什么是单点登录（SSO）？单点登录的好处、局限以及实施

随着越来越多的重要业务功能向数字平台转移，黑客入侵网络和系统的事件成倍增加。企业大多使用用户名和密码来保护系统不被入侵，但如果密码很弱，攻击者就极易破坏这些系统。为了解决这个问题，一个常见的办法是要求用户定期更改密码，并使用数字、大小写字母和特殊符号的组合来创建复杂密码。但其实这个办法并不是创建更安全的密码，而是制造人们难以记住但黑客容易破解的密码。

以上场景的解决方案之一是单点登录（SSO）。在本白皮书中，我们将介绍什么是单点登录，讨论其优势、局限及解决方案，然后提供关于如何实施单点登录的指导。

什么是单点登录（SSO）？

单点登录是一种允许用户通过单次登录跨多个系统访问不同应用程序的方法。你可以把它想象成一个游乐园，购买一张票即是登录，然后你就可以游玩游乐园里的所有的设施，即访问所有的应用程序。无需多次购买门票，在单点登录中即无需多次登录不同的应用程序。

常见的单点登录是通过一次登录访问各种应用程序。例如，登录您的Google帐户可让您访问Google Drive、Gmail、YouTube和其他Google应用程序，而无需再次登录。另一种常见情况是通过第三方登录应用程序。例如，许多应用程序允许您使用微信或其他平台的社交媒体帐户来进行登录并访问。

单点登录的好处？

使用单点登录能够有效降低企业成本，提高员工工作效率，具体包括：

1)单点登录能够减少密码输入疲劳

密码输入疲劳是指用户由于必须记住过多的密码才能使用各种应用程序，因此感到困难和疲惫。不同的应用程序具有不同的密码要求，意味着适用于一个系统的密码可能不适用于另一个系统，于是用户会使用相同（并且安全性可能很弱）的基本密码的“变体”来满足这些要求。比如在一个应用程序里的密码是“apple”，然而另一个应用程序却要求密码中必须包含数字，因此用户可能用“apple123”来做密码。

然而使用现代密码破解办法能够轻松破解这些“变体”。换句话说，密码“apple123”并不比“apple”更安全。单点登录的集成解决了这种困境。

2)单点登录通过减少登录次数来提高工作效率

对登录的持续需求可能会导致生产力的显著降低。虽然单次登录所需的时间仅需要10-15秒，但考虑到其他因素，例如确定使用了哪种密码变体、联系IT部门提供密码协助和重置等，都占用一定工作时间。当用户请求密码帮助时，IT部门的时间也会被占用。综上，员工浪费的精力和时间成本就会变得很可观。使用单点登录可以直接解决这些问题，提高工作效率。

3)单点登录为系统管理人员工作提供便利

企业的系统管理团队负责将新应用程序集成到现有系统中，并对新应用程序进行所有用户的账户设置。这对于15到20名用户的小型企业来说很容易，但随着应用程序及员工人数的增长，解决每个新应用程序的登录问题所需的大量时间可能会阻碍系统管理员执行其他工作任务。如果企业需要雇佣更多的管理员来保障业务持续运转，额外的人力也会转化为成本增加。

使用单点登录意味着系统管理员只需管理较少数量的用户账户。部署新的应用程序时，可以重复使用现有账户，无需每次为每个用户设置新帐户。

此外，如果员工离职，系统管理员能够撤消任何用户对所有应用程序的访问权限，从而限制了窃取机密、恶意攻击的可能性。

4)单点登录能够提高系统安全性

随着我们对应用程序的日益依赖，企业也正面临着“数字化身份管理”的安全挑战。除了身份验证登录之外，“数字化身份管理”还包括分配给某个用户的角色和权限。因此，系统管理员还需要保护这些身份权限免遭盗窃和破坏。但是，一些企业可能没有足够的资源或专业知识来满足快速变化的安全环境所引发的这些需求。

和知名的身份提供商(IdP)一起，采用单点登录的方式，可以让企业将这一负担转移到有足够能力应对这些挑战的专家身上。知名提供商包括Okta、Azure AD 和Auth0等。

5)单点登录简化了用户跟踪审计过程

使用多个登录系统可能很难跟踪用户以进行审计。例如，John Smith可能有一个应用程序的JSmith帐户和另一个应用程序的JohnS帐户。如果有两个同名同姓的John Smiths（这在大型企业中并不少见）为您工作，情况就变得复杂了。利用单点登录，账户管理更加清晰明了，系统管理员可以精准识别每一个登录用户，从而轻松地跨不同应用程序跟踪用户以进行审计和记录。

单点登录的局限及解决方案

单点登录也存在一些明显的局限，让我们逐一了解这些问题，看看我们如何在实践过程中轻松解决它们。

1)单点登录不安全，因为只需要破解一个密码

使用单点登录意味着只需要一个主密码即可访问与其相关的所有内容，有一种误解是认为这会降低系统的安全性，因为只需破解一个密码即可访问所有应用程序。但是，许多用户使用相同密码的“变体”，这些“变体”依然很容易被破解，因此使用不同的密码“变体”也不会显著提高安全性。

为了增强密码和帐户的安全性，可以将多重身份验证(MFA)与单点登录集成，从而提高安全级别，确保黑客无法轻易破解您的帐户。

2）实施单点登录还需考虑框架配置

在实施单点登录时还应考虑其他因素，由于单点登录仅提供身份验证机制，还要额外注意框架的配置。比如仅仅因为某人可以访问某个系统并不意味着他们应该能够访问该系统上的所有资源。与许多技术创新一样，单点登录的集成不具有排他性。因此单点登录可以实施到一个框架中，该框架还考虑了细粒度的访问控制权限等。

单点登录的实施

企业实施单点登录不是那么容易的，本节简述了实施单点登录时需要决定的内容。

1)确定框架的范围

企业需要首先决定哪些应用程序要进行单点登录集成。每个企业都有不同的要求，取决于企业规模、提供的主要服务、内部基础设施等因素。例如银行机构所需的应用程序不同于大型服装零售商。另一个重要的考虑因素是应用程序是否支持单点登录功能。

2)决定使用的配置

下一个重要的决定是要确定支持单点登录框架的协议。最常用的两种配置是 Kerberos和SAML。Kerberos是一种身份验证协议，其工作原理是让各方传递称为tickets的特殊消息以相互验证。这些tickets中不会传递用户敏感信息，在本地完成所有验证。

另一种SAML则提供了一个标准框架，在该框架中，身份验证数据可以在各方之间传递。SAML的工作方式类似于推荐系统，其工作原理为：用户将首先通过身份提供商(IdP)进行身份验证，身份提供商将为用户提供一个token，用户可以使用token作为其身份已得到验证的证据。然后，用户将向任何质疑用户身份的应用程序提供此证明。

3)决定身份提供商(IdP)

身份提供商是负责对您的用户进行身份验证的一方。这可以在本地完成（例如 ADFS）或通过使用云上的第三方（例如Okta、Auth0等）完成。在评估第三方IdP时，企业还应考虑其服务的可扩展性以及它们与您选择的配置的兼容性。