单点登录 (SSO)
传统上,登录用户账户需要两个登录凭据:用户名和密码。但是现在,有数十种应用程序、资源和服务需要考虑,提供安全访问并不是那么简单。
好在,客户和员工无需记住或管理多个密码,只需使用一组用户凭据即可访问基本系统。简而言之,这就是单点登录 (SSO)。
请继续阅读以了解有关单点登录身份验证的所有信息,包括其重要性、工作原理以及如何保护您的单点登录设置。
什么是单点登录?
单点登录是一种联合身份管理功能,使用户只需一组登录凭据即可访问多个应用程序。例如,当员工输入身份凭据以登录其工作站时,他们也可以通过单点登录访问其应用程序、软件、系统和基于云的资源。
同样,假设有人登录了像 Gmail 这样的 Google 服务,单点登录会自动对他们进行身份验证,允许他们的用户账户访问其他 Google 应用程序,例如 YouTube 或 Google Sheets。此外,如果他们从其中任何应用程序中退出登录,则也会自动从其余应用程序中退出登录。
单点登录为什么很重要?
单点登录解决方案的核心是身份验证服务,它是身份和访问管理 (IAM) 的关键部分。因此,它也是零信任安全模型尤为有价值的基础。零信任安全模型是一种倡导反对隐式信任,需要持续进行用户身份验证的框架。
为什么这很重要?如果系统不知道用户或实体是谁,就无法允许或限制他们的操作,从而造成重大的数据安全风险。随着云应用程序和服务的激增,每个应用程序和服务都需要一组自己的用户凭据,导致这一问题愈发严峻。
根据最近估计,一家企业平均会使用 210 种不同的协作和云服务,而每位员工在工作中平均会使用 36 种云服务。需要管理的密码有很多,但遗憾的是,许多组织的 IT 基础结构过于分散,无法对其进行适当的管理。
若使用单点登录,这一问题便可迎刃而解。将多个密码缩减为一组登录凭据不仅可以改善用户体验,还可以改善总体网络安全情况。
SSO 有何优势?
实施单点登录可以为用户、企业和客户带来多种好处。例如:
提升用户体验、工作效率和成本节约
将多个密码合并为一组统一的用户凭据可以简化登录流程,使员工能够尽快利用资源。这在混合工作环境中尤其重要,因为在这种环境中,越来越多的最重要应用程序位于本地或云端。
这种加速的工作流程最终会使员工工作效率提高。更好的是,即使像单点登录这样的方法仅节省一小部分时间,也可以在财务方面产生切实影响。研究表明,为员工节省三分钟的时间最终可以为一家拥有 5000 名员工的公司每年节省约 150 万美元 。
此外,单点登录解决方案可以最大限度地减少非生产性任务,例如 IT 服务台的重置密码要求。
通过加强密码强度来提高安全性
至少 45% 的泄露事件是由登录凭据泄露造成的。在大多数情况下,密码安全性较弱。当人们必须记住多个用户名密码组合时,他们最终会开始在不同的账户中重复使用相同的用户名和密码组合。
这被称为“密码疲劳”。这是一个很大的安全风险,因为这意味着如果一个账户遭到入侵,所有其他服务也可能遭到入侵。换句话说,攻击者可以使用相同的密码来入侵受害者的其他应用程序。
单点登录可通过将所有登录缩减为一次登录来缓解密码疲劳问题。尽管如果攻击者成功入侵一个账户,他们就可以访问其他服务,但从理论上讲,单点登录可以使个人更容易创建、记住和使用强密码。
但是,实际上,情况并非总是如此。因此,您最好通过额外的安全措施来支持您的单点登录解决方案。我们稍后会详细介绍。
简化策略执行和身份管理
单点登录为多个密码提供单一入口点,使 IT 团队更容易执行安全策略和规则。例如,使用单点登录管理周期密码重置要更为简单,因为每个用户只需更改一个凭据。
更重要的是,如果实施得当,联合身份管理可在内部受控环境中存储登录凭据。相比之下,若组织将传统的用户名密码组合存储在外部(例如在第三方应用程序中),便几乎看不到它们如何经受管理。这会很难确保凭据能根据数据安全最佳实践进行管理。
SSO 的作用原理是什么?
单点登录通常被称为“身份联合”功能。简单来说,身份联合是两方之间的信任系统,用于对用户进行身份验证并交换授权他们访问某些资源所需的信息。 通常,这涉及使用开放授权 (OAuth) 框架,该框架能让应用程序在不泄露实际登录信息的情况下授予安全访问权限。
通常,单点登录身份验证工作流程快速且简单:
- 首先,用户请求访问单点登录设置中的资源,启动登录过程。
- 资源的服务提供方(例如托管网站)将用户重定向到身份提供方,例如 Entrust。
- 身份提供方使用一种单点登录协议检查用户的凭据并验证用户的身份。
- 如果成功验证用户身份,则身份提供方将生成单点登录令牌(也称为身份验证令牌)。简而言之,这是一种数字资产,代表用户经过身份验证的会话。
- 身份提供方将单点登录令牌发回服务提供方,然后由服务提供方验证其有效性。如有必要,应用程序、系统或服务提供方可以发布其他身份验证请求,以进一步验证用户身份。
- 验证后,服务提供方将授予用户访问其资源或应用程序的权限。
现在,用户可以使用在单点登录设置中配置的所有其他应用程序。如果他们有一个活跃的会话,单点登录解决方案会使用相同的身份验证令牌来授予访问权限。
单点登录有不同类型吗?
是的,单点登录有各种各样的协议和标准。每种单点登录配置的工作方式略有不同,但都遵循相同的一般流程。一些最常见的配置包括:
- 安全断言标记语言 (SAML):SAML 单点登录配置是一种开放标准,用于将文本编码为机器语言和传递身份信息。与其他协议相比,这是一种适用性广泛的身份验证协议,而其他协议则是为特定的安全访问用例设计的。安全断言标记语言也是用于编写单点登录令牌的主要标准。
- 开放授权 (OAuth):OAuth 是一种开放标准协议,该协议加密身份信息并在应用程序之间传输这些信息,从而可让用户访问来自其他应用程序的数据,而无需手动验证其身份。
- OpenID 连接 (OIDC):作为 OAuth 的扩展,OIDC 可让多个应用程序使用一个登录会话。举一个常见的例子,许多服务允许您使用 Facebook 或 Google 账户登录,而不是您的用户凭据。
单点登录安全吗?
单点登录可以提供出色的用户体验,但它本身并不是一个完美的解决方案。如果访问控制和密码策略不足,单点登录会让黑客有机可乘。
如果您的单点登录身份验证由单个密码组成,而没有针对多个应用程序的多重身份验证,虽然这可以提高用户的工作效率,但风险却成倍增加。例如,如果攻击者入侵了单点登录账户,他们可能会肆意访问相同配置中的其他应用程序。
为了降低风险,组织最好添加额外的安全层来作为单点登录的补充,例如:
如何实现基于单点登录的身份验证?
单点登录可以大幅提升工作效率,但也会带来风险。因此,为了确保您的单点登录实施尽可能安全,请考虑以下最佳实践:
- 规划您的应用程序:确定您的单点登录配置中应包含哪些软件、系统、应用程序和服务。
- 选择身份提供方:寻找不受平台限制且与所有浏览器兼容的灵活单点登录解决方案。更重要的是,确保您的身份提供方还能提供多种安全功能,以保证您的部署受到切实保护。
- 验证用户特权:本着零信任框架的精神,以“最低特权访问”概念为基础做出访问控制决策。其原理是,每个用户只获得履行工作职责所需的最低权限。这样,如果他们失去对账户的控制权,黑客将无法使用某些应用程序。
哪些因素促使 Entrust SSO 与众不同?
我们的身份和访问管理平台 Entrust Identity 支持单点登录,因此用户可以使用单一的强大凭据访问所有应用程序,而不必单独管理每个云、本地和旧版应用程序的凭据。更好的是,该平台提供实现零信任架构所需的所有核心功能,包括:
- 多重身份验证
- 免密访问
- 部署灵活性
- 无缝集成
- 集中式管理
最重要的是,Gartner 在 2023 年访问管理魔力象限™ 中将 Entrust 评为“挑战者”,这彰显了我们的强大执行能力和完整愿景。
下载此报告,详细了解 Entrust 为何是帮助您利用安全单点登录实施的得力助手。
常见问题解答
什么是单点登录?它的用途是什么?
单点登录 (SSO) 是一种身份验证方法,可让用户使用一组凭据安全地访问多个应用程序和网站。该方法使用户无需记住多个用户名和密码,还使他们能便捷访问所有账户,无需每次都重新输入凭据。借助单点登录,用户可以使用单个用户名和密码登录所有关联服务,从而能够在所有应用程序上获得安全、无缝的体验。
SSO 有何优势?
单点登录有很多好处,包括:
- 改进用户体验:用户无需记住多个用户名和密码,可以更轻松访问所需的资源。
- 提高安全性:降低密码重复使用和网络钓鱼的风险,使未经授权的用户更难访问敏感信息。
- 提高工作效率:用户能更快访问所需的资源,从而提高工作效率和收入。
- 增强的用户管理:简化管理和维护多个用户账户的流程,提高 IT 团队的效率。
- 节省成本:降低管理多个用户名和密码、数据泄露和安全事件造成的成本。
Entrust 提供的单点登录解决方案可以轻松与您的现有系统和应用程序集成。
SSO 的作用原理是什么?
单点登录的工作原理是创建一个名为身份提供方 (IdP) 的中央身份验证服务器,该服务器用于对多个应用程序或服务的用户进行身份验证。当用户通过 IdP 进行身份验证时,就可以访问有权使用的所有应用程序或服务,无需额外输入用户名和密码。
要设置单点登录,组织通常会配置单点登录服务,然后将其与他们想要使用的应用程序或服务集成。设置完成后,当用户尝试访问应用程序或服务时,他们将被重定向到 IdP 去登录。登录后,他们将能够访问有权使用的应用程序或服务,而无需再次输入登录凭据。
Entrust 支持不同的单点登录方法,例如 SAML、OpenID Connect 和 OAuth2。我们提供有关如何通过身份提供方设置单点登录的分步说明,并全程提供支持和指导。
SSO 是否存在安全风险?
尽管单点登录可以通过降低密码重复使用的风险来提高安全性,但组织仍应注意安全风险。
- 单点故障:如果单点登录系统遭到入侵,未经授权的用户便可以同时访问多个应用程序或服务。
- 网络钓鱼:如果用户受到诱骗,向虚假网站提供登录凭据,即使使用单点登录,仍可能发生网络钓鱼攻击。
- 会话劫持:如果会话没有得到适当的保护,攻击者可以窃取用户的会话并获得对多个应用程序或服务的访问权限。
- 第三方访问:单点登录依赖第三方身份提供方,如果其中一个身份提供方遭到入侵,则可能导致出现安全漏洞。
- 缺乏多重身份验证:默认情况下,单点登录可能无法提供额外的多重身份验证安全性。
Entrust 的单点登录解决方案在设计时考虑到了安全性,并且会定期更新,以应对新出现的安全风险。我们通过提供最广泛的多重身份验证方式(包括网格卡、移动推送通知、基于 PKI 高度安全的凭据、无密码等)来增加另一层保护!
单点登录与传统身份验证方法有何不同?
单点登录在以下几个方面有所不同:
- 集中式身份验证:单点登录使用一个名为身份提供方 (IdP) 的中央身份验证服务器,对多个应用程序或服务的用户进行身份验证。传统方法通常要求用户单独登录每个应用程序或服务。
- 单组凭据:可让用户仅使用一组登录凭据访问多个应用程序或服务,无需记住多个用户名和密码。传统方法通常要求用户记住每个应用程序或服务的用户名和密码。
- 改进用户体验:通过让用户无需记住多个用户名和密码即可更轻松访问所需资源,提升用户体验。
- 增强安全性:降低密码重复使用和网络钓鱼的风险,使未经授权的用户更难访问敏感信息,从而增强安全性。
我们的解决方案旨在与传统方法无缝协作,并且可以轻松地与本地或云端的现有系统和应用程序集成。
组织在实施单点登录时应采取哪些安全措施?
在实施单点登录时,组织应采取以下安全措施:
- 保护单点登录环境:采用防火墙、入侵检测和防御系统以及其他安全工具,防止单点登录环境受到未经授权的访问。
- 使用多重身份验证:实施多重身份验证 (MFA) 作为额外的安全层,确保用户是其本人。Entrust 通过实施多重身份验证 (MFA) 作为额外的保护层,提供稳健的安全措施。 我们的平台提供多种多重身份验证方式,例如网格卡、移动推送通知、基于 PKI 高度安全的凭据和无密码,确保只有获得授权的用户才能访问受保护的资源。
- 监控用户活动:监控活动并识别可疑行为,以检测和响应安全事件。
- 让软件处于最新版本:使用最新的安全补丁和升级定期更新单点登录软件、身份提供方和应用程序。
- 安全数据传输:确保在单点登录服务器和应用程序之间或服务之间传输的所有数据都经过加密。
- 定期审核访问控制:查看和更新访问控制,确保只有获得授权的用户才能访问受保护的资源。