了解

什么是单点登录 (SSO) 及其重要性？

单点登录 (SSO) 是一种用户识别系统，它使用户能够在多个网站和应用程序中使用一组凭据。

过去，登录用户账户需要两个登录凭据：用户名和密码。管理数十个登录凭据会减慢用户访问速度并增加风险。单点登录 (SSO) 允许用户登录一次即可访问他们需要的所有应用程序和系统，从而解决了这个问题。

而现在，客户和员工无需记住或管理多个密码，只需使用一组用户凭据即可访问重要系统。

请继续阅读以了解有关单点登录身份验证的所有信息，包括其重要性、工作原理以及如何保护您的单点登录设置。

关键要点

单点登录 (SSO) 允许用户在多个平台和应用程序中使用一组凭据。
随着 AI 驱动的攻击和其他复杂策略的增加，SSO 对系统和数据安全越来越重要。
组织可以根据其环境和系统功能选择 SSO 标准。
SSO 的优势包括改善了用户体验、增强了安全性并简化了身份管理。
添加 MFA、密码卫生和其他安全层可增强 SSO 的有效性。
可能影响 SSO 的未来趋势包括生物识别技术的进步、去中心化身份和 AI 驱动的威胁。

SSO 定义

SSO 使用户只需一组登录凭据即可访问多个应用程序。例如，当员工输入身份凭据以登录其工作站时，他们也可以通过单点登录访问其应用程序、软件、系统和基于云的资源。

SSO 可帮助处理私人或敏感信息的组织（例如政府、生物制药和医疗保健）增强安全性，同时提供跨不同平台或相关机构的无缝用户体验。例如，银行员工可以使用 SSO 登录一次，然后导航到公司的 CRM、他们的电子邮件帐户和 HR 门户。多重身份验证 (MFA) 等安全层有助于进一步增强安全性。

单点登录为什么很重要？

SSO 对组织至关重要，因为它允许使用一组凭据访问多个应用程序，从而增强安全性、简化操作并改善用户体验。这可以减少密码疲劳和网络钓鱼或凭据泄露的风险，尤其是与 MFA 配合使用时。 SSO 还简化了用户配置和取消配置过程，降低了 IT 支持成本，并通过集中访问控制和活动跟踪来支持相关法规。作为身份和访问管理 (IAM) 及零信任模型的核心组件，SSO 可确保在企业环境中进行安全、高效和可扩展的身份验证。

鉴于工作场所使用的云应用程序和服务的激增，SSO 显得尤为重要。根据最新估计，企业平均使用约 1,400 个基于云的应用程序。通过 SSO 限制员工使用的凭据数量可减少重大网络安全漏洞。

SSO 类型/配置

虽然所有 SSO 协议都遵循相同的一般流程，但根据用例和其他因素，有些协议的运作方式略有不同。一些常见的 SSO 标准包括：

安全断言标记语言 (SAML)：SAML 单点登录配置是一种开放标准，用于将文本编码为机器语言和传递身份信息。与其他协议相比，这是一种适用性广泛的身份验证协议，而其他协议则是为特定的安全访问用例设计的。安全断言标记语言也是用于编写单点登录令牌的主要标准。
开放授权 (OAuth)：OAuth 是一种开放标准协议，该协议加密身份信息并在应用程序之间传输这些信息，从而可让用户访问来自其他应用程序的数据，而无需手动验证其身份。但是，它不直接处理身份验证，通常与 OIDC 一起用于 SSO 用例。
OpenID 连接 (OIDC)：作为 OAuth 的扩展，OIDC 可对用户身份进行验证，让多个应用程序使用一个登录会话。
Kerberos：此网络身份验证协议使用加密票证，而不是密码，通过密钥分发中心 (KDC) 启用 SSO。

这些 SSO 标准和协议用于不同的配置，具体取决于功能和数字环境：

企业级 SSO 可为组织内部系统提供统一的登录体验，使用户能够无缝导航到多个数据库、平台和应用程序。
联合 SSO 可将不同组织或域之间的身份关联起来。
基于云的 SSO 可提供跨多个基于云的服务和应用程序（例如 AWS 或 Office 365）的 SSO 访问权限。
移动 SSO 使用户只需一次登录即可访问多个移动应用。
社交 SSO 允许用户使用社交媒体账户（例如 Facebook 或 LinkedIn）登录应用程序或平台。

选择 SSO 协议时的关键考虑因素

选择 SSO 协议时，除了考虑技术规格外，还要考虑是否符合组织的安全性、合规性和用户体验目标：

安全级别和威胁模型：将协议的优势与您最需要防范的攻击类型（例如网络钓鱼或凭据盗窃）相匹配。
监管协调：确认该协议支持您必须满足的合规标准，例如 GDPR、HIPAA 或 FedRAMP。
与现有系统集成：寻找能够与您当前的身份提供商、应用程序和基础结构顺畅配合使用的协议，而无需进行昂贵的重新设计。
可扩展性和性能：考虑一下该协议如何应对用户数量和集成服务数量增长情况。
用户体验：在安全性与员工、合作伙伴或公民快速直观的登录过程之间取得平衡。
供应商和社区支持：积极开发且处于经验证部署模式的成熟协议可以随着时间的推移帮助降低风险。

选择正确的协议既是一项业务决策，也是一项技术决策。正确的选择将保护您的组织、保持合规，并使每天依赖它的人们的生活更加轻松。

SSO 的作用原理是什么？

单点登录通常被称为“身份联合”功能。简单来说，身份联合是两方之间的信任系统，用于对用户进行身份验证并交换授权他们访问某些资源所需的信息。通常，这涉及使用开放授权 (OAuth) 框架，该框架能让应用程序在不泄露实际登录信息的情况下授予安全访问权限。

通常，单点登录身份验证工作流程快速且简单：

首先，用户请求访问单点登录设置中的资源，通过网站或移动应用启动登录过程。
资源的服务提供方（例如托管网站）将用户重定向到身份提供方，例如 Entrust。
身份提供方使用一种单点登录协议检查用户的凭据并验证用户的身份。
如果成功验证用户身份，则身份提供方将生成单点登录令牌（也称为身份验证令牌）。简而言之，这是一种数字资产，代表用户经过身份验证的会话。
身份提供方将单点登录令牌发回服务提供方，然后由服务提供方验证其有效性。如有必要，应用程序、系统或服务提供方可以发布其他身份验证请求，以进一步验证用户身份。
验证后，服务提供方将授予用户访问其资源或应用程序的权限。

现在，用户可以使用在 SSO 设置中配置的所有其他应用程序，除非会话过期或需要重新进行身份验证。

SSO 有何优势？

实施单点登录可以为用户、企业和客户带来多种好处。例如：

提升用户体验、工作效率和成本节约

将多个密码精简为一组用户凭据可简化登录并减少员工跟踪多个账户的需求。这在混合工作环境中尤其重要，因为在这种环境中，越来越多的最重要应用程序位于本地或云端。

这种加速的工作流程最终会使员工工作效率提高。此外，即使像 SSO 或 MFA 这样的验证方法仅节省一小部分时间，也可以在财务方面产生切实影响。根据研究，员工重置密码平均需要 10 分钟。如果一个拥有 100 名员工的组织中的每位员工每年需重置两次密码，那就浪费了超过 33 个小时——几乎整整一周的工作时间。

此外，单点登录解决方案可以最大限度地减少非生产性任务，例如 IT 服务台的重置密码要求。

通过加强密码强度来提高安全性

在一项研究中，41% 的网站成功登录涉及以前在数据泄露中泄露的被盗密码。当人们必须记住多个用户名密码组合时，他们最终会开始在不同的账户中重复使用相同的用户名和密码组合。此外，即使提醒他们凭据已被盗或处于危险之中，他们也可能不会费心更改密码。

这称为 “密码疲劳”，是 SSO 很重要的另一个原因：这是一个很大的安全风险，因为这意味着如果一个账户遭到入侵，所有其他服务也可能遭到入侵。换句话说，攻击者可以使用相同的密码来入侵受害者的其他应用程序。

单点登录可通过将所有登录缩减为一次登录来缓解密码疲劳问题。即使账户遭到入侵，管理员也可以迅速采取措施封锁访问权限，从而限制潜在系统损坏程度或被盗数据的数量。

但是，实际上，情况并非总是如此。因此，您最好通过额外的安全措施来支持您的单点登录解决方案。我们稍后会详细介绍。

简化策略执行和身份管理

单点登录为多个密码提供单一入口点，使 IT 团队更容易执行安全策略和规则。例如，使用 SSO 管理定期密码重置更为简单，因为每个用户只需更改一个凭据。

更重要的是，如果实施得当，联合身份管理可在内部受控环境中存储登录凭据。相比之下，若组织将传统的用户名密码组合存储在外部（例如在第三方应用程序中），便几乎看不到它们如何经受管理。这会很难确保凭据能根据数据安全最佳实践进行管理。

合规性支持

SSO 在帮助高度监管行业中的组织满足重要合规标准（例如 HIPAA、GDPR 和 SOC 2 规定的合规标准）方面发挥着至关重要的作用。

集中式访问管理支持在整个技术基础结构（包括互联应用程序）中一致地实施安全策略。一套统一的安全规定还可简化用户权限，便于根据合规性要求更轻松地控制谁可以访问敏感数据和资源。

使用 SSO 进行访问管理还有助于强制执行最小权限原则，确保用户只能使用履行其工作职能所需的工具和系统。这些限制可以帮助控制违规情况下造成的损失。

最后，SSO 解决方案可提供跟踪用户活动的详细审计日志，可用于满足监控和报告或调查的合规性要求。

单点登录安全吗？

SSO 是安全的，但必须有效实施。如果您的单点登录身份验证由单个密码组成，而没有针对多个应用程序的多重身份验证，虽然这可以提高用户的工作效率，但风险却成倍增加。例如，如果攻击者入侵了单点登录账户，他们可能会肆意访问相同配置中的其他应用程序。

即使实施了 MFA，用户也可能会感到 “推送疲劳”，这使得他们更有可能在不仔细评估的情况下批准来自黑客的虚假推送请求。

错误配置的 SSO 和应用程序集成也会带来漏洞，尤其是在组织不监控此类安全风险的情况下。

为了降低风险，组织最好添加额外的安全层来作为 SSO 的补充。 Entrust 通过以下功能支持 SSO：

如果系统从上下文数据中检测到异常访问或行为，例如有人尝试从未知或非托管设备登录，则会撤消令牌并重新进行身份验证。
基于凭据的无密码身份验证。用生物识别或令牌取代传统密码，实现快速、流畅的访问。而最棒的是，没有密码就没有窃取：因为没有办法突破防御。
集中控制会话生命周期，使安全管理员能够设置和强制执行经过身份验证的会话的有效期，然后用户必须使用 MFA 重新进行身份验证。

如何实现基于单点登录的身份验证？

单点登录可以大幅提升工作效率，但也会带来风险。因此，为了确保您的单点登录实施尽可能安全，请考虑以下最佳实践：

规划您的应用程序：确定您的单点登录配置中应包含哪些软件、系统、应用程序和服务。
选择身份验证协议。选择与现有系统兼容且符合跨平台和应用程序所需标准的 SSO 标准。
选择身份提供方：寻找不受平台限制且与所有浏览器兼容的灵活单点登录解决方案。更重要的是，确保您的身份提供方还能提供多种安全功能，以保证您的部署受到切实保护。
验证用户特权：本着零信任框架的精神，以“最低特权访问”概念为基础做出访问控制决策。其原理是，每个用户只能获得履行工作职责所需的最低权限。这样，如果他们失去对账户的控制权，黑客将无法使用某些应用程序。
测试和监控。在部署之前在整个系统上测试 SSO，以确保其按预期运行。实施后，持续监控风险、漏洞和异常行为或活动。

未来 SSO 趋势

随着风险的演变和变化，SSO 将继续随之发展。可能会影响其未来使用方式的发展和趋势包括：

增强的 MFA。 SSO 可以与视网膜扫描、面部识别或指纹认证结合使用以支持身份验证。自适应 MFA 涉及基于行为、位置、设备或其他信号等因素的额外检查。
去中心化身份。区块链和其他新兴技术减少了对集中存储凭据的依赖，进一步降低了风险并增强了用户隐私。
令牌和安全会话。随着攻击者越来越多地通过恶意软件或拦截将 SSO 使用的身份验证令牌作为目标，最佳实践也在不断发展，以纳入更频繁的令牌轮换和更短的验证周期。主动监测令牌泄露迹象也是一种好方法。
优化云和混合环境。现代组织技术的复杂性要求 SSO 平台比以往任何时候都要高效，包括跨平台无缝扩展、自动执行用户配置等任务以及持续执行安全策略。

哪些因素促使 Entrust SSO 与众不同？

借助强大的 SSO 系统，用户只需登录一次即可快速轻松地访问多个平台和应用程序，同时防范网络钓鱼和其他攻击。它应包括额外的安全功能，例如多重身份验证，并符合相关的数据隐私和安全要求。

用户应该发现它易于浏览，IT 团队应该能够通过集中式仪表板监控活动、设置和其他功能，以便主动发现问题并快速应对安全威胁。

Entrust 的 SSO 解决方案让您无需单独管理每个云、本地和旧版应用程序的凭据。更好的是，该解决方案提供实现零信任架构所需的所有核心功能，包括：

多重身份验证
免密访问
部署灵活性
无缝集成
集中式管理

使用 SSO 进行身份验证是现代身份和访问管理解决方案的关键功能，在确保组织免受网络钓鱼攻击和漏洞侵害方面发挥着越来越重要的作用。阅读更多有关企业组织为保护数据和用户而采取的以身份为中心的安全策略的信息。

常见问题解答

SSO 代表什么？

SSO 代表单点登录 (single sign-on)。它指的是只需要一组凭据即可登录到多个平台和应用程序的安全策略。这不仅使用户能够更轻松地在解决方案之间切换，而且还通过减少用户必须记录的密码和帐户数量来增强安全性。因此，攻击者窃取凭据的机会降至最低，并且如果用户的凭据遭到泄露，组织可以快速限制对数据和系统的访问。

如何禁用单点登录？

虽然通常不建议禁用 SSO，但有时可能需要禁用 SSO。可以通过关闭 SAML、OAuth 或 OpenID 集成来禁用 SSO，具体取决于所使用的集成。可能还需要重置用户身份验证设置，改为允许用户名/密码登录。用户应收到有关此更改的警报，因为如果没有其他凭据，他们可能无法访问系统。在进行这些更改之前，请务必备份设置。