單點登錄 ( SSO ) 是一種用戶身份驗證工具，使用戶能夠僅使用一組憑據(jù)安全地訪問多個應(yīng)用程序和服務(wù)。無論您的工作日依賴于 Slack、Asana、Google Workspace 還是 Zoom，SSO 都會為您提供一個彈出式小部件或登錄頁面，只需一個密碼即可讓您訪問每個集成的應(yīng)用程序。SSO 不是一天十二個密碼，而是安全地確保您只需要一個。

單點登錄結(jié)束了記住和輸入多個密碼的日子，它消除了必須重置忘記密碼的挫敗感。用戶還可以訪問一系列平臺和應(yīng)用程序，而無需每次都登錄。

SSO 是如何工作的?

SSO 建立在聯(lián)合身份的概念之上，即在受信任但自治的系統(tǒng)之間共享身份屬性。當(dāng)一個用戶被一個系統(tǒng)信任時，他們會自動被授予訪問與該系統(tǒng)建立信任關(guān)系的所有其他用戶的訪問權(quán)限。這為現(xiàn)代 SSO 解決方案提供了基礎(chǔ)，這些解決方案通過OpenID Connect 和 SAML 2.0等協(xié)議啟用。

當(dāng)用戶使用其 SSO 登錄名登錄服務(wù)時，會創(chuàng)建一個身份驗證令牌并將其存儲在他們的瀏覽器或 SSO 解決方案的服務(wù)器中。用戶隨后訪問的任何應(yīng)用程序或網(wǎng)站都將通過 SSO 服務(wù)進(jìn)行檢查，然后該服務(wù)會發(fā)送用戶的令牌以確認(rèn)其身份并為他們提供訪問權(quán)限。

SSO 的類型

在識別和使用 SSO 時，需要注意各種協(xié)議和標(biāo)準(zhǔn)。這些包括：

安全訪問標(biāo)記語言( SAML)：SAML是一種開放標(biāo)準(zhǔn)，可將文本編碼為機(jī)器語言并實現(xiàn)識別信息的交換。它已成為 SSO 的核心標(biāo)準(zhǔn)之一，用于幫助應(yīng)用程序提供商確保其身份驗證請求是適當(dāng)?shù)?。SAML 2.0 專門針對 Web 應(yīng)用程序進(jìn)行了優(yōu)化，使信息能夠通過 Web 瀏覽器傳輸

開放授權(quán) (OAuth)：OAuth是一種開放標(biāo)準(zhǔn)的授權(quán)協(xié)議，可在應(yīng)用程序之間傳輸身份信息并將其加密為機(jī)器代碼。這使用戶能夠授予應(yīng)用程序訪問其在另一個應(yīng)用程序中的數(shù)據(jù)的權(quán)限，而無需手動驗證其身份——這對原生應(yīng)用程序特別有用。

OpenID Connect (OIDC)： OIDC位于 OAuth 2.0 之上，用于添加有關(guān)用戶的信息并啟用 SSO 流程。它允許跨多個應(yīng)用程序使用一個登錄會話。例如，它使用戶能夠使用他們的 Facebook 或 Google 帳戶登錄服務(wù)，而不是輸入用戶憑據(jù)。

Kerberos： Kerberos 是一種支持相互身份驗證的協(xié)議，用戶和服務(wù)器都可以在不安全的網(wǎng)絡(luò)連接上驗證對方的身份。它使用票證授予服務(wù)頒發(fā)令牌來驗證用戶和軟件應(yīng)用程序(如電子郵件客戶端或 wiki 服務(wù)器)。

智能卡身份驗證：除了傳統(tǒng)的 SSO，還有可以促進(jìn)相同過程的硬件，例如用戶插入計算機(jī)的物理智能卡設(shè)備。計算機(jī)上的軟件與智能卡上的加密密鑰交互以驗證用戶身份。雖然智能卡非常安全并且需要 PIN 才能操作，但它們必須由用戶親自攜帶——存在丟失的風(fēng)險——而且操作起來可能很昂貴。

SSO 的歷史

SSO 技術(shù)源于 1990 年代中后期幫助組織將計算機(jī)、網(wǎng)絡(luò)和服務(wù)器安全地連接在一起的本地身份工具。此時，組織開始通過 Microsoft 的 Active Directory (AD) 和輕量級目錄訪問協(xié)議 (LDAP) 等專用系統(tǒng)管理其用戶身份，然后通過本地 SSO 或Web 訪問管理 (WAM)工具保護(hù)訪問。

隨著 IT 通過遷移到云、分散在多個設(shè)備上以及面臨更復(fù)雜的網(wǎng)絡(luò)威脅而不斷發(fā)展，這些傳統(tǒng)的身份管理工具正在努力跟上步伐。IT 團(tuán)隊現(xiàn)在需要一種解決方案，為用戶提供對任何應(yīng)用程序或服務(wù)的快速、安全的單點登錄訪問。

SSO 的好處

部署 SSO 的組織獲得了廣泛的好處，從避免密碼回收帶來的風(fēng)險到提供無縫的用戶體驗。單點登錄的主要優(yōu)勢包括：

減少攻擊面： SSO 消除了密碼疲勞和不良密碼做法，這意味著您的企業(yè)立即不易受到網(wǎng)絡(luò)釣魚的攻擊。它使用戶能夠?qū)Ｗ⒂谟涀∫粋€強(qiáng)大、獨特的密碼，并減少耗時且昂貴的密碼重置。

無縫且安全的用戶訪問： SSO 可實時了解哪些用戶在何時何地訪問了應(yīng)用程序，從而使企業(yè)能夠保護(hù)其系統(tǒng)的完整性。SSO 解決方案還解決了員工丟失公司設(shè)備等安全風(fēng)險，使 IT 團(tuán)隊能夠立即禁用設(shè)備對帳戶和關(guān)鍵數(shù)據(jù)的訪問。

簡化的用戶訪問審計：在不斷變化的業(yè)務(wù)環(huán)境中，確保正確的人員對敏感數(shù)據(jù)和資源具有正確的訪問級別可能會很棘手。SSO 解決方案可用于根據(jù)用戶的角色、部門和資歷級別配置用戶的訪問權(quán)限。這確保了始終對訪問級別的透明度和可見性。

授權(quán)和高效的用戶：用戶越來越需要快速、無縫地訪問他們完成工作所需的應(yīng)用程序。手動管理請求是一個艱苦的過程，只會讓用戶感到沮喪。SSO 身份驗證無需手動監(jiān)督，只需單擊一下即可立即訪問多達(dá)數(shù)千個應(yīng)用程序。

面向未來： SSO 是保護(hù)公司及其用戶安全的第一步。在 SSO 的基礎(chǔ)上，您的組織可以實施其他安全最佳實踐，例如部署多因素身份驗證 (MFA)并連接到身份證明、風(fēng)險評級和同意管理工具，以解決合規(guī)性需求并減少欺詐。從正確的 SSO 開始，您的業(yè)務(wù)為未來的安全做好了準(zhǔn)備。

SSO 安全嗎?

當(dāng)遵循單點登錄最佳實踐時，可靠的 SSO 解決方案可以極大地提高安全性。它確保：

IT 團(tuán)隊可以利用 SSO 通過適應(yīng)用戶行為的一致安全策略來保護(hù)用戶，同時簡化用戶名和密碼的管理。

內(nèi)置安全工具自動識別和阻止惡意登錄嘗試，提高業(yè)務(wù)網(wǎng)絡(luò)的安全性。

組織可以與 SSO 一起部署 MFA 等安全工具，并且可以快速監(jiān)督用戶訪問權(quán)限和特權(quán)。

此外，來自經(jīng)過驗證的提供商的 SSO 解決方案應(yīng)該通過經(jīng)過驗證的安全協(xié)議和大規(guī)模服務(wù)讓公司高枕無憂。