單點(diǎn)登錄 ( SSO ) 是一種用戶身份驗(yàn)證工具，使用戶能夠僅使用一組憑據(jù)安全地訪問多個(gè)應(yīng)用程序和服務(wù)。無(wú)論您的工作日依賴于 Slack、Asana、Google Workspace 還是 Zoom，SSO 都會(huì)為您提供一個(gè)彈出式小部件或登錄頁(yè)面，只需一個(gè)密碼即可讓您訪問每個(gè)集成的應(yīng)用程序。SSO 不是一天十二個(gè)密碼，而是安全地確保您只需要一個(gè)。

單點(diǎn)登錄結(jié)束了記住和輸入多個(gè)密碼的日子，它消除了必須重置忘記密碼的挫敗感。用戶還可以訪問一系列平臺(tái)和應(yīng)用程序，而無(wú)需每次都登錄。

SSO 是如何工作的?

SSO 建立在聯(lián)合身份的概念之上，即在受信任但自治的系統(tǒng)之間共享身份屬性。當(dāng)一個(gè)用戶被一個(gè)系統(tǒng)信任時(shí)，他們會(huì)自動(dòng)被授予訪問與該系統(tǒng)建立信任關(guān)系的所有其他用戶的訪問權(quán)限。這為現(xiàn)代 SSO 解決方案提供了基礎(chǔ)，這些解決方案通過OpenID Connect 和 SAML 2.0等協(xié)議啟用。

當(dāng)用戶使用其 SSO 登錄名登錄服務(wù)時(shí)，會(huì)創(chuàng)建一個(gè)身份驗(yàn)證令牌并將其存儲(chǔ)在他們的瀏覽器或 SSO 解決方案的服務(wù)器中。用戶隨后訪問的任何應(yīng)用程序或網(wǎng)站都將通過 SSO 服務(wù)進(jìn)行檢查，然后該服務(wù)會(huì)發(fā)送用戶的令牌以確認(rèn)其身份并為他們提供訪問權(quán)限。

SSO 的類型

在識(shí)別和使用 SSO 時(shí)，需要注意各種協(xié)議和標(biāo)準(zhǔn)。這些包括：

安全訪問標(biāo)記語(yǔ)言( SAML)：SAML是一種開放標(biāo)準(zhǔn)，可將文本編碼為機(jī)器語(yǔ)言并實(shí)現(xiàn)識(shí)別信息的交換。它已成為 SSO 的核心標(biāo)準(zhǔn)之一，用于幫助應(yīng)用程序提供商確保其身份驗(yàn)證請(qǐng)求是適當(dāng)?shù)摹AML 2.0 專門針對(duì) Web 應(yīng)用程序進(jìn)行了優(yōu)化，使信息能夠通過 Web 瀏覽器傳輸

開放授權(quán) (OAuth)：OAuth是一種開放標(biāo)準(zhǔn)的授權(quán)協(xié)議，可在應(yīng)用程序之間傳輸身份信息并將其加密為機(jī)器代碼。這使用戶能夠授予應(yīng)用程序訪問其在另一個(gè)應(yīng)用程序中的數(shù)據(jù)的權(quán)限，而無(wú)需手動(dòng)驗(yàn)證其身份——這對(duì)原生應(yīng)用程序特別有用。

OpenID Connect (OIDC)： OIDC位于 OAuth 2.0 之上，用于添加有關(guān)用戶的信息并啟用 SSO 流程。它允許跨多個(gè)應(yīng)用程序使用一個(gè)登錄會(huì)話。例如，它使用戶能夠使用他們的 Facebook 或 Google 帳戶登錄服務(wù)，而不是輸入用戶憑據(jù)。

Kerberos： Kerberos 是一種支持相互身份驗(yàn)證的協(xié)議，用戶和服務(wù)器都可以在不安全的網(wǎng)絡(luò)連接上驗(yàn)證對(duì)方的身份。它使用票證授予服務(wù)頒發(fā)令牌來(lái)驗(yàn)證用戶和軟件應(yīng)用程序(如電子郵件客戶端或 wiki 服務(wù)器)。

智能卡身份驗(yàn)證：除了傳統(tǒng)的 SSO，還有可以促進(jìn)相同過程的硬件，例如用戶插入計(jì)算機(jī)的物理智能卡設(shè)備。計(jì)算機(jī)上的軟件與智能卡上的加密密鑰交互以驗(yàn)證用戶身份。雖然智能卡非常安全并且需要 PIN 才能操作，但它們必須由用戶親自攜帶——存在丟失的風(fēng)險(xiǎn)——而且操作起來(lái)可能很昂貴。

SSO 的歷史

SSO 技術(shù)源于 1990 年代中后期幫助組織將計(jì)算機(jī)、網(wǎng)絡(luò)和服務(wù)器安全地連接在一起的本地身份工具。此時(shí)，組織開始通過 Microsoft 的 Active Directory (AD) 和輕量級(jí)目錄訪問協(xié)議 (LDAP) 等專用系統(tǒng)管理其用戶身份，然后通過本地 SSO 或Web 訪問管理 (WAM)工具保護(hù)訪問。

隨著 IT 通過遷移到云、分散在多個(gè)設(shè)備上以及面臨更復(fù)雜的網(wǎng)絡(luò)威脅而不斷發(fā)展，這些傳統(tǒng)的身份管理工具正在努力跟上步伐。IT 團(tuán)隊(duì)現(xiàn)在需要一種解決方案，為用戶提供對(duì)任何應(yīng)用程序或服務(wù)的快速、安全的單點(diǎn)登錄訪問。

SSO 的好處

部署 SSO 的組織獲得了廣泛的好處，從避免密碼回收帶來(lái)的風(fēng)險(xiǎn)到提供無(wú)縫的用戶體驗(yàn)。單點(diǎn)登錄的主要優(yōu)勢(shì)包括：

減少攻擊面： SSO 消除了密碼疲勞和不良密碼做法，這意味著您的企業(yè)立即不易受到網(wǎng)絡(luò)釣魚的攻擊。它使用戶能夠?qū)Ｗ⒂谟涀∫粋€(gè)強(qiáng)大、獨(dú)特的密碼，并減少耗時(shí)且昂貴的密碼重置。

無(wú)縫且安全的用戶訪問： SSO 可實(shí)時(shí)了解哪些用戶在何時(shí)何地訪問了應(yīng)用程序，從而使企業(yè)能夠保護(hù)其系統(tǒng)的完整性。SSO 解決方案還解決了員工丟失公司設(shè)備等安全風(fēng)險(xiǎn)，使 IT 團(tuán)隊(duì)能夠立即禁用設(shè)備對(duì)帳戶和關(guān)鍵數(shù)據(jù)的訪問。

簡(jiǎn)化的用戶訪問審計(jì)：在不斷變化的業(yè)務(wù)環(huán)境中，確保正確的人員對(duì)敏感數(shù)據(jù)和資源具有正確的訪問級(jí)別可能會(huì)很棘手。SSO 解決方案可用于根據(jù)用戶的角色、部門和資歷級(jí)別配置用戶的訪問權(quán)限。這確保了始終對(duì)訪問級(jí)別的透明度和可見性。

授權(quán)和高效的用戶：用戶越來(lái)越需要快速、無(wú)縫地訪問他們完成工作所需的應(yīng)用程序。手動(dòng)管理請(qǐng)求是一個(gè)艱苦的過程，只會(huì)讓用戶感到沮喪。SSO 身份驗(yàn)證無(wú)需手動(dòng)監(jiān)督，只需單擊一下即可立即訪問多達(dá)數(shù)千個(gè)應(yīng)用程序。

面向未來(lái)： SSO 是保護(hù)公司及其用戶安全的第一步。在 SSO 的基礎(chǔ)上，您的組織可以實(shí)施其他安全最佳實(shí)踐，例如部署多因素身份驗(yàn)證 (MFA)并連接到身份證明、風(fēng)險(xiǎn)評(píng)級(jí)和同意管理工具，以解決合規(guī)性需求并減少欺詐。從正確的 SSO 開始，您的業(yè)務(wù)為未來(lái)的安全做好了準(zhǔn)備。

SSO 安全嗎?

當(dāng)遵循單點(diǎn)登錄最佳實(shí)踐時(shí)，可靠的 SSO 解決方案可以極大地提高安全性。它確保：

IT 團(tuán)隊(duì)可以利用 SSO 通過適應(yīng)用戶行為的一致安全策略來(lái)保護(hù)用戶，同時(shí)簡(jiǎn)化用戶名和密碼的管理。

內(nèi)置安全工具自動(dòng)識(shí)別和阻止惡意登錄嘗試，提高業(yè)務(wù)網(wǎng)絡(luò)的安全性。

組織可以與 SSO 一起部署 MFA 等安全工具，并且可以快速監(jiān)督用戶訪問權(quán)限和特權(quán)。

此外，來(lái)自經(jīng)過驗(yàn)證的提供商的 SSO 解決方案應(yīng)該通過經(jīng)過驗(yàn)證的安全協(xié)議和大規(guī)模服務(wù)讓公司高枕無(wú)憂。