單點登錄 （SSO） 是一種身份驗證服務(wù)，可幫助用戶使用一組憑據(jù)快速安全地訪問所有應(yīng)用程序。在員工需要訪問多個應(yīng)用程序才能完成工作的企業(yè)環(huán)境中，每次需要訪問時都必須為每個應(yīng)用程序輸入登錄憑據(jù)，這是一個主要的煩惱來源。這會浪費時間，妨礙生產(chǎn)力，并要求員工記住多個應(yīng)用程序的多個密碼。

簡單來說，SSO 將所有應(yīng)用程序登錄屏幕合并到一個位置，員工只需輸入一次憑據(jù)即可訪問已分配給其特定角色的所有應(yīng)用程序，從而節(jié)省時間和精力。SSO 適用于所有類型的應(yīng)用程序，無論是本地、云還是混合。此外，SSO 可以通過減少用戶需要輸入其敏感信息的位置數(shù)量來提高安全性。

SSO工作原理

SSO 通常部署為身份和訪問管理（IAM）解決方案的一部分，它使用加密令牌來驗證用戶。這是它的工作原理：

• 用戶希望訪問應(yīng)用或網(wǎng)站以幫助他們完成工作，嘗試使用 SSO 來訪問應(yīng)用或網(wǎng)站。
• 所有應(yīng)用程序和網(wǎng)站均由服務(wù)提供商授權(quán)，收到來自用戶的請求后，服務(wù)提供商現(xiàn)在想要對用戶進行身份驗證，并將 SSO 請求重定向到身份提供程序。
• 身份提供程序從服務(wù)提供商接收令牌，令牌包含有關(guān)用戶的一些信息，例如其電子郵件地址和用戶 ID，如果用戶已通過身份驗證，它將授予對所請求應(yīng)用的訪問權(quán)限，否則，系統(tǒng)會提示用戶輸入一些驗證憑據(jù)以驗證自身，這可以通過用戶名和密碼、發(fā)送到他們手機的 OTP、二維碼等。
• 驗證后，身份提供程序會將令牌發(fā)送回服務(wù)提供商，此令牌通過用戶的瀏覽器到達服務(wù)提供商。
• 此令牌通知服務(wù)提供商用戶是真實的，并為他們提供對請求的資源或應(yīng)用的訪問權(quán)限，服務(wù)提供商繼續(xù)根據(jù)在初始配置期間建立的安全配置驗證令牌。
• 驗證令牌后，用戶將獲得對服務(wù)提供商請求訪問的應(yīng)用或網(wǎng)站的訪問權(quán)限。

不同類型的單點登錄

按標準類型

SSO 有多種變體，使用的類型取決于組織的行業(yè)標準，了解組織使用哪種類型的 SSO 以及需要使用哪種類型非常重要，因為許多行業(yè)都會根據(jù)行業(yè)公認的標準進行審核。

以下是一些普遍接受的 SSO 標準：

• SAML V 2.0：SAML V2.0 是 SSO 方面著名的標準之一，它廣泛用于提供安全性和對用戶進行身份驗證，由于與HTML相似，SAML主要用于基于Web的應(yīng)用程序，使用 SAML V2.0 的缺點是它不支持本機移動應(yīng)用程序。
• OAuth2：與SAML相比，OAuth2的主要優(yōu)勢在于它支持本機移動應(yīng)用程序，許多科技巨頭，如谷歌、元維基和推特，在實施SSO時都依賴OAuth2，但是，由于它相對較新，因此很難找到具有知識和專業(yè)知識的人來實施它。
• 定制單點登錄：這些是由公司建造的，主要用于內(nèi)部用途，定制的 SSO 提供了高度的靈活性和定制性，以換取維護它們所需的更多人力和金錢資源，這種類型的SSO所基于的自定義標準通常由公司設(shè)計，以適應(yīng)自己的組織結(jié)構(gòu)并滿足特定需求。

按焦點類型

組織在建立SSO時主要關(guān)注兩個次要目標：

• 以最終用戶為中心的單點登錄：這側(cè)重于為最終用戶提供最佳用戶體驗。這種類型的 SSO 用于網(wǎng)絡(luò)不太復雜且應(yīng)用程序很少的組織。
• 以組織為中心的單點登錄：此方法通常由大型組織使用，旨在在整個組織中提供標準化體驗，并處理具有大量應(yīng)用程序的大型網(wǎng)絡(luò)。

為什么要在組織中建立 SSO

SSO 可以減少員工登錄所需資源所需的時間，SSO 還可幫助 IT 管理員輕松建立與密碼相關(guān)的規(guī)則和策略，SSO 可以幫助您的組織遵守法規(guī)，同時幫助您降低 IT 幫助臺成本。

SSO 身份驗證是簡化用戶登錄過程的好方法。借助 SSO，用戶可以使用其主憑據(jù)登錄一次，并自動對他們有權(quán)使用的所有應(yīng)用程序進行身份驗證。

使用 SSO 身份驗證有幾個好處，例如：

• 用戶只需記住一組憑據(jù)。這可以節(jié)省大量時間，并減少用戶忘記密碼或使用弱密碼的機會。
• SSO 可以通過減少存儲用戶憑據(jù)的位置數(shù)量來提高安全性，當用戶必須記住多組憑據(jù)時，他們更有可能將它們寫下來或存儲在不安全的位置，減少要管理的憑據(jù)集有助于降低憑據(jù)被盜的風險。
• SSO 允許用戶訪問所需的應(yīng)用程序，而無需執(zhí)行多個登錄步驟，從而提高工作效率，這可以為用戶節(jié)省大量時間，尤其是在他們需要定期訪問多個應(yīng)用程序時。
• SSO 可以通過減少用戶的困惑和挫敗感來改善用戶體驗，因為他們不需要學習如何對不同的應(yīng)用程序使用不同的身份驗證方法。
• SSO 可以通過減少密碼重置請求的數(shù)量來降低支持成本，當用戶必須記住多組憑據(jù)時，他們更有可能忘記密碼并需要客戶支持的幫助，減少要管理的密碼有助于減少這些請求。
• SSO 可以通過確保所有用戶都使用強密碼和雙因素身份驗證登錄來提高對安全策略的合規(guī)性，這可以幫助組織遵守 IT 法規(guī)并避免處罰。

SSO 如何幫助加強密碼安全性

使用 SSO 可以創(chuàng)造奇跡，幫助組織加強其密碼安全性。以下是 SSO 有利于加強密碼的一些主要方式：

• 用戶可以使用單個強密碼
• 公司可以實施更好的密碼策略
• 沒有重復的密碼
• 憑據(jù)管理

用戶可以使用單個強密碼

暴力攻擊是黑客試圖進入公司網(wǎng)絡(luò)的常見方式。必須記住不同應(yīng)用程序的密碼會導致人們使用容易遭受暴力攻擊的簡單密碼。使用 SSO 時，用戶只需記住其所有應(yīng)用程序的單個密碼。這有助于他們使用更強的密碼，這些密碼更能抵御暴力攻擊。

公司可以實施更好的密碼策略

由于密碼只有一個入口點，因此IT管理員可以使用用戶在創(chuàng)建密碼時必須遵守的規(guī)則。這些規(guī)則可以涉及密碼長度、密碼復雜性（如將密碼設(shè)置為字母數(shù)字）、特殊字符的使用和區(qū)分大小寫的密碼。他們還可以強制執(zhí)行有關(guān)密碼可重用性的規(guī)則。

沒有重復的密碼

必須為不同應(yīng)用程序記住不同密碼的用戶容易出現(xiàn)稱為密碼疲勞的情況。這種情況的結(jié)果是用戶開始對多個應(yīng)用程序重復使用相同的密碼。這是一個巨大的安全風險，因為一個應(yīng)用程序數(shù)據(jù)庫的破壞可能會導致黑客訪問所有用戶的應(yīng)用程序。SSO 通過將所需的登錄總數(shù)減少到 1 次來解決此問題。

憑據(jù)管理

在許多情況下，用戶的憑據(jù)由各個應(yīng)用程序和網(wǎng)站以非常雜亂無章的方式存儲在外部。這會帶來巨大的安全風險，因為它們可能會也可能不會遵循正確的憑據(jù)存儲協(xié)議。使用 SSO，憑據(jù)信息可以在內(nèi)部存儲，使其更安全，并使 IT 團隊能夠更好地控制環(huán)境。

SSO 身份驗證如何工作

• 用戶導航到服務(wù)提供商（SP），通常稱為他們要訪問的應(yīng)用程序或網(wǎng)站。
• 作為對用戶進行身份驗證的請求的一部分，SP 會向 SSO 系統(tǒng)（IdP）發(fā)送身份驗證令牌，其中包含某些用戶信息，例如用戶的電子郵件地址。
• 如果用戶之前已經(jīng)過身份驗證，IdP 將首先確定是否允許訪問 SP 應(yīng)用程序或網(wǎng)站。
• 如果用戶尚未登錄，系統(tǒng)將提示他們登錄，方法是輸入 IdP 所需的憑據(jù)，這可能只是用戶名和密碼，也可以是另一種身份驗證方法，例如指紋。
• IdP 驗證用戶的憑據(jù)后，將向 SP 發(fā)送一個令牌，確認身份驗證成功。
• 用戶的瀏覽器或應(yīng)用程序?qū)⒋肆钆苽鬏數(shù)?SP。
• 在初始配置期間在 SP 和 IdP 之間建立的信任關(guān)系用于驗證 SP 收到的令牌。
• 授予用戶對 SP（網(wǎng)站或應(yīng)用程序）的訪問權(quán)限。

SSO 身份驗證是簡化用戶登錄過程的好方法,通過使用 SSO 服務(wù)，用戶可以登錄一次即可訪問所需的所有應(yīng)用程序，而無需記住多個用戶名和密碼，但是，這種便利需要權(quán)衡，因為用戶信任 SSO 提供程序及其敏感信息，因此，選擇信譽良好的 SSO 提供商以確保您的數(shù)據(jù)安全非常重要。

AD360 提供企業(yè) SSO，使用戶只需一組憑據(jù)即可無縫、一鍵式訪問所有支持 SAML、OAuth 和 OIDC 的云應(yīng)用程序。除了 SSO 之外，它還提供自適應(yīng) MFA、自動化身份生命周期管理、基于審批的工作流等。