什么是单点登录 (SSO)？

单点登录 (SSO) 是一种身份验证功能，允许用户使用一组登录凭据访问多个应用程序。企业通常利用 SSO 来更加简单便捷地访问各种网络、内部和云应用，从而获得更好的用户体验。同时，SSO 还能增强 IT 对用户访问的控制，减少密码相关的服务台呼叫，并改善安全性和合规性。

为什么要使用单点登录？

如今，应用程序部署在数据中心和云中，作为 SaaS 提供。所有业务应用都要求用户在访问资源前进行身份验证。在 SSO 出现之前，每当用户需要在各个应用间切换时，都需要用到一系列凭据进行登录。大多数时候，每个应用程序都拥有一套独立的凭据，继而导致用户体验差、因忘记凭据而登录失败、访问控制策略不一致，以及支持这些应用程序所需的高昂成本。

SSO 简化了用户访问应用程序和与之交互的方式。借助 SSO，用户可以使用一组凭据访问其所有的 VDI 企业、网络和 SaaS 应用，以及网络文件共享等其他企业资源，从而节省时间。

单点登录的工作原理是什么？

单点登录是联合身份管理 (FIM) 的一部分，联合身份管理是企业间的一种安排，使用户能够用相同的身份数据访问各个企业的网络。FIM 通常被称为身份联合。

用户身份链接到多个安全域，每个安全域都有自己的身份管理系统。只要域加入联合，用户就能在一个域中进行身份验证，并且无需再次登录即可访问其他域上的资源。

该框架允许 LinkedIn 或 Facebook 等第三方使用个人帐户信息登录，并且不会暴露个人的密码，这种框架称为 OAuth。它可以充当媒介，为服务提供只会共享指定帐户信息的令牌。用户访问应用程序时，该服务会向身份提供者发送身份验证请求，身份提供者会验证该请求并授予访问权限。

此外，还有其他身份验证协议，如 Kerberos 和安全声明标记语言 (SAML)。基于 Kerberos 的 SSO 服务会发出带时间戳的身份验证票证，即票证授予票证 (TGT)，它可以获取其他应用程序的服务票证，而不会提示用户输入新凭据。基于 SAML 的 SSO 服务则可以跨安全域交换用户身份验证和授权数据，并管理用户、拥有用户目录的身份提供者和服务提供者之间的通信。

单点登录有哪些优势？

SSO 的优势可以同时惠及用户和 IT。从用户角度来看，SSO 可以缓解密码疲劳问题，使应用程序访问更快捷、简单。

对于 IT 而言，SSO 则可以帮助他们减少密码相关支持呼叫的数量。并且，自动化凭据管理还可以减轻人工管理员工访问应用和服务的负担。SSO 还使 IT 能够更轻松地为员工进行快速配置并启动 SaaS 应用。

除此以外，从安全角度来看，SSO 还可以通过减少风险凭据的数量来减少网络钓鱼等网络攻击的威胁。但是，关键在于还应实施多因素身份验证作为后援，防止密码泄露。   

单点登录最佳实践

搜索 SSO 解决方案时，请务必始终谨记以下最佳实践。

1. 访问任何应用程序。部分 SSO 解决方案会受到其涵盖的应用程序范围的限制。某些内部部署解决方案只能为网络和企业应用提供 SSO，而不支持 VDI 或 SaaS 应用。另一方面，部分 IDaaS 供应商也只面向云和 SaaS 应用提供 SSO，而不支持内部部署应用程序。评估 SSO 解决方案时，您需要优先考虑的不仅仅是为所有 VDI、企业、网络和 SaaS 应用提供 SSO 体验的能力，而且还有通过网络访问网络文件共享等其他公司资源的能力。
   
2. 在访问 SaaS 应用时保护用户身份。SaaS 应用位于数据中心网络之外。为向这些应用提供 SSO，许多解决方案都要求客户将其用户目录迁移到云端。这对许多企业客户而言都是一个问题，并且也是一个高风险任务，因此，您的解决方案应该提供将用户目录保留在本地的选项。
   
3. 与多因素身份认证机制集成。快速正确地识别任何用户的身份并授予其访问公司资源的权限至关重要。因此，企业客户不应只依靠用户名和密码，还应寻找一款能够灵活利用基于最终用户设备状态、用户位置、访问的应用等身份验证方案的解决方案。所以，选择一款支持任何身份验证机制和身份验证协议（如 RADIUS、Kerberos、Microsoft NTLM、证书服务等）的 SSO 解决方案至关重要。
4. 监测和故障排除工具。您的 SSO 解决方案应包含能够查找所有应用程序的性能问题的监测工具，无论应用程序是在数据中心、云端，还是以 SaaS 提供都不例外，这样一来，您就能够快速解决问题。

其他资源

• 单点登录解决方案需要考虑的 5 点
• 面向 SAAS 应用的 SSO
• SSO 和远程访问
• 在 SAAS 应用上使用单点登录