SSO是什么

单点登录 ( SSO ) 是一种用户身份验证工具，使用户能够仅使用一组凭据安全地访问多个应用程序和服务。无论您的工作日依赖于 Slack、Asana、Google Workspace 还是 Zoom，SSO 都会为您提供一个弹出式小部件或登录页面，只需一个密码即可让您访问每个集成的应用程序。SSO 不是一天十二个密码，而是安全地确保您只需要一个。

单点登录结束了记住和输入多个密码的日子，它消除了必须重置忘记密码的挫败感。用户还可以访问一系列平台和应用程序，而无需每次都登录。

SSO 是如何工作的?

SSO 建立在联合身份的概念之上，即在受信任但自治的系统之间共享身份属性。当一个用户被一个系统信任时，他们会自动被授予访问与该系统建立信任关系的所有其他用户的访问权限。这为现代 SSO 解决方案提供了基础，这些解决方案通过OpenID Connect 和 SAML 2.0等协议启用。

当用户使用其 SSO 登录名登录服务时，会创建一个身份验证令牌并将其存储在他们的浏览器或 SSO 解决方案的服务器中。用户随后访问的任何应用程序或网站都将通过 SSO 服务进行检查，然后该服务会发送用户的令牌以确认其身份并为他们提供访问权限。

SSO 的类型

在识别和使用 SSO 时，需要注意各种协议和标准。这些包括：

安全访问标记语言( SAML)：SAML是一种开放标准，可将文本编码为机器语言并实现识别信息的交换。它已成为 SSO 的核心标准之一，用于帮助应用程序提供商确保其身份验证请求是适当的。SAML 2.0 专门针对 Web 应用程序进行了优化，使信息能够通过 Web 浏览器传输

开放授权 (OAuth)：OAuth是一种开放标准的授权协议，可在应用程序之间传输身份信息并将其加密为机器代码。这使用户能够授予应用程序访问其在另一个应用程序中的数据的权限，而无需手动验证其身份——这对原生应用程序特别有用。

OpenID Connect (OIDC)： OIDC位于 OAuth 2.0 之上，用于添加有关用户的信息并启用 SSO 流程。它允许跨多个应用程序使用一个登录会话。例如，它使用户能够使用他们的 Facebook 或 Google 帐户登录服务，而不是输入用户凭据。

Kerberos： Kerberos 是一种支持相互身份验证的协议，用户和服务器都可以在不安全的网络连接上验证对方的身份。它使用票证授予服务颁发令牌来验证用户和软件应用程序(如电子邮件客户端或 wiki 服务器)。

智能卡身份验证：除了传统的 SSO，还有可以促进相同过程的硬件，例如用户插入计算机的物理智能卡设备。计算机上的软件与智能卡上的加密密钥交互以验证用户身份。虽然智能卡非常安全并且需要 PIN 才能操作，但它们必须由用户亲自携带——存在丢失的风险——而且操作起来可能很昂贵。

SSO 的历史

SSO 技术源于 1990 年代中后期帮助组织将计算机、网络和服务器安全地连接在一起的本地身份工具。此时，组织开始通过 Microsoft 的 Active Directory (AD) 和轻量级目录访问协议 (LDAP) 等专用系统管理其用户身份，然后通过本地 SSO 或Web 访问管理 (WAM)工具保护访问。

随着 IT 通过迁移到云、分散在多个设备上以及面临更复杂的网络威胁而不断发展，这些传统的身份管理工具正在努力跟上步伐。IT 团队现在需要一种解决方案，为用户提供对任何应用程序或服务的快速、安全的单点登录访问。

SSO 的好处

部署 SSO 的组织获得了广泛的好处，从避免密码回收带来的风险到提供无缝的用户体验。单点登录的主要优势包括：

减少攻击面： SSO 消除了密码疲劳和不良密码做法，这意味着您的企业立即不易受到网络钓鱼的攻击。它使用户能够专注于记住一个强大、独特的密码，并减少耗时且昂贵的密码重置。

无缝且安全的用户访问： SSO 可实时了解哪些用户在何时何地访问了应用程序，从而使企业能够保护其系统的完整性。SSO 解决方案还解决了员工丢失公司设备等安全风险，使 IT 团队能够立即禁用设备对帐户和关键数据的访问。

简化的用户访问审计：在不断变化的业务环境中，确保正确的人员对敏感数据和资源具有正确的访问级别可能会很棘手。SSO 解决方案可用于根据用户的角色、部门和资历级别配置用户的访问权限。这确保了始终对访问级别的透明度和可见性。

授权和高效的用户：用户越来越需要快速、无缝地访问他们完成工作所需的应用程序。手动管理请求是一个艰苦的过程，只会让用户感到沮丧。SSO 身份验证无需手动监督，只需单击一下即可立即访问多达数千个应用程序。

面向未来： SSO 是保护公司及其用户安全的第一步。在 SSO 的基础上，您的组织可以实施其他安全最佳实践，例如部署多因素身份验证 (MFA)并连接到身份证明、风险评级和同意管理工具，以解决合规性需求并减少欺诈。从正确的 SSO 开始，您的业务为未来的安全做好了准备。

SSO 安全吗?

当遵循单点登录最佳实践时，可靠的 SSO 解决方案可以极大地提高安全性。它确保：

IT 团队可以利用 SSO 通过适应用户行为的一致安全策略来保护用户，同时简化用户名和密码的管理。

内置安全工具自动识别和阻止恶意登录尝试，提高业务网络的安全性。

组织可以与 SSO 一起部署 MFA 等安全工具，并且可以快速监督用户访问权限和特权。

此外，来自经过验证的提供商的 SSO 解决方案应该通过经过验证的安全协议和大规模服务让公司高枕无忧。