单点登录 (SSO) 是一种身份验证功能,允许用户使用一组登录凭据访问多个应用程序。企业通常利用 SSO 来更加简单便捷地访问各种网络、内部和云应用,从而获得更好的用户体验。同时,SSO 还能增强 IT 对用户访问的控制,减少密码相关的服务台呼叫,并改善安全性和合规性。
如今,应用程序部署在数据中心和云中,作为 SaaS 提供。所有业务应用都要求用户在访问资源前进行身份验证。在 SSO 出现之前,每当用户需要在各个应用间切换时,都需要用到一系列凭据进行登录。大多数时候,每个应用程序都拥有一套独立的凭据,继而导致用户体验差、因忘记凭据而登录失败、访问控制策略不一致,以及支持这些应用程序所需的高昂成本。
SSO 简化了用户访问应用程序和与之交互的方式。借助 SSO,用户可以使用一组凭据访问其所有的 VDI 企业、网络和 SaaS 应用,以及网络文件共享等其他企业资源,从而节省时间。
单点登录是联合身份管理 (FIM) 的一部分,联合身份管理是企业间的一种安排,使用户能够用相同的身份数据访问各个企业的网络。FIM 通常被称为身份联合。
用户身份链接到多个安全域,每个安全域都有自己的身份管理系统。只要域加入联合,用户就能在一个域中进行身份验证,并且无需再次登录即可访问其他域上的资源。
该框架允许 LinkedIn 或 Facebook 等第三方使用个人帐户信息登录,并且不会暴露个人的密码,这种框架称为 OAuth。它可以充当媒介,为服务提供只会共享指定帐户信息的令牌。用户访问应用程序时,该服务会向身份提供者发送身份验证请求,身份提供者会验证该请求并授予访问权限。
此外,还有其他身份验证协议,如 Kerberos 和安全声明标记语言 (SAML)。基于 Kerberos 的 SSO 服务会发出带时间戳的身份验证票证,即票证授予票证 (TGT),它可以获取其他应用程序的服务票证,而不会提示用户输入新凭据。基于 SAML 的 SSO 服务则可以跨安全域交换用户身份验证和授权数据,并管理用户、拥有用户目录的身份提供者和服务提供者之间的通信。
SSO 的优势可以同时惠及用户和 IT。从用户角度来看,SSO 可以缓解密码疲劳问题,使应用程序访问更快捷、简单。
对于 IT 而言,SSO 则可以帮助他们减少密码相关支持呼叫的数量。并且,自动化凭据管理还可以减轻人工管理员工访问应用和服务的负担。SSO 还使 IT 能够更轻松地为员工进行快速配置并启动 SaaS 应用。
除此以外,从安全角度来看,SSO 还可以通过减少风险凭据的数量来减少网络钓鱼等网络攻击的威胁。但是,关键在于还应实施多因素身份验证作为后援,防止密码泄露。
搜索 SSO 解决方案时,请务必始终谨记以下最佳实践。