單點登錄 （SSO） 是一種身份驗證服務(wù)，可幫助用戶使用一組憑據(jù)快速安全地訪問所有應(yīng)用程序。在員工需要訪問多個應(yīng)用程序才能完成工作的企業(yè)環(huán)境中，每次需要訪問時都必須為每個應(yīng)用程序輸入登錄憑據(jù)，這是一個主要的煩惱來源。這會浪費時間，妨礙生產(chǎn)力，并要求員工記住多個應(yīng)用程序的多個密碼。

簡單來說，SSO 將所有應(yīng)用程序登錄屏幕合并到一個位置，員工只需輸入一次憑據(jù)即可訪問已分配給其特定角色的所有應(yīng)用程序，從而節(jié)省時間和精力。SSO 適用于所有類型的應(yīng)用程序，無論是本地、云還是混合。此外，SSO 可以通過減少用戶需要輸入其敏感信息的位置數(shù)量來提高安全性。

SSO工作原理

SSO 通常部署為身份和訪問管理（IAM）解決方案的一部分，它使用加密令牌來驗證用戶。這是它的工作原理：

• 用戶希望訪問應(yīng)用或網(wǎng)站以幫助他們完成工作，嘗試使用 SSO 來訪問應(yīng)用或網(wǎng)站。
• 所有應(yīng)用程序和網(wǎng)站均由服務(wù)提供商授權(quán)，收到來自用戶的請求后，服務(wù)提供商現(xiàn)在想要對用戶進(jìn)行身份驗證，并將 SSO 請求重定向到身份提供程序。
• 身份提供程序從服務(wù)提供商接收令牌，令牌包含有關(guān)用戶的一些信息，例如其電子郵件地址和用戶 ID，如果用戶已通過身份驗證，它將授予對所請求應(yīng)用的訪問權(quán)限，否則，系統(tǒng)會提示用戶輸入一些驗證憑據(jù)以驗證自身，這可以通過用戶名和密碼、發(fā)送到他們手機(jī)的 OTP、二維碼等。
• 驗證后，身份提供程序會將令牌發(fā)送回服務(wù)提供商，此令牌通過用戶的瀏覽器到達(dá)服務(wù)提供商。
• 此令牌通知服務(wù)提供商用戶是真實的，并為他們提供對請求的資源或應(yīng)用的訪問權(quán)限，服務(wù)提供商繼續(xù)根據(jù)在初始配置期間建立的安全配置驗證令牌。
• 驗證令牌后，用戶將獲得對服務(wù)提供商請求訪問的應(yīng)用或網(wǎng)站的訪問權(quán)限。

不同類型的單點登錄

按標(biāo)準(zhǔn)類型

SSO 有多種變體，使用的類型取決于組織的行業(yè)標(biāo)準(zhǔn)，了解組織使用哪種類型的 SSO 以及需要使用哪種類型非常重要，因為許多行業(yè)都會根據(jù)行業(yè)公認(rèn)的標(biāo)準(zhǔn)進(jìn)行審核。

以下是一些普遍接受的 SSO 標(biāo)準(zhǔn)：

• SAML V 2.0：SAML V2.0 是 SSO 方面著名的標(biāo)準(zhǔn)之一，它廣泛用于提供安全性和對用戶進(jìn)行身份驗證，由于與HTML相似，SAML主要用于基于Web的應(yīng)用程序，使用 SAML V2.0 的缺點是它不支持本機(jī)移動應(yīng)用程序。
• OAuth2：與SAML相比，OAuth2的主要優(yōu)勢在于它支持本機(jī)移動應(yīng)用程序，許多科技巨頭，如谷歌、元維基和推特，在實施SSO時都依賴OAuth2，但是，由于它相對較新，因此很難找到具有知識和專業(yè)知識的人來實施它。
• 定制單點登錄：這些是由公司建造的，主要用于內(nèi)部用途，定制的 SSO 提供了高度的靈活性和定制性，以換取維護(hù)它們所需的更多人力和金錢資源，這種類型的SSO所基于的自定義標(biāo)準(zhǔn)通常由公司設(shè)計，以適應(yīng)自己的組織結(jié)構(gòu)并滿足特定需求。

按焦點類型

組織在建立SSO時主要關(guān)注兩個次要目標(biāo)：

• 以最終用戶為中心的單點登錄：這側(cè)重于為最終用戶提供最佳用戶體驗。這種類型的 SSO 用于網(wǎng)絡(luò)不太復(fù)雜且應(yīng)用程序很少的組織。
• 以組織為中心的單點登錄：此方法通常由大型組織使用，旨在在整個組織中提供標(biāo)準(zhǔn)化體驗，并處理具有大量應(yīng)用程序的大型網(wǎng)絡(luò)。

為什么要在組織中建立 SSO

SSO 可以減少員工登錄所需資源所需的時間，SSO 還可幫助 IT 管理員輕松建立與密碼相關(guān)的規(guī)則和策略，SSO 可以幫助您的組織遵守法規(guī)，同時幫助您降低 IT 幫助臺成本。

SSO 身份驗證是簡化用戶登錄過程的好方法。借助 SSO，用戶可以使用其主憑據(jù)登錄一次，并自動對他們有權(quán)使用的所有應(yīng)用程序進(jìn)行身份驗證。

使用 SSO 身份驗證有幾個好處，例如：

• 用戶只需記住一組憑據(jù)。這可以節(jié)省大量時間，并減少用戶忘記密碼或使用弱密碼的機(jī)會。
• SSO 可以通過減少存儲用戶憑據(jù)的位置數(shù)量來提高安全性，當(dāng)用戶必須記住多組憑據(jù)時，他們更有可能將它們寫下來或存儲在不安全的位置，減少要管理的憑據(jù)集有助于降低憑據(jù)被盜的風(fēng)險。
• SSO 允許用戶訪問所需的應(yīng)用程序，而無需執(zhí)行多個登錄步驟，從而提高工作效率，這可以為用戶節(jié)省大量時間，尤其是在他們需要定期訪問多個應(yīng)用程序時。
• SSO 可以通過減少用戶的困惑和挫敗感來改善用戶體驗，因為他們不需要學(xué)習(xí)如何對不同的應(yīng)用程序使用不同的身份驗證方法。
• SSO 可以通過減少密碼重置請求的數(shù)量來降低支持成本，當(dāng)用戶必須記住多組憑據(jù)時，他們更有可能忘記密碼并需要客戶支持的幫助，減少要管理的密碼有助于減少這些請求。
• SSO 可以通過確保所有用戶都使用強(qiáng)密碼和雙因素身份驗證登錄來提高對安全策略的合規(guī)性，這可以幫助組織遵守 IT 法規(guī)并避免處罰。

SSO 如何幫助加強(qiáng)密碼安全性

使用 SSO 可以創(chuàng)造奇跡，幫助組織加強(qiáng)其密碼安全性。以下是 SSO 有利于加強(qiáng)密碼的一些主要方式：

• 用戶可以使用單個強(qiáng)密碼
• 公司可以實施更好的密碼策略
• 沒有重復(fù)的密碼
• 憑據(jù)管理

用戶可以使用單個強(qiáng)密碼

暴力攻擊是黑客試圖進(jìn)入公司網(wǎng)絡(luò)的常見方式。必須記住不同應(yīng)用程序的密碼會導(dǎo)致人們使用容易遭受暴力攻擊的簡單密碼。使用 SSO 時，用戶只需記住其所有應(yīng)用程序的單個密碼。這有助于他們使用更強(qiáng)的密碼，這些密碼更能抵御暴力攻擊。

公司可以實施更好的密碼策略

由于密碼只有一個入口點，因此IT管理員可以使用用戶在創(chuàng)建密碼時必須遵守的規(guī)則。這些規(guī)則可以涉及密碼長度、密碼復(fù)雜性（如將密碼設(shè)置為字母數(shù)字）、特殊字符的使用和區(qū)分大小寫的密碼。他們還可以強(qiáng)制執(zhí)行有關(guān)密碼可重用性的規(guī)則。

沒有重復(fù)的密碼

必須為不同應(yīng)用程序記住不同密碼的用戶容易出現(xiàn)稱為密碼疲勞的情況。這種情況的結(jié)果是用戶開始對多個應(yīng)用程序重復(fù)使用相同的密碼。這是一個巨大的安全風(fēng)險，因為一個應(yīng)用程序數(shù)據(jù)庫的破壞可能會導(dǎo)致黑客訪問所有用戶的應(yīng)用程序。SSO 通過將所需的登錄總數(shù)減少到 1 次來解決此問題。

憑據(jù)管理

在許多情況下，用戶的憑據(jù)由各個應(yīng)用程序和網(wǎng)站以非常雜亂無章的方式存儲在外部。這會帶來巨大的安全風(fēng)險，因為它們可能會也可能不會遵循正確的憑據(jù)存儲協(xié)議。使用 SSO，憑據(jù)信息可以在內(nèi)部存儲，使其更安全，并使 IT 團(tuán)隊能夠更好地控制環(huán)境。

SSO 身份驗證如何工作

• 用戶導(dǎo)航到服務(wù)提供商（SP），通常稱為他們要訪問的應(yīng)用程序或網(wǎng)站。
• 作為對用戶進(jìn)行身份驗證的請求的一部分，SP 會向 SSO 系統(tǒng)（IdP）發(fā)送身份驗證令牌，其中包含某些用戶信息，例如用戶的電子郵件地址。
• 如果用戶之前已經(jīng)過身份驗證，IdP 將首先確定是否允許訪問 SP 應(yīng)用程序或網(wǎng)站。
• 如果用戶尚未登錄，系統(tǒng)將提示他們登錄，方法是輸入 IdP 所需的憑據(jù)，這可能只是用戶名和密碼，也可以是另一種身份驗證方法，例如指紋。
• IdP 驗證用戶的憑據(jù)后，將向 SP 發(fā)送一個令牌，確認(rèn)身份驗證成功。
• 用戶的瀏覽器或應(yīng)用程序?qū)⒋肆钆苽鬏數(shù)?SP。
• 在初始配置期間在 SP 和 IdP 之間建立的信任關(guān)系用于驗證 SP 收到的令牌。
• 授予用戶對 SP（網(wǎng)站或應(yīng)用程序）的訪問權(quán)限。

SSO 身份驗證是簡化用戶登錄過程的好方法,通過使用 SSO 服務(wù)，用戶可以登錄一次即可訪問所需的所有應(yīng)用程序，而無需記住多個用戶名和密碼，但是，這種便利需要權(quán)衡，因為用戶信任 SSO 提供程序及其敏感信息，因此，選擇信譽(yù)良好的 SSO 提供商以確保您的數(shù)據(jù)安全非常重要。

AD360 提供企業(yè) SSO，使用戶只需一組憑據(jù)即可無縫、一鍵式訪問所有支持 SAML、OAuth 和 OIDC 的云應(yīng)用程序。除了 SSO 之外，它還提供自適應(yīng) MFA、自動化身份生命周期管理、基于審批的工作流等。