SSO单点登录系统的定义

什么是单点登录?

单点登录 (SSO) 是一种集中式会话和用户身份验证服务，其中一组登录凭据可用于访问多个应用程序。它的美在于它的简单;该服务在一个指定的平台上对您进行身份验证，使您无需每次登录和退出即可使用各种服务。

在最常见的安排中，身份提供者和服务提供者通过交换数字证书和元数据建立信任关系，并通过安全断言标记语言 (SAML)、OAuth或 OpenID 等开放标准相互通信。

如果实施得当，SSO 可以极大地提高生产力、IT 监控和管理以及安全控制。使用一个安全令牌(用户名和密码对)，管理员可以启用和禁用用户对多个系统、平台、应用程序和其他资源的访问。SSO 还降低了密码丢失、遗忘或弱密码的风险。

单点登录术语

您需要了解 SSO 术语中的三个关键术语：

服务提供商：在 SSO 上下文中，这是用户可能想要登录的应用程序或网站——从电子邮件客户端到银行网站再到网络共享的任何内容。大多数像这样的平台都将包含自己的功能，用于在用户独立时对用户进行身份验证，但 SSO 并非如此。

身份提供者：使用 SSO，身份验证用户的责任由身份提供者承担——通常是 SSO 平台本身。当用户尝试访问服务提供者时，服务提供者将与身份提供者协商，以确保用户已经证明他们是他们声称的身份。服务提供者可以围绕身份验证的工作方式设置参数：例如，它可以要求身份提供者使用双因素身份验证(2FA) 或生物识别。身份提供者将要求用户登录，或者，如果他们最近登录过，可以简单地让服务提供者知道，而不会进一步打扰用户。

令牌：这些是经过数字签名以确保相互信任的结构化信息的小型集合，它们是服务和身份提供者进行通信的媒介。身份提供者将通过这些令牌告诉服务提供者用户已通过身份验证——但至关重要的是，这些令牌不包括用户密码或生物特征数据等身份验证数据。因此，即使令牌被攻击者截获或服务提供商的系统遭到破坏，用户的密码和身份仍然是安全的。用户还可以为使用该身份提供者的任何服务提供者使用相同的登录凭据。

单点登录示例

想象一下，您是单点登录环境中的用户，并且您正试图访问服务器上的某些资源。SSO 工作方式的事件顺序如下：

您尝试访问服务提供商——同样，这通常是您想要访问的应用程序或网站。

作为对用户进行身份验证的请求的一部分，服务提供商会向身份提供商发送一个包含您的一些信息(例如您的电子邮件地址)的令牌，身份提供商是您的 SSO 系统所扮演的角色。

身份提供者首先检查您是否已经通过身份验证，在这种情况下，它将授予您访问服务提供者应用程序的权限并跳到第 5 步。

如果您尚未登录，系统会提示您提供身份提供者请求的任何凭据。

验证这些凭据后，身份提供者将向服务提供者发送一个令牌，确认它已对您进行身份验证。

此令牌通过您的浏览器传递给服务提供商。

一旦收到令牌，就会根据在初始配置期间在服务提供者和身份提供者之间建立的信任关系来验证令牌。

用户被授予访问服务提供商的权限。