單點登錄 (SSO) 是一種會話和用戶身份驗證服務(wù)，它允許用戶使用一組登錄憑據(jù)(例如，名稱和密碼)來訪問多個應(yīng)用程序。企業(yè)、小型組織和個人可以使用 SSO 來簡化各種用戶名和密碼的管理。

在基本的 Web SSO 服務(wù)中，應(yīng)用程序服務(wù)器上的代理模塊從專用 SSO 策略服務(wù)器檢索單個用戶的特定身份驗證憑據(jù)，同時根據(jù)用戶存儲庫(例如輕量級目錄訪問協(xié)議 ( LDAP ) 目錄)對用戶進(jìn)行身份驗證. 該服務(wù)對用戶被授予權(quán)限的所有應(yīng)用程序的最終用戶進(jìn)行身份驗證，并消除未來在同一會話期間對單個應(yīng)用程序的密碼提示。

單點登錄的工作原理

單點登錄是一種聯(lián)合身份管理 ( FIM ) 安排，使用這種系統(tǒng)有時稱為 身份聯(lián)合。 OAuth代表開放授權(quán)，發(fā)音為“oh-auth”，是一種框架，它使最終用戶的帳戶信息能夠被 Facebook 等第三方服務(wù)使用，而不會暴露用戶的密碼。

OAuth 代表最終用戶充當(dāng)中介，通過向服務(wù)提供訪問令牌來授權(quán)共享特定帳戶信息。當(dāng)用戶嘗試從服務(wù)提供者訪問應(yīng)用程序時，服務(wù)提供者將向身份提供者發(fā)送請求進(jìn)行身份驗證。然后服務(wù)提供商將驗證身份驗證并將用戶登錄。

SSO 配置的類型

一些 SSO 服務(wù)使用協(xié)議，例如 Kerberos和安全斷言標(biāo)記語言 ( SAML )。

SAML 是一種可擴(kuò)展標(biāo)記語言 (XML) 標(biāo)準(zhǔn)，有助于跨安全域交換用戶身份驗證和授權(quán)數(shù)據(jù)?；?SAML 的 SSO 服務(wù)涉及用戶、維護(hù)用戶目錄的身份提供者和服務(wù)提供者之間的通信。

在基于 Kerberos 的設(shè)置中，一旦提供了用戶憑據(jù)，就會頒發(fā)一個授予票證的票證 ( TGT )。TGT 為用戶希望訪問的其他應(yīng)用程序獲取服務(wù)票證，而不要求用戶重新輸入憑據(jù)。

基于智能卡的 SSO 將要求最終用戶使用持有登錄憑據(jù)的卡進(jìn)行首次登錄。使用該卡后，用戶無需重新輸入用戶名或密碼。SSO 智能卡將存儲證書或密碼。

安全風(fēng)險和 SSO

雖然單點登錄對用戶來說是一種便利，但它會給企業(yè)安全帶來風(fēng)險。獲得對用戶 SSO 憑據(jù)的控制權(quán)的攻擊者將被授予訪問用戶有權(quán)訪問的每個應(yīng)用程序的權(quán)限，從而增加了潛在損害的數(shù)量。為了避免惡意訪問，SSO 實施的各個方面都必須與身份治理相結(jié)合。組織還可以通過 SSO 使用雙因素身份驗證 ( 2FA ) 或多因素身份驗證 ( MFA ) 來提高安全性。

社交單點登錄

Google、LinkedIn、Twitter 和 Facebook 提供流行的 SSO 服務(wù)，使最終用戶能夠使用其社交媒體身份驗證憑據(jù)登錄到第三方應(yīng)用程序。盡管社交單點登錄對用戶來說是一種便利，但它可能會帶來安全風(fēng)險，因為它會產(chǎn)生可被攻擊者利用的單點故障。

許多安全專家建議最終用戶不要完全使用社交 SSO 服務(wù)，因為一旦攻擊者控制了用戶的 SSO 憑證，他們將能夠訪問使用相同憑證的所有其他應(yīng)用程序。

蘋果最近推出了自己的單點登錄服務(wù)，并將其定位為比谷歌、Facebook、LinkedIn 和 Twitter 提供的 SSO 選項更私密的替代方案。這項名為“Sign in with Apple”的新產(chǎn)品預(yù)計將限制第三方服務(wù)可以訪問的數(shù)據(jù)。Apple 的 SSO 還將通過要求用戶在所有 Apple ID 帳戶上使用 2FA 以支持與 iOS 設(shè)備上的 Face ID 和 Touch ID 集成來增強(qiáng)安全性。

企業(yè)單點登錄

企業(yè)單點登錄 (eSSO) 軟件產(chǎn)品和服務(wù)是具有客戶端和服務(wù)器組件的密碼管理器，可通過重放用戶憑據(jù)將用戶登錄到目標(biāo)應(yīng)用程序。這些憑據(jù)幾乎總是用戶名和密碼;無需修改目標(biāo)應(yīng)用程序即可使用 eSSO 系統(tǒng)。

SSO 的優(yōu)缺點

SSO 的優(yōu)點包括：

它使用戶能夠記住和管理每個應(yīng)用程序的更少密碼和用戶名。

它簡化了登錄和使用應(yīng)用程序的過程——無需重新輸入密碼。

它減少了網(wǎng)絡(luò)釣魚的機(jī)會。

它可以減少有關(guān) IT幫助臺密碼的投訴或麻煩。

SSO 的缺點包括：

它沒有解決每個應(yīng)用程序登錄可能需要的某些安全級別。

如果可用性丟失，則用戶將被鎖定在連接到 SSO 的多個系統(tǒng)之外。

如果未經(jīng)授權(quán)的用戶獲得訪問權(quán)限，那么他們可能獲得對多個應(yīng)用程序的訪問權(quán)限。