SSO单点登录实现的工作原理

单点登录 (SSO) 是一种会话和用户身份验证服务，它允许用户使用一组登录凭据(例如，名称和密码)来访问多个应用程序。企业、小型组织和个人可以使用 SSO 来简化各种用户名和密码的管理。

在基本的 Web SSO 服务中，应用程序服务器上的代理模块从专用 SSO 策略服务器检索单个用户的特定身份验证凭据，同时根据用户存储库(例如轻量级目录访问协议 ( LDAP ) 目录)对用户进行身份验证. 该服务对用户被授予权限的所有应用程序的最终用户进行身份验证，并消除未来在同一会话期间对单个应用程序的密码提示。

单点登录的工作原理

单点登录是一种联合身份管理 ( FIM ) 安排，使用这种系统有时称为 身份联合。 OAuth代表开放授权，发音为“oh-auth”，是一种框架，它使最终用户的帐户信息能够被 Facebook 等第三方服务使用，而不会暴露用户的密码。

OAuth 代表最终用户充当中介，通过向服务提供访问令牌来授权共享特定帐户信息。当用户尝试从服务提供者访问应用程序时，服务提供者将向身份提供者发送请求进行身份验证。然后服务提供商将验证身份验证并将用户登录。

SSO 配置的类型

一些 SSO 服务使用协议，例如 Kerberos和安全断言标记语言 ( SAML )。

SAML 是一种可扩展标记语言 (XML) 标准，有助于跨安全域交换用户身份验证和授权数据。基于 SAML 的 SSO 服务涉及用户、维护用户目录的身份提供者和服务提供者之间的通信。

在基于 Kerberos 的设置中，一旦提供了用户凭据，就会颁发一个授予票证的票证 ( TGT )。TGT 为用户希望访问的其他应用程序获取服务票证，而不要求用户重新输入凭据。

基于智能卡的 SSO 将要求最终用户使用持有登录凭据的卡进行首次登录。使用该卡后，用户无需重新输入用户名或密码。SSO 智能卡将存储证书或密码。

安全风险和 SSO

虽然单点登录对用户来说是一种便利，但它会给企业安全带来风险。获得对用户 SSO 凭据的控制权的攻击者将被授予访问用户有权访问的每个应用程序的权限，从而增加了潜在损害的数量。为了避免恶意访问，SSO 实施的各个方面都必须与身份治理相结合。组织还可以通过 SSO 使用双因素身份验证 ( 2FA ) 或多因素身份验证 ( MFA ) 来提高安全性。

社交单点登录

Google、LinkedIn、Twitter 和 Facebook 提供流行的 SSO 服务，使最终用户能够使用其社交媒体身份验证凭据登录到第三方应用程序。尽管社交单点登录对用户来说是一种便利，但它可能会带来安全风险，因为它会产生可被攻击者利用的单点故障。

许多安全专家建议最终用户不要完全使用社交 SSO 服务，因为一旦攻击者控制了用户的 SSO 凭证，他们将能够访问使用相同凭证的所有其他应用程序。

苹果最近推出了自己的单点登录服务，并将其定位为比谷歌、Facebook、LinkedIn 和 Twitter 提供的 SSO 选项更私密的替代方案。这项名为“Sign in with Apple”的新产品预计将限制第三方服务可以访问的数据。Apple 的 SSO 还将通过要求用户在所有 Apple ID 帐户上使用 2FA 以支持与 iOS 设备上的 Face ID 和 Touch ID 集成来增强安全性。

企业单点登录

企业单点登录 (eSSO) 软件产品和服务是具有客户端和服务器组件的密码管理器，可通过重放用户凭据将用户登录到目标应用程序。这些凭据几乎总是用户名和密码;无需修改目标应用程序即可使用 eSSO 系统。

SSO 的优缺点

SSO 的优点包括：

它使用户能够记住和管理每个应用程序的更少密码和用户名。

它简化了登录和使用应用程序的过程——无需重新输入密码。

它减少了网络钓鱼的机会。

它可以减少有关 IT帮助台密码的投诉或麻烦。

SSO 的缺点包括：

它没有解决每个应用程序登录可能需要的某些安全级别。

如果可用性丢失，则用户将被锁定在连接到 SSO 的多个系统之外。

如果未经授权的用户获得访问权限，那么他们可能获得对多个应用程序的访问权限。