นจำนวนเต็ม)

ในขั้นตอนถัดไป เราจะเพิ่มมิติที่สองโดยการซ้อนเวกเตอร์หลายตัวเข้ากับเมทริกซ์ เมทริกซ์เป็นแบบสองมิติและเทียบได้กับตาราง ซึ่งประกอบด้วยแถวและคอลัมน์ จากวิธีนี้ เราสามารถจัดเก็บรูปภาพระดับสีเทา เอกสารข้อความหลายฉบับ หรือไฟล์เสียงที่มีหลายช่องสัญญาณได้อย่างมีประสิทธิภาพ

เมทริกซ์การประมวลผลบน GPU นั้นมีประสิทธิภาพอย่างมาก และคณิตศาสตร์ที่อยู่เบื้องหลังการคำนวณเมทริกซ์นั้นได้รับการวิจัยมาเป็นอย่างดี (แม้ว่าจะเพิ่งค้นพบอัลกอริธึมการคูณที่มีประสิทธิภาพมากขึ้น เมื่อไม่นานมานี้ ) เมทริกซ์เป็นรากฐานสำหรับโครงสร้างข้อมูลในแมชชีนเลิร์นนิงสมัยใหม่ แมชชีนเลิร์นนิง

เทนเซอร์และคุณสมบัติของมัน

เทนเซอร์อธิบายอาร์เรย์ข้อมูลแบบ n มิติ บ่อยครั้งที่ อันดับที่เรียกว่าหรือจำนวนแกนหมายถึงมิติข้อมูล เทนเซอร์อันดับ 0 คือสเกลาร์ เทนเซอร์อันดับ 1 คือเวกเตอร์ และเมทริกซ์หมายถึงเทนเซอร์อันดับ 2

เทนเซอร์ N-มิติเหมาะอย่างยิ่งสำหรับแอปพลิเคชันการเรียนรู้ของเครื่องเนื่องจากช่วยให้เข้าถึงข้อมูลได้อย่างรวดเร็วโดยการค้นหาอย่างรวดเร็วและไม่ต้องถอดรหัสหรือประมวลผลเพิ่มเติม เนื่องจากคณิตศาสตร์เมทริกซ์ที่รู้จักกันดีการคำนวณด้วยเทนเซอร์จึงมีประสิทธิภาพมาก และช่วยให้สามารถฝึกฝนโมเดลการเรียนรู้เชิงลึกที่ต้องใช้การคำนวณพารามิเตอร์นับล้านและพันล้านพารามิเตอร์ การดำเนินการของเทนเซอร์หลายอย่าง เช่น การบวก การลบ การแปลง Hadamard , dot productและอื่นๆ อีกมากมายได้รับการนำไปใช้อย่างมีประสิทธิภาพในไลบรารีการเรียนรู้ของเครื่องมาตรฐาน

การจัดเก็บข้อมูลในรูปแบบเทนเซอร์มาพร้อมกับการแลกเปลี่ยนเวลา/หน่วยความจำที่โดดเด่น ซึ่งไม่ใช่เรื่องแปลกในวิทยาการคอมพิวเตอร์ การจัดเก็บข้อมูลที่เข้ารหัสและบีบอัดจะลดพื้นที่ดิสก์ที่ต้องการให้เหลือน้อยที่สุด ในการเข้าถึงข้อมูล จะต้องถอดรหัสและขยายขนาด ซึ่งต้องใช้ความพยายามในการคำนวณ สำหรับไฟล์เดียว ส่วนใหญ่จะไม่เกี่ยวข้อง และข้อดีของการถ่ายโอนที่รวดเร็วและความต้องการพื้นที่เก็บข้อมูลต่ำนั้นมีค่ามากกว่าเวลาในการเข้าถึง อย่างไรก็ตาม เมื่อฝึกโมเดลการเรียนรู้เชิงลึก ข้อมูลจะถูกเข้าถึงบ่อยครั้ง และอัลกอริทึมพื้นฐานสำหรับโมเดลแมชชีนเลิร์นนิง (เช่น การบิดเบี้ยวสำหรับการวิเคราะห์ภาพ) จะไม่สามารถทำงานกับข้อมูลที่เข้ารหัสได้

รูปภาพ JPG ขนาด 320 x 213 พิกเซลที่เข้ารหัสอย่างดีต้องการพื้นที่จัดเก็บประมาณ 13 KB เท่านั้น ในขณะที่โฟลต32 เทนเซอร์ของข้อมูลรูปภาพเดียวกันใช้หน่วยความจำประมาณ 798 KB ซึ่งเพิ่มขึ้น 6100%

พิกเซลสี 320 x 213 ใน JPG ต้องการพื้นที่เก็บข้อมูลเพียง 13 KB

ข้อมูลภาพเดียวกันที่จัดเก็บไว้ในเทนเซอร์ขนาด 320 x 213 x 3 float32 น้ำหนัก 798 KB

เพื่อรวมข้อดีของทั้งสองอย่างเข้า ด้วยกัน โมดูลตัวโหลดข้อมูลพิเศษได้รับการออกแบบเพื่อประมวลผลข้อมูลล่วงหน้าสำหรับการใช้งานที่เหมาะสมที่สุดในรูปแบบเทนเซอร์

มีการเพิ่มประสิทธิภาพเพิ่มเติม เช่น การจัดกลุ่มและรูปแบบข้อมูลกระจัดกระจาย เพื่อจัดการกับข้อมูลจำนวนมาก อย่างไรก็ตาม ความต้องการด้านฮาร์ดแวร์สำหรับ (การฝึกอบรม) โมเดลการเรียนรู้เชิงลึกยังคงอยู่ในระดับสูง

การตัดสินใจสำหรับไปป์ไลน์ข้อมูลของคุณ

โดยคำนึงถึงข้อมูลเชิงลึกข้างต้นเกี่ยวกับโครงสร้างข้อมูลเฉพาะ มาดูการตัดสินใจที่ต้องทำเมื่อออกแบบไปป์ไลน์ข้อมูล

ก่อนอื่น แม้กระทั่งก่อนที่จะเริ่มพัฒนาโมเดลแมชชีนเลิร์นนิง ตรวจสอบให้แน่ใจว่าได้จัดเก็บข้อมูลที่เกี่ยวข้องอย่างมีโครงสร้างและเข้าถึงได้. สำหรับข้อมูลรูปภาพ มักหมายถึงพื้นที่เก็บข้อมูลบนคลาวด์บางส่วนที่มีข้อมูลเมตาเพิ่มเติมแนบมากับไฟล์หรือจัดเก็บไว้ในฐานข้อมูลแยกต่างหาก สำหรับตัวโหลดข้อมูลของเรา สิ่งสำคัญคือต้องมีรายการโครงสร้างของไฟล์ที่เกี่ยวข้องและป้ายกำกับที่แนบมา ข้อมูลเมตานี้จะใช้ในการดาวน์โหลดและประมวลผลไฟล์ล่วงหน้า โปรดทราบว่า ณ จุดหนึ่งอาจมีเครื่องหลายเครื่องที่ทำงานบนชุดข้อมูลเดียวกันแบบขนาน ดังนั้นเครื่องทั้งหมดจึงจำเป็นต้องเข้าถึงแบบขนาน สำหรับขั้นตอนการฝึกอบรม เราต้องการแคชข้อมูลบนเครื่องฝึกอบรมโดยตรงเพื่อหลีกเลี่ยงเวลาและค่าใช้จ่ายสูงในการทำธุรกรรม เนื่องจากเราเข้าถึงข้อมูลบ่อยครั้ง แม้ว่าคุณจะไม่ได้วางแผนที่จะฝึกโมเดลแมชชีนเลิร์นนิง (แต่ตอนนี้) ก็อาจคุ้มค่าที่จะคิดถึงการจัดเก็บข้อมูลที่เกี่ยวข้องและป้ายกำกับที่อาจเป็นประโยชน์สำหรับการเรียนรู้ภายใต้การดูแลในภายหลัง

ในขั้นตอนถัดไป เราจะแปลงข้อมูลเป็นรูปแบบเทนเซอร์ที่มีประโยชน์ อันดับเทนเซอร์ขึ้นอยู่กับชนิดข้อมูลที่ใช้ (ดูตัวอย่างในสมุดงาน ) และที่น่าประหลาดใจกว่านั้นคือขึ้นอยู่กับคำจำกัดความของปัญหา สิ่งสำคัญคือต้องกำหนดว่าโมเดลควรตีความข้อมูล (เช่น ประโยค) โดยเป็นอิสระจากส่วนอื่นๆ หรือส่วนใดของข้อมูลที่เกี่ยวข้องกัน ชุดงานมักจะประกอบด้วยตัวอย่างอิสระจำนวนหนึ่ง ขนาดแบทช์มีความยืดหยุ่นและสามารถลดให้เหลือเพียงตัวอย่างเดียวในเวลาอนุมาน/ทดสอบ ประเภทของเทนเซอร์ยังขึ้นอยู่กับประเภทข้อมูลและวิธีการทำให้เป็นมาตรฐาน (พิกเซลสามารถแสดงเป็นจำนวนเต็มตั้งแต่ 0 ถึง 255 หรือเป็นตัวเลขลอยตัวตั้งแต่ 0 ถึง 1)

สำหรับปัญหาเล็กๆ น้อยๆ อาจเป็นไปได้ที่จะโหลดชุดข้อมูลทั้งหมดลงในหน่วยความจำ (รูปแบบเทนเซอร์) และดำเนินการฝึกอบรมกับแหล่งข้อมูลนี้โดยใช้ประโยชน์จากการโหลดข้อมูลที่เร็วขึ้นระหว่างการฝึกและการโหลด CPU ต่ำ อย่างไรก็ตาม สำหรับปัญหาในทางปฏิบัติส่วนใหญ่ สิ่งนี้แทบจะเป็นไปไม่ได้เลย เนื่องจากชุดข้อมูลมาตรฐานมีขนาดเกินกว่าหลายร้อยกิกะไบต์ได้อย่างง่ายดาย สำหรับกรณีดังกล่าว ตัวโหลดข้อมูลแบบอะซิงโครนัสสามารถทำงานเป็นเธรดบน CPUและเตรียมข้อมูลในหน่วยความจำ นี่เป็นกระบวนการที่ต่อเนื่อง ดังนั้นจึงทำงานได้แม้ว่าจำนวนหน่วยความจำทั้งหมดจะน้อยกว่าชุดข้อมูลทั้งหมด

การตัดสินใจชุดข้อมูล:

รูปแบบที่มีโครงสร้าง
ที่เก็บข้อมูลที่สามารถเข้าถึงได้
ป้ายชื่อและข้อมูลเมตา
รูปแบบเทนเซอร์ (อันดับ, ขนาดแบทช์, ประเภท, การทำให้เป็นมาตรฐาน)
การโหลดข้อมูลจากดิสก์ไปยังหน่วยความจำ การขนาน

สเกลาร์ เวกเตอร์ เมทริกซ์ และโดยเฉพาะอย่างยิ่งเทนเซอร์เป็นองค์ประกอบพื้นฐานของชุดข้อมูลแมชชีนเลิร์นนิง การฝึกอบรมแบบจำลองเริ่มต้นด้วยการสร้างชุดข้อมูลที่เกี่ยวข้องและไปป์ไลน์การประมวลผลข้อมูล บทความนี้แสดงภาพรวมของโครงสร้างข้อมูลที่ปรับให้เหมาะสม และอธิบายแง่มุมที่เกี่ยวข้องบางประการของรูปแบบเทนเซอร์ หวังว่าการตัดสินใจที่กล่าวถึงในการออกแบบไปป์ไลน์ข้อมูลสามารถใช้เป็นจุดเริ่มต้นสำหรับข้อมูลเชิงลึกที่ละเอียดยิ่งขึ้นในหัวข้อการประมวลผลข้อมูลในแมชชีนเลิร์นนิง

26 มกราคม 202326 มกราคม 2023

แอปพลิเคชัน AI เปิดช่องโหว่ด้านความปลอดภัยใหม่

แอปพลิเคชัน AI ความปลอดภัยของแอปพลิเคชันมาไกลในช่วงสองสามทศวรรษที่ผ่านมา ในช่วงต้นทศวรรษ 2000 การโจมตีด้วย SQL Injection และ Cross Site Scripting (XSS) เป็นฝันร้ายสำหรับทีมรักษาความปลอดภัยทางไซเบอร์ เนื่องจากผู้โจมตีสามารถข้ามผ่านไฟร์วอลล์เครือข่ายผ่านการโจมตีที่ชั้นแอปพลิเคชันได้อย่างง่ายดาย เนื่องจากไฟร์วอลล์เครือข่ายแบบดั้งเดิมในเวลานั้นไม่รับรู้ถึงแอปพลิเคชัน การโจมตีเหล่านี้จึงพิสูจน์ให้เห็นถึงจุดบอดที่ทำให้ผู้โจมตีสามารถโจมตีเว็บแอปพลิเคชันได้อย่างง่ายดาย

อุตสาหกรรมฟื้นตัวอย่างรวดเร็ว อย่างไรก็ตาม ไฟร์วอลล์ของเว็บแอปพลิเคชัน (WAF) และการตรวจสอบความปลอดภัยของซอร์สโค้ดกลายเป็นส่วนมาตรฐานของการตรวจสอบความปลอดภัยทางไซเบอร์ส่วนใหญ่ ตอนนี้เรามี DevSecOps ที่ทำการตรวจสอบเหล่านี้โดยอัตโนมัติภายในไปป์ไลน์ CI/CD เพื่อให้การรักษาความปลอดภัยเป็นไปอย่างรวดเร็วด้วย โซลูชันการทดสอบความปลอดภัยของ แอปพลิเคชันแบบไดนามิก (DAST) และการทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่ (SAST) ที่กลายเป็นเรื่องธรรมดา

อย่างไรก็ตาม เทรนด์ใหม่กำลังเพิ่มขึ้นซึ่งอาจเป็นจุดบอดอีกจุดหนึ่งได้ เช่น การฉีด SQL ในทศวรรษที่ผ่านมา เว้นแต่จะมีการควบคุม

การโจมตีเหล่านี้มีเป้าหมายที่ AI และระบบการเรียนรู้ของเครื่อง

ระบบ AI และการเรียนรู้ของเครื่อง

AI และแมชชีนเลิร์นนิงเป็นหนึ่งในเทคโนโลยีที่ก่อกวนได้ง่ายที่สุดในช่วงไม่กี่ปีที่ผ่านมา และกำลังถูกนำไปใช้ทั่วโลกโดยบริษัทและรัฐบาล แม้แต่ผลิตภัณฑ์ด้านความปลอดภัยในโลกไซเบอร์ก็กำลังอวดอ้างป้าย “ขับเคลื่อนโดย AI” เนื่องจากใช้อัลกอริธึมการเรียนรู้ของเครื่องเพื่อเพิ่มขีดความสามารถและหยุดการโจมตีทางไซเบอร์แบบเรียลไทม์โดยไม่ต้องป้อนข้อมูลจากมนุษย์

โมเดลเหล่านี้ได้รับการฝึกฝนเกี่ยวกับข้อมูลเพื่อสร้างความสามารถในการตัดสินใจ คล้ายกับวิธีที่มนุษย์เรียนรู้จากการลองผิดลองถูก โดยพื้นฐานแล้ว ยิ่งโมเดลแมชชีนเลิร์นนิงได้รับการฝึกอบรมเกี่ยวกับข้อมูลมากเท่าใด ก็ยิ่งมีความแม่นยำมากขึ้นเท่านั้น เมื่อเห็นว่าเหมาะสมสำหรับการผลิตแล้ว โมเดลเหล่านี้จะถูกวางไว้ด้านหลังแอปพลิเคชันซึ่งโดยทั่วไปจะเปิดเผย API สาธารณะ ซึ่งสามารถสอบถามผลลัพธ์ได้

อย่างไรก็ตาม การนำแอปพลิเคชันเหล่านี้ไปใช้ในอุตสาหกรรมที่ละเอียดอ่อน เช่น งานบริการ การแพทย์ และการเงิน รวมถึงการเข้าถึงข้อมูลการฝึกอบรมที่ละเอียดอ่อน ทำให้แอปพลิเคชันเหล่านี้ตกเป็นเป้าหมายหลักสำหรับผู้โจมตี ด้วยเหตุนี้ การโจมตีรูปแบบใหม่จึงกำลังพัฒนาโดยกำหนดเป้าหมายไปที่การทำงานของแอปพลิเคชันแมชชีนเลิร์นนิง

โดยทั่วไปแล้วทีมรักษาความปลอดภัยทางไซเบอร์จะประเมินแอปพลิเคชัน AI ผ่านกระบวนการรักษาความปลอดภัยแบบดั้งเดิม เช่น การชุบแข็ง การแพตช์ การประเมินช่องโหว่ ฯลฯ การดำเนินการเหล่านี้จะดำเนินการที่ระดับโครงสร้างพื้นฐานและแอปพลิเคชัน แม้ว่านี่จะเป็นแนวทางปฏิบัติที่ดี แต่กระบวนการรับประกันเหล่านี้ไม่ครอบคลุมถึงการโจมตีเฉพาะของ AI เช่น พิษของข้อมูล การอนุมานสมาชิก การหลีกเลี่ยงแบบจำลอง เป็นต้น

ในการโจมตีประเภทนี้ อาชญากรไซเบอร์ไม่สนใจที่จะประนีประนอมโครงสร้างพื้นฐานพื้นฐานหรือดำเนินการฉีด SQL แต่จะจัดการกับวิธีการที่แอปพลิเคชัน AI และการเรียนรู้ของเครื่องเข้าถึงการตัดสินใจ

สิ่งนี้ทำให้พวกเขาสามารถ:

รบกวนการทำงานของแอพพลิเคชั่น AI และทำให้ตัดสินใจผิดพลาด
ค้นหาว่าโมเดลทำงานอย่างไร เพื่อที่พวกเขาจะได้ทำวิศวกรรมย้อนกลับสำหรับการโจมตีเพิ่มเติม
ค้นหาว่าโมเดลได้รับการฝึกอบรมเกี่ยวกับข้อมูลใด โดยเปิดเผยลักษณะเฉพาะที่ละเอียดอ่อนที่พวกเขาไม่ควรรู้

การโจมตีเหล่านี้เพิ่มจำนวนขึ้นเรื่อย ๆ และประสบความสำเร็จกับแอปพลิเคชัน AI ที่ใช้การผลิตซึ่งแสดงไว้ที่ นี่

ให้เรามาดูการโจมตีที่พบบ่อยที่สุดบางส่วน เช่น การอนุมาน การหลบหลีก และการวางยาพิษ และวิธีที่เราจะทำให้แอปพลิเคชัน ML ของเราแข็งกระด้างต่อการโจมตีเหล่านั้น แอปพลิเคชัน AI

การโจมตีโดยอนุมาน

ในระหว่างการโจมตีโดยอนุมานในแอปพลิเคชัน AI ผู้โจมตีจะพยายามค้นหาการทำงานภายในของแบบจำลองหรือประเภทของข้อมูลที่ใช้ในการฝึกฝน API ที่เปิดเผยโดยโมเดล ML อาจให้การตอบสนองเป็นคะแนนความเชื่อมั่นและให้คะแนนที่เข้มข้นกว่าหากข้อมูลที่ป้อนตรงกับข้อมูลที่ได้รับการฝึกอบรม ด้วยการเข้าถึง API นี้ ผู้โจมตีสามารถเริ่มเรียกใช้การค้นหาและวิเคราะห์การตอบสนองจากโมเดลแมชชีนเลิร์นนิง ในตัวอย่าง หนึ่ง ผู้โจมตีสามารถสร้างใบหน้าที่ใช้ในการฝึกโมเดลแมชชีนเลิร์นนิงขึ้นใหม่โดยการวิเคราะห์อัตราความเชื่อมั่นของรูปภาพต่างๆ ที่ส่งเข้ามา ด้วยการส่งภาพแบบสุ่มหลายภาพและดูการตอบสนอง ผู้โจมตีสามารถสร้างภาพการฝึกขึ้นใหม่ด้วยความแม่นยำสูงถึง 95%

การโจมตีในลักษณะนี้อาจส่งผลให้โมเดล AI เปิดเผยข้อมูลที่มีความละเอียดอ่อนสูง โดยเฉพาะอย่างยิ่งในอุตสาหกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลได้ บริษัทส่วนใหญ่ไม่สร้างโมเดลแมชชีนเลิร์นนิงตั้งแต่เริ่มต้น และมักจะใช้โมเดลที่สร้างไว้ล่วงหน้าซึ่งโฮสต์บนแพลตฟอร์มคลาวด์ การโจมตีที่ประสบความสำเร็จกับรูปแบบใดรูปแบบหนึ่งสามารถช่วยให้ผู้โจมตีสามารถประนีประนอมแอปพลิเคชัน AI หลายตัวในการโจมตีห่วงโซ่อุปทานได้

พิษโจมตี

การโจมตีอีกครั้งอาจเกิดขึ้นกับข้อมูลการฝึกอบรมจริง ซึ่งผู้โจมตีสามารถ “ก่อกวน” ข้อมูลที่โมเดลกำลังได้รับการฝึกฝนเพื่อแทรกแซงการตัดสินใจ เช่นเดียวกับโมเดลที่สร้างไว้ล่วงหน้า บริษัทส่วนใหญ่ไม่ต้องการสร้างข้อมูลการฝึกอบรมตั้งแต่เริ่มต้น และมักจะใช้ประโยชน์จากข้อมูลการฝึกอบรมที่สร้างไว้ล่วงหน้า ซึ่งเรียกใช้ผ่านโมเดลการเรียนรู้ของเครื่อง หากผู้โจมตีสามารถบุกรุกที่เก็บข้อมูลนี้ผ่านช่องโหว่ด้านความปลอดภัยและแทรกข้อมูลของตัวเองเข้าไปในที่เก็บข้อมูลนี้ โมเดลการเรียนรู้ของเครื่องจะได้รับการฝึกให้ยอมรับการป้อนข้อมูลที่เป็นอันตรายตั้งแต่เริ่มต้น ตัวอย่างเช่น ผู้โจมตีสามารถป้อนข้อมูลลงในที่เก็บข้อมูลของรถยนต์ที่ขับเคลื่อนด้วยตนเองซึ่งฝึกให้รู้จักวัตถุขณะขับรถ โดยการเปลี่ยนฉลากของข้อมูล การทำงานจริงของยานพาหนะอาจถูกแก้ไขได้

ผู้โจมตีมักจะรอเวลาและรอให้ที่เก็บข้อมูลได้รับการยอมรับจากตลาดในระดับหนึ่งก่อนที่จะพยายาม “วางยา” พวกเขา การฝึกอบรมแบบจำลองไม่ใช่กิจกรรมที่ทำเพียงครั้งเดียว ที่เก็บข้อมูลอาจสมบูรณ์ดีในตอนเริ่มต้น จากนั้นจึงถูกโจมตีโดยผู้โจมตีในภายหลัง เมื่อพวกเขามั่นใจว่าจะไม่ถูกตรวจพบ

หลบหลีกการโจมตี

การโจมตีระบบ AI อีกอย่างหนึ่งคือการโจมตีแบบหลบหลีก ซึ่งผู้โจมตีพยายามหลอกล่อโมเดลด้วยการให้ข้อมูลที่เปลี่ยนแปลงอย่างละเอียด ได้รับการพิสูจน์แล้วว่าการเปลี่ยนแปลงเพียงเล็กน้อยกับภาพที่มนุษย์มองไม่เห็นอาจส่งผลให้โมเดลแมชชีนเลิร์นนิงตัดสินใจแตกต่างกันอย่างมาก ประเภทข้อมูลนี้เรียกว่าตัวอย่างฝ่ายตรงข้ามและสามารถหลอกระบบที่ขับเคลื่อนด้วย AI เช่น แอปพลิเคชันการจดจำใบหน้าหรือรถยนต์ที่ขับเคลื่อนด้วยตัวเอง

ตัวอย่างเช่น การแปะเทปลงบนป้ายหยุดอาจส่งผลให้โมเดลการเรียนรู้ของเครื่องไม่รู้จักป้ายนั้น ซึ่งอาจทำให้เกิดอุบัติเหตุทางรถยนต์ได้ หรือหลอกลวงระบบการแพทย์เพื่อวัตถุประสงค์ในการฉ้อโกง

ทางข้างหน้า

การโจมตีโดยใช้ AI กลายเป็นเรื่องธรรมดา มากขึ้น และทีมรักษาความปลอดภัยทางไซเบอร์จำเป็นต้องเพิ่มทักษะเพื่อทำความเข้าใจกับการโจมตีแอปพลิเคชันสายพันธุ์ใหม่นี้ ในการแข่งขัน Machine Learning Security Evasion Competition (MLSEC 2022) ในปีนี้ แสดงให้เห็นว่าการหลบเลี่ยงโมเดลการจดจำใบหน้าผ่านการเปลี่ยนแปลงเล็กน้อยนั้นทำได้ง่ายเพียงเล็กน้อย

ทีมรักษาความปลอดภัยทางไซเบอร์จำเป็นต้องมีทักษะและตระหนักถึงการโจมตีเหล่านี้ เพื่อให้สามารถเน้นในเชิงรุกในการตรวจสอบการออกแบบเบื้องต้น ทรัพยากรอย่างMITER ATLASซึ่งอธิบายว่าตัวเองเป็นฐานความรู้ของการโจมตีต่อโมเดลแมชชีนเลิร์นนิง เป็นทรัพยากรที่ยอดเยี่ยมสำหรับทีมในการเร่งความเร็วอย่างรวดเร็ว แอปพลิเคชัน AI

ดังที่ได้กล่าวไว้ก่อนหน้านี้ การควบคุมความปลอดภัยทางไซเบอร์แบบดั้งเดิมจะไม่ป้องกันช่องโหว่เหล่านี้ และจำเป็นต้องมีการควบคุมประเภทใหม่ เช่นเดียวกับการที่ความปลอดภัยของแอปพลิเคชันพัฒนาและกลายเป็นโดเมนแยกต่างหากภายในความปลอดภัยทางไซเบอร์ ความปลอดภัยของ AI จำเป็นต้องทำเช่นเดียวกันอย่างรวดเร็ว แอปพลิเคชัน AI มีส่วนร่วมในการตัดสินใจที่สำคัญในอุตสาหกรรมต่างๆ เช่น การดูแลสุขภาพ สถาบันการเงิน และการบังคับใช้กฎหมาย และนำเสนอเป้าหมายสำคัญสำหรับผู้โจมตีทางไซเบอร์

เนื่องจากไม่มีแพตช์ด่วนสำหรับแก้ไขปัญหาเหล่านี้ จึงจำเป็นต้องพัฒนาวัฒนธรรมด้านความปลอดภัยของ AI เพื่อให้มีการใช้การควบคุมเหล่านี้ในหลายระดับ การควบคุมหลักบางส่วนที่สามารถนำไปใช้ได้ ได้แก่:

การสร้างแบบจำลองภัยคุกคามของโมเดลแมชชีนเลิร์นนิงควรดำเนินการและสร้างแนวทางปฏิบัติที่เป็นมาตรฐานก่อนที่จะเลือกโมเดลใหม่หรือโมเดลที่สร้างไว้ล่วงหน้า หลักเกณฑ์เช่น National Cyber Security Center ของสหราชอาณาจักรมีแหล่งข้อมูลเช่น ” หลักการเพื่อความปลอดภัยของแมชชีนเลิ ร์นนิง ” เป็นจุดอ้างอิงที่ดี
การควบคุมการตรวจจับจำเป็นต้องอัปเดตเพื่อแจ้งเตือนหากผู้โจมตีเจาะจงค้นหา API การเรียนรู้ของเครื่องนั้นๆ ซ้ำๆ นี่อาจบ่งบอกถึงการโจมตีโดยอนุมาน
นางแบบควรได้รับการชุบแข็งเพื่อฆ่าเชื้อคะแนนความมั่นใจในคำตอบ ความสมดุลระหว่างความสามารถในการใช้งานและความปลอดภัยจำเป็นต้องเกิดขึ้น โดยนักพัฒนาอาจได้รับรายละเอียดคะแนนความเชื่อมั่นเต็มจำนวน ในขณะที่ผู้ใช้ปลายทางต้องการเพียงคะแนนสรุปเท่านั้น สิ่งนี้จะเพิ่มความยากลำบากอย่างมากสำหรับผู้โจมตีในการประเมินตรรกะหรือข้อมูลพื้นฐานที่โมเดลได้รับการฝึกอบรม
โมเดลแมชชีนเลิร์นนิงควรได้รับการฝึกฝนกับตัวอย่างฝ่ายตรงข้ามเพื่อประเมินความยืดหยุ่นต่อการโจมตีดังกล่าว การนำโมเดลดังกล่าวไปใช้ตั้งแต่เนิ่นๆ ทำให้บริษัทต่างๆ สามารถระบุช่องว่างในการเรียนรู้และแก้ไขสิ่งเดียวกันได้อย่างรวดเร็ว
ที่เก็บข้อมูลที่ใช้ในการฝึกโมเดลแมชชีนเลิร์นนิงควรผ่านการทดสอบความปลอดภัยอย่างเข้มงวดเพื่อให้แน่ใจว่าไม่มีช่องโหว่ที่อาจทำให้การโจมตีเข้าถึงข้อมูลและวางยาพิษได้ ในทำนองเดียวกัน ข้อมูลที่ “สะอาด” ในคราวเดียวอาจถูกพิษในภายหลัง ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องตรวจสอบว่าแบบจำลองทำงานอย่างถูกต้องทุกครั้งที่รีเฟรชข้อมูลการฝึกอบรมหรือได้รับการฝึกฝนเกี่ยวกับข้อมูลใหม่ ทีมงานคุณภาพควรให้แบบจำลองผ่านการทดสอบต่างๆ และตรวจสอบผลลัพธ์ก่อนหน้านี้เพื่อให้แน่ใจว่าแบบจำลองยังคงทำงานได้อย่างเหมาะสมและไม่มี “พิษ” เกิดขึ้น
ประการสุดท้าย บริษัทควรมีนโยบายเกี่ยวกับการใช้ข้อมูลสาธารณะหรือข้อมูลโอเพ่นซอร์สสำหรับการฝึกอบรม แม้ว่าจะใช้งานได้ง่ายกว่าสำหรับโมเดลการฝึก การประนีประนอมของที่เก็บข้อมูลอาจทำให้โมเดลเสียหายในการฝึกได้

เป็นที่ชัดเจนว่าการโจมตีด้วย AI นั้นมีแนวโน้มที่จะเพิ่มขึ้นตามเวลาเท่านั้น และความตระหนักในหมู่ทีมรักษาความปลอดภัยทางไซเบอร์ก็ขาดความตระหนักอยู่ในขณะนี้ เว้นแต่จะมีการควบคุมทางเทคนิคและการกำกับดูแลที่เหมาะสม การโจมตีเหล่านี้จะสร้างความหายนะแบบเดียวกับที่การฉีด SQL เมื่อสองสามทศวรรษก่อนแท็ก

26 มกราคม 202326 มกราคม 2023

การ ลงชื่อเพียงครั้งเดียว (SSO) คืออะไร และ SSO ทำงานอย่างไร

การ ลงชื่อเพียงครั้งเดียว (SSO)เป็นกระบวนการตรวจสอบสิทธิ์ที่ผู้ใช้ได้รับสิทธิ์ในการเข้าถึงแอปพลิเคชันและ/หรือเว็บไซต์หลายรายการโดยใช้ข้อมูลรับรองการเข้าสู่ระบบเพียงชุดเดียว (เช่น ชื่อผู้ใช้และรหัสผ่าน) สิ่งนี้จะป้องกันไม่ให้ผู้ใช้ต้องเข้าสู่ระบบแยกจากกันในแอปพลิเคชันต่างๆ

ข้อมูลรับรองผู้ใช้และข้อมูลระบุตัวตนอื่นๆ จะถูกจัดเก็บและจัดการโดยระบบรวมศูนย์ที่เรียกว่า Identity Provider (IdP) Identity Provider เป็นระบบที่เชื่อถือได้ที่ให้การเข้าถึงเว็บไซต์และแอปพลิเคชันอื่นๆ

ระบบการตรวจสอบสิทธิ์แบบ Single Sign-On (SSO) มักใช้ในสภาพแวดล้อมขององค์กร ซึ่งพนักงานต้องเข้าถึงแอปพลิเคชัน/เว็บไซต์หลายรายการในองค์กรของตน ในสถานการณ์สมมตินี้ ผู้ให้บริการ Single Sign-On ใช้ไดเร็กทอรีขององค์กร เช่น Microsoft Active Directory, Azure Active Directoryหรือไดเร็กทอรีที่โซลูชัน Single Sign-On จัดเตรียมไว้สำหรับตรวจสอบสิทธิ์ผู้ใช้และให้การเข้าถึงแอปพลิเคชัน/เว็บไซต์ต่างๆ

กระบวนการรับรองความถูกต้องโดยใช้miniOrange Single Sign-On (SSO)จะเกิดขึ้นตามที่อธิบายไว้ในขั้นตอนต่อไปนี้:

ผู้ใช้ขอทรัพยากรจากแอปพลิเคชัน/เว็บไซต์ที่ต้องการ
แอปพลิเคชัน/เว็บไซต์เปลี่ยนเส้นทางผู้ใช้ไปยัง miniOrange (Identity Provider) เพื่อตรวจสอบสิทธิ์
ผู้ใช้ลงชื่อเข้าใช้ด้วยข้อมูลรับรอง miniOrange หากไม่มีการกำหนดค่า IdP ภายนอก หากคุณมี Identity Provider อยู่แล้ว (SAML, OAuth/OpenID Connect ฯลฯ) miniOrange จะเปลี่ยนเส้นทางผู้ใช้ไปยัง Identity Provider ที่มีอยู่เพื่อตรวจสอบสิทธิ์
IdP ส่งการตอบกลับการลงชื่อเพียงครั้งเดียวไปยัง miniOrange
miniOrange ส่งคืนการตอบกลับแบบ Single Sign-On กลับไปยังแอปพลิเคชัน/เว็บไซต์ไคลเอ็นต์และ
แอปพลิเคชัน/เว็บไซต์ให้สิทธิ์การเข้าถึงแก่ผู้ใช้

ตอนนี้ ผู้ใช้สามารถเข้าถึงแอปพลิเคชัน/เว็บไซต์อื่นๆ ทั้งหมดที่มีการกำหนดค่าสำหรับ SSO หากผู้ใช้ต้องการเข้าถึงทรัพยากรจากแอปพลิเคชัน/เว็บไซต์อื่น แอปพลิเคชัน/เว็บไซต์จะตรวจสอบว่าผู้ใช้มีเซสชันที่ใช้งานกับ miniOrange หรือไม่ ลงชื่อเพียงครั้งเดียว

ส่วนประกอบการลงชื่อเพียงครั้งเดียว (SSO):

ผู้ให้บริการข้อมูลประจำตัว- ข้อมูลประจำตัวของผู้ใช้ถูกจัดเก็บและจัดการโดยระบบส่วนกลางที่เรียกว่าผู้ให้บริการข้อมูลประจำตัว (IdP) ผู้ให้บริการข้อมูลประจำตัวตรวจสอบผู้ใช้และให้การเข้าถึงผู้ให้บริการ ผู้ให้บริการข้อมูลประจำตัวสามารถตรวจสอบผู้ใช้ได้โดยตรงโดยการตรวจสอบชื่อผู้ใช้และรหัสผ่าน หรือโดยการตรวจสอบยืนยันเกี่ยวกับข้อมูลประจำตัวของผู้ใช้ที่แสดงโดยผู้ให้บริการข้อมูลประจำตัวที่แยกต่างหาก
ผู้ให้บริการข้อมูลประจำตัวจัดการการจัดการข้อมูลประจำตัวของผู้ใช้เพื่อให้ผู้ให้บริการเป็นอิสระจากความรับผิดชอบนี้
ผู้ให้บริการ – ผู้ให้บริการให้บริการแก่ผู้ใช้ปลายทาง พวกเขาพึ่งพาผู้ให้บริการข้อมูลประจำตัวเพื่อยืนยันข้อมูลประจำตัวของผู้ใช้ และโดยทั่วไปแล้วแอตทริบิวต์บางอย่างเกี่ยวกับผู้ใช้จะได้รับการจัดการโดยผู้ให้บริการข้อมูลประจำตัว ผู้ให้บริการอาจรักษาบัญชีท้องถิ่นสำหรับผู้ใช้พร้อมกับคุณลักษณะเฉพาะสำหรับบริการของตน
นายหน้าระบุตัวตน – นายหน้าระบุตัวตนทำหน้าที่เป็นตัวกลางที่เชื่อมต่อผู้ให้บริการหลายรายกับผู้ให้บริการข้อมูลประจำตัวที่แตกต่างกัน เมื่อใช้ Identity Broker คุณสามารถทำการลงชื่อเพียงครั้งเดียวผ่านแอปพลิเคชันใดๆ โดยไม่ต้องวุ่นวายกับโปรโตคอลที่ตามมา ไม่จำเป็นต้องเข้าใจหรือใช้โปรโตคอล SSO ที่ซับซ้อน เช่น SAML, OpenID, OAuth, CAS หรืออื่นๆ คุณสามารถโทรหาปลายทาง HTTP และเข้าถึงข้อมูลระบุตัวตนใดๆ แทนได้ เหตุผลสำคัญที่เราควรใช้ Identity Broker คือรองรับ Cross Protocol เช่นการกำหนดค่า Service Provider ตามโปรโตคอลเฉพาะกับ Identity Provider ตามโปรโตคอลที่แตกต่างกัน

ปัจจัยสำคัญที่ต้องรู้ก่อนดำเนินการ SSO

โซลูชัน Single Sign-On ถูกนำมาใช้ตามความต้องการของลูกค้า การใช้งานจะแตกต่างกันไปตามวัตถุประสงค์และความต้องการของผู้ใช้แต่ละคน ในกรณีนี้ มีปัจจัยสำคัญบางประการที่คุณควรคำนึงถึงก่อนที่จะใช้ SSO สำหรับระบบของคุณ

ประเภทของผู้ใช้: หากเป็นแบบถาวร/ชั่วคราว ควรคำนึงถึงจำนวนผู้ใช้
การเข้าถึง: ควรให้สิทธิ์ที่เหมาะสมแก่ผู้ใช้ตามการกำหนดและหรือข้อกำหนดของผู้ใช้
แพลตฟอร์ม: ตามความต้องการของคุณ เลือกว่าคุณต้องการโซลูชันภายในองค์กรหรือโซลูชันบนคลาวด์
คุณสมบัติ: คุณกำลังมองหาคุณสมบัติใดเพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่เชื่อถือได้เท่านั้นที่เข้าสู่ระบบ ควรพิจารณา MFA, Adaptive Authentication, Device Trust, IP Address Whitelisting เป็นต้น
คุณต้องผสานรวมกับระบบใด
ให้ความรู้แก่พนักงานของคุณเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับรหัสผ่าน ให้พวกเขารู้ว่า SSO คืออะไร และคุณใช้ประโยชน์จากมันอย่างไรให้เกิดประโยชน์สูงสุด

ประโยชน์ของการลงชื่อเพียงครั้งเดียว (SSO)

SSO มีประโยชน์ต่อผู้ใช้อย่างไร

ใช้งานง่าย: ผู้ใช้จำเป็นต้องจำชื่อผู้ใช้และรหัสผ่านชุดเดียว ขจัดความไม่สะดวกในการจัดการ จดจำ และรีเซ็ตรหัสผ่านหลายตัว จึงปรับปรุงประสิทธิภาพการทำงานด้วยอัตราการแปลงที่สูงขึ้น

ความโปร่งใส: ผู้ใช้รู้ว่ามีการแบ่งปันอะไรจากระบบหนึ่งไปยังอีกระบบหนึ่ง พวกเขามีสิทธิ์ทั้งหมดที่จะเข้าถึงข้อมูลที่ละเอียดอ่อนและใครที่จะแบ่งปันข้อมูลนั้นด้วย
เข้าถึงง่าย: ด้วย Single Sign-On ผู้ใช้ไม่ต้องผ่านขั้นตอนการลงชื่อสมัครใช้และการให้สิทธิ์ที่ยาวนาน

SSO มีประโยชน์ต่อธุรกิจอย่างไร?

ประสิทธิภาพการทำงานที่เพิ่มขึ้น: พนักงานจำเป็นต้องเข้าถึงแอพมากมายตลอดวันทำงาน พวกเขาต้องใช้เวลาในการลงชื่อเข้าใช้แอพเหล่านั้นทั้งหมดโดยเพิ่มความยากลำบากในการจำรหัสผ่านทั้งหมด ด้วย Single Sign-On ผู้ใช้สามารถป้อนรหัสผ่านเพียงรหัสเดียวเพื่อเข้าถึงแอปทั้งหมด ข้ามเวลาพิเศษทั้งหมดที่ใช้ในการเข้าสู่ระบบ และใช้เวลานั้นอย่างมีประสิทธิผลมากขึ้น
ลดค่าใช้จ่ายด้านไอที: การเปิดใช้ SSO ช่วยให้ผู้ใช้สามารถจัดการแดชบอร์ดแต่ละรายการและตั้งรหัสผ่านใหม่ได้เอง ซึ่งช่วยลดความจำเป็นในการสนับสนุนด้านไอที ช่วยประหยัดเวลาของผู้ดูแลระบบในการรีเซ็ตรหัสผ่าน และสนับสนุนตั๋วเพื่อมุ่งเน้นไปที่งานที่สำคัญกว่า สิ่งนี้ช่วยทางอ้อมในการลดต้นทุนด้านไอที
ความปลอดภัยและการปฏิบัติตามข้อกำหนด: ปัจจัยด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดบังคับให้องค์กรต้องพิสูจน์ว่าตนได้ใช้มาตรการรักษาความปลอดภัยที่เพียงพอในการปกป้องข้อมูลที่ละเอียดอ่อน การลงชื่อเพียงครั้งเดียวช่วยให้ปฏิบัติตามกฎระเบียบเพื่อให้เป็นไปตามข้อกำหนดการเข้าถึงข้อมูลและการป้องกันความเสี่ยงด้านความปลอดภัย ลงชื่อเพียงครั้งเดียว
การลงทะเบียนของผู้ใช้มากขึ้น: SSO มีอุปสรรคในการเข้าใช้งานที่ต่ำกว่า ดังนั้นลูกค้าใหม่จึงสามารถลงทะเบียนได้ง่ายและปลอดภัยโดยใช้แบรนด์ที่เป็นที่รู้จัก ความน่าเชื่อถือเพิ่มขึ้นซึ่งจะเพิ่มการแปลง
ปรับปรุงความสามารถด้านความปลอดภัย: การรับรองความถูกต้อง SSO ช่วยให้มั่นใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ด้วย Single Sign-On คุณสามารถใช้นโยบายรหัสผ่าน เช่น ความยาวของรหัสผ่าน ความซับซ้อน ข้อจำกัดในการใช้รหัสผ่านซ้ำ หมดเวลาเซสชัน และนโยบายการรีเซ็ตรหัสผ่านแบบบริการตนเอง เพื่อเสริมความปลอดภัยโดยไม่ระงับการเข้าถึงของผู้ใช้
การทำงานร่วมกันอย่างมีประสิทธิภาพ: องค์กรขนาดใหญ่และองค์กรต่าง ๆ พัฒนาโซลูชัน Single Sign-On ของตนเอง เพื่อให้ง่ายต่อการแบ่งปันข้อมูล ไฟล์ และข้อมูลอื่น ๆ ในหลาย ๆ แอปพลิเคชัน สิ่งนี้ทำให้กระบวนการแบ่งปันและการทำงานร่วมกันเร็วขึ้นและราคาถูกลง

กล่าวโดยสรุปคือ การใช้โซลูชัน SSO สามารถทำให้ชีวิตผู้ใช้ของคุณง่ายขึ้น รวมทั้งเป็นประโยชน์ต่อธุรกิจของคุณด้วย

SSO มีข้อจำกัดอะไรบ้าง?

ช่องโหว่รหัสผ่านเดียว:หากรหัสผ่าน SSO ของคุณถูกบุกรุก การรักษาความปลอดภัยสำหรับแอพ/เว็บไซต์ที่รองรับทั้งหมดจะถูกโจมตี ตัวอย่างเช่น ถ้ารหัสผ่าน Google Apps ของผู้ใช้ถูกขโมยโดยแฮ็กเกอร์ แอปต่างๆ ของ Google เช่น Gmail, Google เอกสาร, Google ไดรฟ์ และอื่นๆ จะสามารถเข้าถึงได้โดยแฮ็กเกอร์
กระบวนการที่ ช้า: กระบวนการตรวจสอบสิทธิ์โดยใช้การลงชื่อเพียงครั้งเดียวจะช้ากว่าการตรวจสอบสิทธิ์แบบเดิม ซึ่งแต่ละแอป/เว็บไซต์จะรักษาฐานข้อมูลของตนเองซึ่งมีข้อมูลผู้ใช้ สิ่งนี้เกิดขึ้นเนื่องจากสำหรับความพยายามในการตรวจสอบสิทธิ์ของผู้ใช้ทุกครั้ง แอปพลิเคชัน/เว็บไซต์จะต้องขอข้อมูลการยืนยันของผู้ใช้จากผู้ให้บริการ Single Sign-On

SSO ปลอดภัยหรือไม่

เมื่อปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการลงชื่อเพียงครั้งเดียว โซลูชัน SSO ที่เชื่อถือได้สามารถปรับปรุงความปลอดภัยได้อย่างมาก ทำให้มั่นใจได้ว่า:

ทีมไอทีสามารถใช้ประโยชน์จาก SSO เพื่อปกป้องผู้ใช้ด้วยนโยบายความปลอดภัยที่สอดคล้องกันซึ่งปรับให้เข้ากับพฤติกรรมของพวกเขา ในขณะเดียวกันก็ลดความซับซ้อนในการจัดการชื่อผู้ใช้และรหัสผ่าน
เครื่องมือรักษาความปลอดภัยในตัวระบุและบล็อกความพยายามเข้าสู่ระบบที่เป็นอันตรายโดยอัตโนมัติ ปรับปรุงความปลอดภัยของเครือข่ายธุรกิจ
องค์กรสามารถปรับใช้เครื่องมือรักษาความปลอดภัย เช่นMFAควบคู่กับ SSO และสามารถดูแลสิทธิ์การเข้าถึงและสิทธิพิเศษของผู้ใช้ได้อย่างรวดเร็ว

นอกจากนี้ โซลูชัน SSO จากผู้ให้บริการที่ได้รับการพิสูจน์แล้วควรให้ความอุ่นใจแก่บริษัทผ่านโปรโตคอลความปลอดภัยที่ผ่านการตรวจสอบและบริการในระดับต่างๆ

เหตุใดองค์กรจึงใช้การลงชื่อเพียงครั้งเดียว

การใช้บริการ Single Sign-On สำหรับการรับรองความถูกต้องช่วยให้องค์กรสามารถมอบหมายพื้นที่จัดเก็บและการจัดการข้อมูลรับรองผู้ใช้ให้กับระบบส่วนกลาง สิ่งนี้จะช่วยป้องกันความยุ่งยากในการจัดการข้อมูลผู้ใช้และรหัสผ่าน

ผลิตภัณฑ์ Enterprise SSO ให้การรับรองความถูกต้องกับแอปพลิเคชันของบุคคลที่สามจำนวนมากโดยไม่จำเป็นต้องแก้ไขแอปพลิเคชันแต่อย่างใด คุณลักษณะแบบเบ็ดเสร็จนี้ช่วยให้องค์กรต่างๆ โอนย้ายไปยังการรับรองความถูกต้องตาม SSO ได้ง่าย

สามารถใช้ Single Sign-On ในสถานการณ์ด้านล่าง:

การรับรองความถูกต้องโดยใช้ข้อมูลประจำตัวแบบรวมศูนย์:หากองค์กรใช้ผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม ข้อมูลประจำตัวแบบรวมศูนย์ (SAML) เป็นที่นิยมสำหรับการรับรองความถูกต้องผู้ใช้ในแอปพลิเคชันบนระบบคลาวด์และในองค์กร ในกรณีนี้ ผู้ใช้ที่พยายามเข้าถึงแอปพลิเคชันจะถูกเปลี่ยนเส้นทางไปยังผู้ให้บริการที่ใช้ SSO ซึ่งร้องขอผู้ให้บริการข้อมูลประจำตัวเพื่อยืนยันตัวตนของผู้ใช้
การรับรองความถูกต้องสำหรับแอปพลิเคชันองค์กรภายในองค์กร:องค์กรใช้แอปพลิเคชันหลายตัวสำหรับงานต่างๆ สามารถใช้ SSO เป็นจุดศูนย์กลางของการรับรองความถูกต้องโดยใช้ข้อมูลรับรองการเข้าสู่ระบบชุดเดียวเพื่อให้สามารถเข้าถึงแอปพลิเคชันระดับองค์กรต่างๆ ทั้งหมดได้

การลงชื่อเพียงครั้งเดียวขององค์กร

โดยทั่วไปแล้วผลิตภัณฑ์ Enterprise Single Sign-On จะจัดเก็บข้อมูลรับรองผู้ใช้ เช่น ชื่อผู้ใช้และรหัสผ่าน และเล่นซ้ำโดยอัตโนมัติทุกครั้งที่ผู้ใช้พยายามเข้าถึงแอปพลิเคชันขององค์กร สิ่งนี้ทำให้สามารถใช้ผลิตภัณฑ์ SSO กับแอปพลิเคชันของบุคคลที่สามได้หลากหลาย เนื่องจากตัวแอปพลิเคชันนั้นไม่จำเป็นต้องแก้ไขใดๆ เพื่อทำงานกับระบบ SSO

การลงชื่อเพียงครั้งเดียวทางสังคม

แอปพลิเคชันโซเชียลเน็ตเวิร์กยอดนิยม เช่น Twitter, Facebook, Google มีบริการ SSO ที่อนุญาตให้ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชันของบุคคลที่สามด้วยข้อมูลรับรองโซเชียลเน็ตเวิร์กของตน สิ่งนี้สะดวกมากสำหรับผู้ใช้ เนื่องจากพวกเขามีข้อมูลอยู่ในบัญชีโซเชียลมีเดียของพวกเขาแล้ว และพวกเขายังเข้าสู่ระบบเป็นส่วนใหญ่อีกด้วย แต่การใช้บริการ SSO ของโซเชียลมีเดียก็มีความเสี่ยงด้านความปลอดภัยเช่นกัน เนื่องจากแฮ็กเกอร์ทั่วโลกมักจะกำหนดเป้าหมายบัญชีผู้ใช้บนเว็บไซต์โซเชียลเน็ตเวิร์ก

โทเค็น SSO คืออะไร

โทเค็น SSO คือ ชุดของข้อมูลหรือสารสนเทศที่ส่งผ่านจากระบบหนึ่งไปยังอีกระบบหนึ่งในระหว่างกระบวนการลงชื่อ เพียงครั้ง เดียว ข้อมูลสามารถเป็นเพียงที่อยู่อีเมลของผู้ใช้และข้อมูลเกี่ยวกับระบบที่กำลังส่งโทเค็น โทเค็นต้องได้รับการเซ็นชื่อแบบดิจิทัลสำหรับผู้รับโทเค็นเพื่อตรวจสอบว่าโทเค็นนั้นมาจากแหล่งที่เชื่อถือได้ ใบรับรองที่ใช้สำหรับลายเซ็นดิจิทัลนี้จะถูกแลกเปลี่ยนในระหว่างกระบวนการกำหนดค่าเริ่มต้น

ประเภทของโปรโตคอล Single Sign-On (SSO)

SAML

Security Assertion Markup Language (SAML) เป็นมาตรฐานเปิดที่มีข้อมูลประจำตัวผู้ใช้และแอตทริบิวต์ในรูปแบบของเอกสาร XML เอกสาร XML นี้ได้รับการเซ็นชื่อแบบดิจิทัลโดยผู้ให้บริการข้อมูลประจำตัวและแบ่งปันกับผู้ให้บริการในระหว่างกระบวนการตรวจสอบผู้ใช้

OAuth 2.0

OAuth2อนุญาตให้แอปพลิเคชันของบุคคลที่สามอนุญาตผู้ใช้โดยการให้โทเค็นการเข้าถึง โทเค็นการเข้าถึงป้องกันไม่ให้แอปพลิเคชันภายนอกรับรหัสผ่านของผู้ใช้และข้อมูลอื่นๆ แอปพลิเคชันสามารถเข้าถึงข้อมูลผู้ใช้ที่จำกัดซึ่งอนุญาตโดยผู้ใช้เองเท่านั้น

OpenID เชื่อมต่อ

OpenID Connect เป็นชั้นข้อมูลประจำตัวที่ทำงานบน OAuth 2.0 โดยจะให้ข้อมูลโปรไฟล์พื้นฐานเกี่ยวกับผู้ใช้ปลายทางโดยระบุ RESTful API ที่ใช้ JSON เป็นรูปแบบข้อมูล

แอลดีเอพี

LDAP (Lightweight Directory Access Protocol)เป็นโปรโตคอลที่ช่วยให้ทุกคนสามารถระบุตำแหน่งองค์กร บุคคล และทรัพยากรอื่นๆ เช่น ไฟล์และอุปกรณ์ในเครือข่ายได้ เครือข่ายอาจเป็นอินเทอร์เน็ตหรืออินทราเน็ตขององค์กรก็ได้

รัศมี

RADIUS ย่อมาจาก Remote Authentication Dial-In User Service เป็นโปรโตคอลไคลเอนต์/เซิร์ฟเวอร์ที่ช่วยให้เซิร์ฟเวอร์การเข้าถึงระยะไกลสามารถสื่อสารกับเซิร์ฟเวอร์กลางเพื่อตรวจสอบสิทธิ์ผู้ใช้การโทรเข้าและอนุญาตการเข้าถึงระบบหรือบริการที่ร้องขอ

WS-สหพันธ์

WS-Federation (Web Services Federation) เป็นโปรโตคอล SSO ที่ใช้กันทั่วไปสำหรับการรับรองความถูกต้องกับบริการของ Microsoft เช่น Active Directory Federation Services (ADFS) และ Azure Active Directory กำหนดกลไกที่ใช้เพื่อเปิดใช้งานการแบ่งปันข้อมูลประจำตัวและแอ็ตทริบิวต์ของบัญชี การพิสูจน์ตัวตนผู้ใช้และการให้สิทธิ์ระหว่างแอปพลิเคชันต่างๆ

26 มกราคม 202326 มกราคม 2023

การใช้งาน Single Sign-on สำหรับแอปพลิเคชันระดับองค์กร

การใช้งาน Single Sign-on บริษัทต่างๆ มักจะประสบกับความยากลำบากในขณะที่ดำเนินการไปสู่การใช้งานการลงชื่อเพียงครั้งเดียว (SSO) หลายคนติดอยู่ที่ขั้นตอนที่หนึ่ง พยายามค้นหาประโยชน์ของ SSO แนวทางปฏิบัติที่ดีที่สุดในการใช้งาน ประเภท โปรโตคอล และสิ่งพื้นฐานอื่นๆ ฉันตัดสินใจที่จะอธิบายความหมายของการลงชื่อเพียงครั้งเดียว แบ่งปันประสบการณ์ของ MobiDev และแม้กระทั่งสร้างวงล้อใหม่สำหรับการใช้ SSO ระหว่างแอปพลิเคชันมือถือด้วยวิธีที่สะดวกที่สุด

การลงชื่อเพียงครั้งเดียว (SSO)เป็นวิธีการทางเทคนิคในการรับรองความถูกต้องที่ช่วยให้ผู้ใช้สามารถเข้าสู่ระบบด้วยข้อมูลรับรองชุดเดียวสำหรับแอปพลิเคชันและเว็บไซต์ต่างๆ เทคโนโลยีนี้ขึ้นอยู่กับการตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างแอปพลิเคชันหรือที่เรียกว่าผู้ให้บริการ และระบบการจัดการการเข้าถึง ผู้ให้บริการและระบบการจัดการการเข้าถึงใช้ใบรับรองร่วมกับข้อมูลระบุตัวตน ซึ่งในกรณีของ SSO จะใช้รูปแบบของโทเค็นที่มีอีเมล ชื่อผู้ใช้ หรือข้อมูลอื่นๆ

พูดง่ายๆ ด้วย SSO ผู้ใช้ไม่จำเป็นต้องพิมพ์ชื่อและรหัสผ่านซ้ำเมื่อสลับระหว่างแอปพลิเคชัน

สปส.มีกี่ประเภท?

SSO เป็นส่วนหนึ่งของ สถาปัตยกรรม Federated Identity Management (FIM)

โปรโตคอลที่ใช้สำหรับ SSO คืออะไร

โปรโตคอลที่ใช้สำหรับการติดตั้ง SSO ได้แก่ Security Assertion Markup Language (SAML), Web Services Federation (WS-Fed), OpenID Connect (OIDC), Lightweight Directory Access Protocol (LDAP) และ Kerberos

สิทธิประโยชน์ สปส

จากการวิจัยและการตลาด ตลาดการลงชื่อเพียงครั้งเดียวทั่วโลกคาดว่าจะสูงถึง 2.2 พันล้านดอลลาร์ภายในปี 2570 อย่างไรก็ตาม บริษัทต่าง ๆ มีความกังวลเกี่ยวกับภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้นซึ่งเกี่ยวข้องกับการเข้าถึงด้วยคลิกเดียว และพวกเขาพิจารณาการใช้งาน SSO เป็นวิธีการลดความซับซ้อนในการเข้าถึง แอปพลิเคชันและปรับปรุงประสบการณ์ผู้ใช้

สิทธิประโยชน์ของ SSO ไม่ได้สิ้นสุดที่นี่และรวมถึงประเด็นต่อไปนี้:

ลดความเหนื่อยล้าของรหัสผ่าน – ผู้ใช้ต้องต่อสู้กับการจำรหัสผ่านเดียวเท่านั้น
การทำงานร่วมกันแบบ B2B ที่มีประสิทธิภาพ – การเป็นหุ้นส่วนแบบ B2B ประสบความสำเร็จด้วยFederated SSOเนื่องจากผู้ใช้เข้าถึงบริการที่จัดหาโดยบริษัทต่างๆ ได้อย่างง่ายดาย
เพิ่มประสิทธิภาพการทำงานที่เกิดจากการเข้าสู่ระบบที่เร็วขึ้น
อัตราการยอมรับสูง – SSO เพิ่มโอกาสที่ผู้ใช้จะเปิดแอปบ่อยขึ้น

ข้อเสียเปรียบหลักคือหาก SSO ล้มเหลว ผู้ใช้จะไม่สามารถเข้าถึงระบบที่เกี่ยวข้องใดๆ ได้ สำหรับความซับซ้อนนั้นถือเป็นข้อเสียตามเงื่อนไข

ความปลอดภัยสามารถแยกรายการได้

ในแง่หนึ่ง SSO ที่มีข้อมูลประจำตัวชุดเดียวหมายความว่าในกรณีที่มีการละเมิดความปลอดภัย ผู้โจมตีจะสามารถเข้าถึงบัญชีและระบบที่เชื่อมโยง แอปพลิเคชัน และข้อมูลได้ และรอยเท้าของผู้โจมตีภายในบริษัทจะเพิ่มขึ้น

ในทางกลับกัน SSO จะลดจำนวนของพื้นผิวการโจมตี เนื่องจากผู้ใช้เข้าสู่ระบบวันละครั้งและใช้ข้อมูลรับรองเพียงชุดเดียว การรักษาความปลอดภัยในระดับที่สูงขึ้นอาจเกิดขึ้นได้หากคุณรวม SSO กับการรับรองความถูกต้องตามความเสี่ยง (RBA) ระบุพฤติกรรมที่ผิดปกติ และกำหนดให้ผู้ใช้ต้องผ่านการยืนยันเพิ่มเติม

แนวทางปฏิบัติที่ดีที่สุดในการนำ SSO ไปใช้งานสำหรับแอปพลิเคชันระดับองค์กร

SSO ดำเนินการยากหรือไม่ ภาพรวมของปัญหาคือ: การปรับใช้ SSO เป็นงานที่ซับซ้อนและใช้เวลานานสำหรับโซลูชันเดิม แต่ SSO บนคลาวด์นั้นแตกต่างออกไป ให้ฉันแบ่งปันประสบการณ์ของเราซึ่งจะให้ความกระจ่างเกี่ยวกับ SSO ในแอปพลิเคชันระดับองค์กร

จนกระทั่งเมื่อไม่นานมานี้ การตั้งค่า SSO แบบรวมศูนย์สำหรับแอปพลิเคชันแบบเนทีฟเป็นความท้าทายที่ซับซ้อน มีสองตัวเลือกสำหรับนักพัฒนาในการแสดงเนื้อหาในแอปด้วย SSO: เปลี่ยนผู้ใช้จากแอปเป็นเบราว์เซอร์ระบบ จากนั้นย้อนกลับหรือแสดงเว็บวิวในแอปเพื่อแสดงเนื้อหา html โดยตรงในแอป ตัวเลือกเหล่านี้ไม่สะดวกสำหรับผู้ใช้หรือมีปัญหาด้านความปลอดภัยและความเป็นส่วนตัว

การเกิดขึ้นของตัวเลือกที่สาม – SFSafariViewController (iOS9+) และ Chrome Custom Tabs (Android) เพิ่มตัวควบคุมเว็บเพื่อให้ข้อดีทั้งหมดของเบราว์เซอร์ระบบดั้งเดิม – สิ่งนี้เป็นประโยชน์ต่อนักพัฒนา

ประสบการณ์ของเราเกี่ยวข้องกับการใช้งาน SSO ระหว่างแอปพลิเคชันมือถือสองแอปพลิเคชันที่สร้างด้วย NativeScript เวอร์ชันต่างๆ – แอป1และแอป 2 แต่ในความเป็นจริง วิธีการที่อธิบายไว้สำหรับ SSO นั้นเหมือนกันสำหรับทั้งแอปพลิเคชันเนทีฟและข้ามแพลตฟอร์ม

App1เป็นอุปกรณ์เคลื่อนที่ ในขณะที่app2หมายถึงการรวมกันของอุปกรณ์เคลื่อนที่และเว็บ ซึ่งคาดว่าจะเกิดปัญหาเกี่ยวกับการเปลี่ยนไปใช้เวอร์ชันใหม่ ผู้ให้บริการข้อมูลประจำตัวสำหรับการให้สิทธิ์ผ่านไคลเอนต์ OpenID Connect (OIDC) มีอยู่ทั่วไปภายในแอปพลิเคชัน ซึ่งอำนวยความสะดวกในการเริ่มต้น เรามีสามตัวเลือกให้เลือก: WebView, เบราว์เซอร์ระบบ และ InAppBrowser

1. แนวทางการดำเนินการ SSO: WEBVIEW พร้อมการแบ่งปันคุกกี้

การลงชื่อเข้าใช้แอปพลิเคชันแรกจะอิงตามWebViewในขณะที่การลงชื่อเข้าใช้แอปที่สองใช้แอปพลิเคชันที่รู้จักกันดีในโลกของแอปพลิเคชันแบบไฮบริด – InAppBrowserโดยมี Chrome Custom Tabs สำหรับ Android และ SafariServices/AuthenticationServices สำหรับ iOS ภายใต้ประทุน

การวิจัยเปิดเผยตัวเลือกที่สามารถเข้าถึงได้ 3 แบบเพื่อใช้ SSO ภายในเงื่อนไขที่กำหนด แม้ว่าจะมีการระบุถึงสิ่งเดียวกันสำหรับการบันทึก – WebView (ควรมองเห็นคุกกี้ที่ใช้ร่วมกัน) การใช้งาน Single Sign-on

WebView ฝังอยู่ในหน้าจอเนทีฟของแอปพลิเคชัน (เหมือนเป็น iFrame ในเว็บ) ซึ่งสามารถรับรู้ได้ว่าเป็นข้อดีของวิธีนี้ เนื่องจากการนำทางระหว่างการบันทึกดูเป็นธรรมชาติสำหรับผู้ใช้ ภาพเคลื่อนไหวและสไตล์ไม่โดดเด่นจากภาพรวม

ปัญหาหลักของการใช้ WebView สำหรับการบันทึกคือความล่าช้าในการเรียกกลับที่เกี่ยวข้องกับการโหลดหน้าเว็บ เพื่อแก้ไขปัญหานั้น นักพัฒนาได้คิดแนวคิดของตัวเองว่าจะเข้าใจอย่างไรเมื่อโหลดแบบฟอร์มการเข้าสู่ระบบ (หน้าเว็บ) และพวกเขาอาจซ่อนตัวบ่งชี้ มิฉะนั้นจะแสดงบนหน้าจอเข้าสู่ระบบที่โหลดไว้แล้วหรือถูกซ่อนก่อนที่หน้าจอจะโหลด ความผิดพลาดนี้อาจนำไปสู่ปัญหาในการตรวจสอบแอปที่ส่งไปยัง App Store นอกจากนี้ยังมีปัญหาในการเข้าถึงคุกกี้บน Android และเป็นการยากที่จะตั้งค่าการเข้าสู่ระบบทั่วไปโดยไม่เปิดลิงก์ภายนอกที่ใช้ SSO

2. แนวทางการดำเนินการ SSO: เบราว์เซอร์ระบบ

การใช้เบราว์เซอร์ระบบอาจเป็นวิธีแก้ปัญหาที่เชื่อถือได้ แต่ก็หมายถึงการออกจากแอปพลิเคชันและเปิดเบราว์เซอร์เพื่อกรอกแบบฟอร์มเข้าสู่ระบบ แท็บที่มีการเข้าสู่ระบบจะยังคงไม่ถูกปิดในเบราว์เซอร์และสะสม อย่างไรก็ตาม แนวทางดังกล่าวนำไปปฏิบัติได้ง่าย เพราะทุกอย่างทำงานในลักษณะเดียวกับบนเว็บ และทั้งสองแอปพลิเคชันจะเปิดแบบฟอร์มการเข้าสู่ระบบในสภาพแวดล้อมเดียวกันด้วยคุกกี้เดียวกันกับที่ไคลเอนต์ OIDC ใช้เพื่อตรวจสอบผู้ใช้ และด้วยความถูกต้อง การตั้งค่าเอกลักษณ์ของเซิร์ฟเวอร์สำหรับทั้งสองแอปพลิเคชัน ในกรณีของเบราว์เซอร์ระบบ ทุกอย่างทำงานได้อย่างราบรื่นและไม่ล่าช้า แต่ผู้ใช้ไม่สะดวก

Microsoft Authenticator ไม่ถือว่าเป็นโซลูชันการใช้งาน SSO เนื่องจากในการเข้าสู่ระบบ ผู้ใช้ควรออกจากแอปพลิเคชัน ให้สิทธิ์ในแอปพลิเคชันที่สอง จากนั้นยืนยันการให้สิทธิ์ในแอปพลิเคชันแรก และอื่นๆ พูดง่ายๆ ก็คือไม่สะดวกสำหรับผู้ใช้ และแย่กว่าเบราว์เซอร์ระบบเสียอีก

3. แนวทางการดำเนินการ SSO: INAPPBROWSER

แท็บใน Android และบริการใน iOS สามารถปรับแต่งในระบบเป็นป๊อปอัปแบบเนทีฟพร้อมภาพเคลื่อนไหวและรูปลักษณ์ของแพลตฟอร์ม พวกเขาติดตามการเปลี่ยนเส้นทางและจะถูกปิดหากป้อนการเข้าสู่ระบบอย่างถูกต้อง ไม่มีปัญหาเหมือนในกรณีของ WebView แม้ว่าแบบฟอร์มการเข้าสู่ระบบจะดูแยกออกจากแอปพลิเคชันหากการออกแบบแตกต่างจากส่วนประกอบของแพลตฟอร์มดั้งเดิม นี่เป็นแนวทางที่แนะนำและปลอดภัยในการติดตั้ง SSO ในแอปพลิเคชันมือถือ

หลังจากลองผิดลองถูก เราตัดสินใจเลือกใช้ InAppBrowser มีแซนด์บ็อกซ์ทั่วไปที่มีคุกกี้อยู่ในแอปพลิเคชันเดียว ดังนั้นหากคุณใช้แอปพลิเคชันนี้แล้วเปิดลิงก์เว็บอื่นๆ ในนั้น ซึ่งควรเข้าสู่ระบบของผู้ใช้ผ่าน SSO ซึ่งหมายความว่าปัญหาจะไม่เกิดขึ้นเลย แต่ใน 2 แอปพลิเคชันที่แตกต่างกัน แซนด์บ็อกซ์เหล่านี้จะแตกต่างกัน และคุณจำเป็นต้องนำข้อมูลจากแอปพลิเคชันหนึ่งไปใส่ในอีกแอปพลิเคชันหนึ่งเพื่อใช้ SSO ระหว่างแอปพลิเคชัน

สำหรับกระบวนการแบ่งปันดังกล่าว เราใช้ที่เก็บข้อมูลพวงกุญแจใน iOS และที่เก็บข้อมูลที่ปลอดภัยใน Android เนื่องจากทั้งคู่จัดเก็บข้อมูลบนอุปกรณ์อย่างปลอดภัย พวกเขาสามารถแยกร้านค้าสำหรับหนึ่งแอปพลิเคชันหรือหลายแอปพลิเคชันที่เชื่อถือได้ แต่สิ่งนี้ต้องมีขั้นตอนการกำหนดค่าเพิ่มเติมในแต่ละแอปพลิเคชันมือถือ การใช้งาน Single Sign-on

Summing Up

กล่าวโดยสรุป บริษัทต่าง ๆ กำลังลงทุนอย่างเข้มข้นในการจัดตั้ง SSO ในขณะที่แนวทางการดำเนินงานขับเคลื่อนโดยความต้องการของพวกเขา ที่ MobiDev เรามีความเชี่ยวชาญที่เกี่ยวข้องและมองเห็นโอกาสที่ดีสำหรับการลงชื่อเพียงครั้งเดียว เนื่องจากแม้แต่Google ก็ มี SSO ที่ผสานรวมไว้ล่วงหน้าพร้อมแอปพลิเคชันระบบคลาวด์ยอดนิยมกว่า 200 รายการ เรายังใช้เวลาไปกับแนวทางของเราเองในการใช้ SSO ระหว่างแอปพลิเคชันบนมือถือ

หากคุณมีคำถามเฉพาะใดๆ เกี่ยวกับการใช้งาน SSO ในโครงการของคุณเอง โปรดอย่าลังเลที่จะถาม

26 มกราคม 202326 มกราคม 2023

เหตุใดการลงชื่อเข้าใช้เพียงครั้งเดียวจึงสำคัญต่อการรักษาความปลอดภัยของธุรกิจ

การลงชื่อครั้งเดียว (SSO) เป็นเครื่องมือตรวจสอบสิทธิ์ผู้ใช้ขององค์กรที่ช่วยให้ผู้ใช้เข้าสู่ระบบและเข้าถึงแอปพลิเคชัน เว็บไซต์ และข้อมูลต่างๆ โดยใช้ข้อมูลประจำตัวเพียงชุดเดียว (ชื่อผู้ใช้และรหัสผ่าน)

SSO เป็นโซลูชันการจัดการข้อมูลประจำตัวยอดนิยมสำหรับองค์กรที่ต้องการลดความเสี่ยงด้านความปลอดภัยโดยรอบข้อมูลผู้ใช้ ปรับปรุงประสบการณ์ผู้ใช้ ปรับปรุงการจัดการด้านไอทีและกระบวนการเข้าสู่ระบบ

องค์กรโดยเฉลี่ย ใช้บริการคลาวด์ที่แตกต่าง กันมากกว่า 1,000 บริการ และด้วยพนักงานหลายร้อยถึงหลายพันคนที่เข้าถึงบัญชีหลายบัญชีทุกวัน นั่นแปลว่าต้องใช้รหัสผ่านจำนวนมากเพื่อติดตามและปกป้อง

การจัดการบัญชีนับพันและข้อมูลผู้ใช้ที่เกี่ยวข้องอย่างปลอดภัยเป็นสิ่งที่ท้าทายสำหรับทั้งผู้ใช้และผู้ดูแลระบบไอที การลงชื่อเพียงครั้งเดียวเป็นโซลูชันหนึ่งที่องค์กรธุรกิจใช้เพื่อเพิ่มความปลอดภัยด้านไอที ปรับปรุงประสบการณ์ผู้ใช้ และลดค่าใช้จ่าย

สปส.คืออะไร?

ตามชื่อของมัน SSO ช่วยให้ผู้ใช้สามารถเข้าถึงเว็บไซต์และแอปพลิเคชันหลายรายการผ่านขั้นตอนการเข้าสู่ระบบเดียวโดยใช้ข้อมูลรับรองเพียงชุดเดียว

กล่าวอีกนัยหนึ่ง SSO ช่วยให้เข้าถึงโปรแกรมและข้อมูลที่คุณต้องการได้ง่ายขึ้นโดยการลบขั้นตอนพิเศษในการเข้าสู่ระบบและออกจากแต่ละแอปพลิเคชันแยกกัน บุคคลที่สามทำหน้าที่เป็นผู้รับรองความถูกต้องส่วนกลางแทน โดยยืนยันตัวตนของผู้ใช้โดยอัตโนมัติเมื่อพวกเขาย้ายจากหน้าหนึ่งไปยังอีกหน้าหนึ่งและไซต์หนึ่งไปยังอีกไซต์หนึ่ง

SSO มีอยู่ทั้งในสภาพแวดล้อมของผู้บริโภคและองค์กรระดับองค์กร ตัวอย่างเช่น ผู้บริโภคอาจใช้ Facebook หรือ Google เพื่อลงชื่อเข้าใช้บัญชีบนเว็บไซต์อื่นๆ แทนที่จะสร้างข้อมูลรับรองแยกต่างหาก

สิ่งนี้ทำให้กระบวนการลงชื่อเข้าใช้รวดเร็วและง่ายดาย และลดภาระในการพิสูจน์ตัวตนและที่เก็บข้อมูลประจำตัวจากเว็บไซต์ของบุคคลที่สาม

SSO เป็นโซลูชันทั่วไปสำหรับองค์กรที่พนักงานโต้ตอบกับโปรแกรมและแอปพลิเคชันต่างๆ มากมายเพื่อทำงานของตน

การลงชื่อเพียงครั้งเดียวทำงานอย่างไร

SSO ทำให้กระบวนการเข้าสู่ระบบและการรับรองความถูกต้องง่ายขึ้นสำหรับผู้ใช้ระดับองค์กร

นี่คือวิธีการทำงานของ SSO:

คุณ (ผู้ใช้) ร้องขอการเข้าถึงไซต์หรือแอปพลิเคชัน
ไซต์จะตรวจสอบเพื่อดูว่าข้อมูลประจำตัวของคุณได้รับการรับรองกับผู้ให้บริการ SSO หรือไม่ ถ้าใช่ ไซต์นั้นให้สิทธิ์คุณในการเข้าถึง ถ้าไม่ คุณจะถูกนำไปยังการเข้าสู่ระบบ SSO เพื่อป้อนข้อมูลประจำตัวของคุณ (เช่น ชื่อผู้ใช้และรหัสผ่าน)
คุณป้อนข้อมูลเข้าสู่ระบบของคุณ
โซลูชัน SSO ร้องขอการรับรองความถูกต้องจากผู้ให้บริการข้อมูลประจำตัวที่บริษัทของคุณใช้
ผู้ให้บริการข้อมูลประจำตัวยืนยันข้อมูลประจำตัวของคุณกับโซลูชัน SSO
โซลูชัน SSO จะยืนยันตัวตนของคุณไปยังเว็บไซต์เดิมและนำคุณไปยังเว็บไซต์
เมื่อคุณนำทางผ่านเว็บไซต์ ไซต์จะติดตามคุณจากหน้าหนึ่งไปยังอีกหน้าหนึ่งโดยใช้โทเค็น ยืนยันตัวตนของคุณอีกครั้งเมื่อคุณไป
หากคุณไปที่เว็บไซต์หรือแอปพลิเคชันอื่น ไซต์นั้นจะตรวจสอบตัวตนของคุณด้วยโซลูชัน SSO เนื่องจากคุณเข้าสู่ระบบแล้ว ข้อมูลประจำตัวของคุณจะได้รับการยืนยันโดยอัตโนมัติกับเว็บไซต์ใหม่ และคุณไม่ต้องลงชื่อเข้าใช้อีก การลงชื่อครั้งเดียว

SSO ทำงานคล้ายกับใบขับขี่หรือหนังสือเดินทาง ตัวอย่างเช่น หากคุณไปขึ้นเครื่องบิน ตัวแทน TSA ไม่จำเป็นต้องรู้จักคุณเป็นการส่วนตัวหรือตรวจสอบคุณจากรายชื่อภายในเพื่อยืนยันตัวตนของคุณ ข้อมูลประจำตัวของคุณได้รับการยืนยันโดยหน่วยงานกลางแล้ว (เช่น รัฐหรือรัฐบาลกลาง)

ในทำนองเดียวกัน เมื่อคุณพยายามเข้าถึงเว็บไซต์ ระบบ SSO จะรับรองตัวตนของคุณ ได้ทำการยกระดับการรับรองความถูกต้องอย่างหนักเพื่อให้เว็บไซต์สามารถไว้วางใจคุณได้

ประโยชน์ของการลงชื่อเข้าใช้เพียงครั้งเดียว

หากไม่มี SSO การตรวจสอบสิทธิ์จะดำเนินการโดยแต่ละเว็บไซต์หรือแอปพลิเคชันแยกกัน ในการทำเช่นนี้ ไซต์จะต้องรักษาฐานข้อมูลส่วนตัวของข้อมูลรับรองผู้ใช้

สำหรับองค์กรที่อาจใช้แอปพลิเคชันคลาวด์และเครือข่ายภายในองค์กรร่วมกัน ปริมาณข้อมูลผู้ใช้ที่แท้จริงอาจล้นหลาม ฝ่ายไอทีต้องจัดเก็บและจัดการข้อมูลรับรองการเข้าสู่ระบบแยกต่างหากสำหรับผู้ใช้ในองค์กรแต่ละราย (เช่น พนักงาน ผู้รับเหมา และลูกค้า) สำหรับเว็บไซต์ โปรแกรม หรือแอปพลิเคชันทุกรายการในระบบ สถานการณ์นี้ก่อให้เกิดปัญหาเล็กน้อย รวมถึงความเสี่ยงด้านความปลอดภัย ค่าใช้จ่ายในการจัดการสูง และความไร้ประสิทธิภาพ

นั่นคือที่มาของประโยชน์ของ SSO SSO ช่วยองค์กรในเรื่องต่อไปนี้:

ลดคำขอแผนกช่วยเหลือและลดค่าใช้จ่ายด้านไอที

Gartner ประมาณการว่ามากถึง 50% ของตั๋ว Help Desk ทั้งหมดเกี่ยวข้องกับการรีเซ็ตรหัสผ่าน ถึงเวลาแล้วที่องค์กรด้านไอทีของคุณสามารถลงทุนในโครงการและลำดับความสำคัญอื่นๆ ได้ และเมื่อการรีเซ็ตรหัสผ่านแต่ละครั้งทำให้องค์กรมีค่าใช้จ่ายเฉลี่ย 70 ดอลลาร์ คุณกำลังมองว่ามีราคาสูง

SSO ช่วยขจัดปัญหาเหล่านี้ไปได้มาก เมื่อผู้ใช้มีข้อมูลประจำตัวที่ต้องจดจำเพียงชุดเดียว ผู้ใช้มักจะลืมข้อมูลดังกล่าวน้อยลง ดังนั้นจึงมีโอกาสน้อยที่จะโทรหาฝ่ายไอทีเพื่อขอความช่วยเหลือ การลงชื่อครั้งเดียว

เพิ่มประสิทธิภาพและความพึงพอใจของผู้ใช้

ด้วยการเข้าสู่ระบบเพียงครั้งเดียวเพื่อจดจำ ผู้คนใช้เวลาน้อยลงในการเลื่อนดูรายการรหัสผ่านทางจิต (หรือรายการทางกายภาพ) ที่พยายามเข้าถึงทุกไซต์ที่ต้องการตลอดวันทำงาน ผลลัพธ์ที่ได้คือใช้เวลาทำงานมากขึ้นและผู้ใช้ปลายทางมีความสุขมากขึ้น

ปรับปรุงความปลอดภัย

เมื่อการประมวลผลขององค์กรเติบโตขึ้น ความเสี่ยงต่อความปลอดภัยและการปฏิบัติตามข้อกำหนดก็เพิ่มขึ้นเช่นกัน ปัจจุบัน องค์กรจำนวนมากทำงานกับทั้งระบบคลาวด์และแอปพลิเคชันภายในองค์กร การนำทางและจัดการข้อมูลในสภาพแวดล้อมเหล่านั้นมีความซับซ้อนและอาจยุ่งยากได้อย่างรวดเร็ว

ตัวอย่างเช่น เมื่อพนักงานต้องติดตามข้อมูลรับรองการเข้าสู่ระบบหลายรายการ พวกเขามักจะสร้างรหัสผ่านที่จำง่ายและคล้ายกัน แม้ว่าสิ่งนี้จะทำให้เข้าถึงบัญชีของพวกเขาได้ง่ายขึ้นอย่างรวดเร็ว แต่ก็เป็นภัยคุกคามต่อความปลอดภัย นอกจากนี้ หากคุณโฮสต์และจัดการข้อมูลประจำตัวผู้ใช้ในระบบของคุณเอง องค์กรของคุณจะเป็นเป้าหมายที่ใหญ่กว่าสำหรับแฮ็กเกอร์ที่ต้องการเข้าถึงข้อมูลผู้ใช้ที่มีค่า

SSO ช่วยลดความเสี่ยงด้านความปลอดภัยเหล่านั้น ผู้ใช้ไม่ต้องติดตามรหัสผ่านจำนวนมากอีกต่อไป และองค์กรต่างๆ สามารถถ่ายโอนข้อมูลที่ละเอียดอ่อนไปยังแพลตฟอร์ม SSO ของบุคคลที่สามได้

ข้อเสียของการลงชื่อเพียงครั้งเดียว

แม้ว่า SSO จะมีข้อดีมากมาย แต่ก็มีความท้าทายในการลงชื่อเข้าใช้เพียงครั้งเดียว:

SSO สร้างความล้มเหลวเพียงจุดเดียว

กล่าวอีกนัยหนึ่ง หากผู้ให้บริการ SSO ของคุณถูกละเมิด ระบบที่เชื่อมโยงของคุณอาจมีความเสี่ยงและถูกเปิดเผย นั่นเป็นเหตุผลว่าทำไมการบังคับใช้โปรโตคอลรหัสผ่านที่คาดเดายากและใช้มาตรการรักษาความปลอดภัยเพิ่มเติม เช่น การยืนยันตัวตนแบบสองปัจจัย (2FA) และการกำกับดูแลข้อมูลประจำตัวในทุกระดับจึงเป็นเรื่องสำคัญ

SSO ดำเนินการได้ยาก

สภาพแวดล้อมขององค์กรมักจะซับซ้อน ซึ่งหมายความว่าการกำหนดค่าและนำโซลูชัน SSO ที่รัดกุมมาใช้สำหรับองค์กรของคุณอาจใช้เวลาสักครู่

ปรึกษากับผู้มีส่วนได้ส่วนเสียจากแผนกต่างๆ เพื่อให้แน่ใจว่าคุณเข้าใจความต้องการ ความคาดหวัง และกรณีการใช้งานที่แตกต่างกัน โซลูชัน SSO ของคุณจะต้องระบุเพื่อป้องกันจุดบอดในการนำไปใช้งานของคุณ

ปัญหาความน่าเชื่อถือกับ SSO หรือผู้ให้บริการข้อมูลประจำตัวทำให้ธุรกิจของคุณหยุดชะงัก

เมื่อ SSO หรือผู้ให้บริการข้อมูลประจำตัวของคุณหยุดทำงาน คุณจะสูญเสียการเข้าถึงบัญชีของคุณจนกว่าระบบจะสำรองและทำงาน เลือกผู้ให้บริการ SSO ที่มีความน่าเชื่อถือสูงและแผนฉุกเฉินหากคุณขาดการเชื่อมต่อ

การใช้การลงชื่อเพียงครั้งเดียว

การกำหนดค่าและการใช้งานโซลูชัน SSO ขององค์กรใหม่นั้นไม่ใช่เรื่องเล็ก มีหลายส่วนที่เคลื่อนไหวและลำดับความสำคัญที่ต้องพิจารณา

ใช้ขั้นตอนและคำแนะนำต่อไปนี้เพื่อเตรียมและเปิดใช้งานโปรแกรม SSO ที่ประสบความสำเร็จ

ก่อน

ชี้แจงวัตถุประสงค์ของคุณ พิจารณา: เป้าหมายการทำงานของคุณสำหรับการดำเนินการ SSO นี้คืออะไร คุณจะวางตำแหน่งองค์กรเพื่อรองรับการเปลี่ยนแปลงการจัดการข้อมูลประจำตัวในอนาคตตามความต้องการที่เปลี่ยนแปลงไปได้อย่างไร
ระบุผู้มีส่วนได้ส่วนเสียหลักและผู้ใช้เป้าหมาย ใครบ้างที่จะใช้โซลูชั่น SSO? พวกเขาต้องการเครื่องมือหรือข้อมูลอะไรจึงจะประสบความสำเร็จ? ใครคือผู้มีส่วนได้ส่วนเสียหลัก (เช่น ผู้ให้บริการ SSO ผู้ใช้ ผู้มีอำนาจตัดสินใจ ฯลฯ)
พิจารณาตัวเลือกตามความสามารถในการปรับขนาดและการพิสูจน์อักษรในอนาคต สาเหตุหลักประการหนึ่งที่ทำให้โซลูชัน SSO ล้มเหลวเป็นเพราะไม่ได้ออกแบบและดำเนินการโดยคำนึงถึงอนาคต เมื่อคุณพิจารณาผู้ขายและตัวเลือกการกำหนดค่า ให้ประเมินทั้งแผนปัจจุบันและอนาคตของคุณ ตลอดจนความท้าทายด้านความสามารถในการปรับขนาดที่อาจเกิดขึ้นเช่น การเปลี่ยนแปลงของเทคโนโลยี

ในระหว่าง

จัดลำดับความสำคัญของแอปพลิเคชันสำหรับการผสานรวม คุณอาจต้องกำหนดค่าโซลูชัน SSO เป็นระยะๆ ตัดสินใจตั้งแต่เนิ่นๆ ว่าแอปพลิเคชันใดควรจัดลำดับความสำคัญสำหรับการนำไปปฏิบัติก่อน พิจารณาแอปพลิเคชันที่อาจมีความเสี่ยงด้านความปลอดภัยหรือการปฏิบัติตามข้อกำหนดที่สูงขึ้น
ออกแบบสถาปัตยกรรมของคุณ คุณจะเรียกใช้โซลูชัน SSO ในองค์กร ในระบบคลาวด์ หรือผ่านแพลตฟอร์มแบบไฮบริดหรือไม่ ทำซ้ำและปรับแต่งแนวทางของคุณตามต้องการ
เตรียมความพร้อมสำหรับระยะเวลาดำเนินการ การเปิดใช้ SSO จะใช้เวลา แอปพลิเคชันบางตัวจะออฟไลน์โดยสมบูรณ์ระหว่างการกำหนดค่า SSO ซึ่งจะขัดจังหวะการเข้าถึง ตรวจสอบให้แน่ใจว่าคุณมีไทม์ไลน์ที่แมปไว้เพื่อให้ผู้ใช้สามารถวางแผนสำหรับการหยุดทำงาน

หลังจาก

ทดสอบและรวบรวมความคิดเห็น เมื่อคุณใช้โซลูชัน SSO แล้ว คุณจะต้องประเมินประสิทธิภาพ ผู้ใช้ยอมรับและใช้อย่างถูกต้องหรือไม่? ถ้าไม่ ทำไมไม่? การทดสอบเบต้าโปรแกรม SSO กับกลุ่มเล็กๆ อาจเป็นประโยชน์ก่อนที่จะนำไปใช้กับทั้งองค์กร

การลงชื่อเพียงครั้งเดียวไม่ใช่สัญลักษณ์ความปลอดภัยสีเงิน แต่เป็นหนึ่งในเครื่องมือที่ดีที่สุดที่องค์กรต่างๆ มีไว้ใช้สำหรับการจำกัดภัยคุกคามด้านความปลอดภัย ปรับปรุงการปฏิบัติตามข้อกำหนดของข้อมูล และช่วยลดอาการปวดหัวเรื่องรหัสผ่านของฝ่าย IT

คาฟแกสก์

หัวข้อเอนทิตี: แหล่งที่มาของความจริง

หัวข้อเหตุการณ์: บันทึกข้อเท็จจริง

หัวข้อคำขอและการตอบสนอง: Async API

เข้าร่วมและปรับปรุงหัวข้อ

บทสรุป

การย้ายจากกระบวนการของมนุษย์ไปสู่กระบวนการของเครื่องจักร

เครื่องที่แนะนำภาพยนตร์ให้คุณ

ปัญหาที่แท้จริงคือข้อมูล

การสร้าง SSO นั้นยากอะไร

SAML มีชัยไปกว่าครึ่ง

เพย์โหลด SAML

การขาดมาตรฐานสามารถนำไปสู่ความล้มเหลวและความเปราะบางได้ง่าย

การออกแบบแอปอาจส่งผลต่อฟังก์ชันการทำงานและความปลอดภัยของ SAML

การต้อนรับองค์กรและการออกจากพนักงาน

ความท้าทายในการจัดการเซสชัน

ผู้ใช้นอกระบบ

ข้ามช่องว่างขององค์กร

สถานะการไหลและผู้พัฒนาซอฟต์แวร์

ลดการรบกวนด้วยเครื่องมือที่ดี

การออกแบบสำหรับการล่องหน

ทำงานด้วยความเร็วของความคิด

เหตุใดโครงสร้างข้อมูลจึงแตกต่างกันใน ML

สเกลาร์ เวกเตอร์ และเมทริกซ์

เทนเซอร์และคุณสมบัติของมัน

การตัดสินใจสำหรับไปป์ไลน์ข้อมูลของคุณ

ระบบ AI และการเรียนรู้ของเครื่อง

เหตุใด AI จึงเป็นจุดบอดในการรักษาความปลอดภัยทางไซเบอร์

การโจมตีโดยอนุมาน

พิษโจมตี

หลบหลีกการโจมตี

ทางข้างหน้า

ส่วนประกอบการลงชื่อเพียงครั้งเดียว (SSO):

ปัจจัยสำคัญที่ต้องรู้ก่อนดำเนินการ SSO

ประโยชน์ของการลงชื่อเพียงครั้งเดียว (SSO)

SSO มีประโยชน์ต่อผู้ใช้อย่างไร

SSO มีประโยชน์ต่อธุรกิจอย่างไร?

SSO มีข้อจำกัดอะไรบ้าง?

SSO ปลอดภัยหรือไม่

เหตุใดองค์กรจึงใช้การลงชื่อเพียงครั้งเดียว

สามารถใช้ Single Sign-On ในสถานการณ์ด้านล่าง:

การลงชื่อเพียงครั้งเดียวขององค์กร

การลงชื่อเพียงครั้งเดียวทางสังคม

โทเค็น SSO คืออะไร

ประเภทของโปรโตคอล Single Sign-On (SSO)

SAML

OAuth 2.0

OpenID เชื่อมต่อ

แอลดีเอพี

รัศมี

WS-สหพันธ์

สปส.มีกี่ประเภท?

โปรโตคอลที่ใช้สำหรับ SSO คืออะไร

สิทธิประโยชน์ สปส

แนวทางปฏิบัติที่ดีที่สุดในการนำ SSO ไปใช้งานสำหรับแอปพลิเคชันระดับองค์กร

1. แนวทางการดำเนินการ SSO: WEBVIEW พร้อมการแบ่งปันคุกกี้

2. แนวทางการดำเนินการ SSO: เบราว์เซอร์ระบบ

3. แนวทางการดำเนินการ SSO: INAPPBROWSER

Summing Up

สปส.คืออะไร?

การลงชื่อเพียงครั้งเดียวทำงานอย่างไร

ประโยชน์ของการลงชื่อเข้าใช้เพียงครั้งเดียว

ลดคำขอแผนกช่วยเหลือและลดค่าใช้จ่ายด้านไอที

เพิ่มประสิทธิภาพและความพึงพอใจของผู้ใช้

ปรับปรุงความปลอดภัย

ข้อเสียของการลงชื่อเพียงครั้งเดียว

SSO สร้างความล้มเหลวเพียงจุดเดียว

SSO ดำเนินการได้ยาก

ปัญหาความน่าเชื่อถือกับ SSO หรือผู้ให้บริการข้อมูลประจำตัวทำให้ธุรกิจของคุณหยุดชะงัก

การใช้การลงชื่อเพียงครั้งเดียว

ก่อน

ในระหว่าง

หลังจาก