什么是单点登录（SSO）

相关阅读

视频讲解

你或许有很多密码需要记忆，甚至有时候你为了方便记忆使用同一个密码，再或者是通过小纸条、电脑文件写下它们，这是一个潜在的安全风险。在本期视频中，我们将为您带来一个更好的选择，即单点登录或SSO，可以帮助你管理堆积如山的密码而不影响安全性。

相关资料

什么是单点登录？

单点登录（SSO）是一种认证方法，使用户只需使用一组凭证就能安全地认证多个应用程序和网站。

SSO 如何工作？

SSO 的工作原理是在应用程序（称为服务提供者）和身份提供者之间建立的信任关系。这种信任关系通常基于身份提供者和服务提供者之间交换的证书。该证书可用于签署从身份提供者发送到服务提供者的身份信息，以便服务提供者知道它来自可信源。在 SSO 中，此身份数据采用令牌的形式，其中包含关于用户的识别信息位，例如用户的电子邮件地址或用户名。

登录流程通常如下所示：

1. 用户浏览到他们想要访问的应用程序或网站，也就是服务提供商。
2. 服务提供商向 SSO 系统（也称为身份提供商）发送一个令牌，其中包含有关用户的一些信息，例如他们的电子邮件地址，作为对用户进行身份验证的请求的一部分。
3. 身份提供者首先检查用户是否已经通过身份验证，在这种情况下，它将授予用户访问服务提供者应用程序的权限并跳到步骤 5。
4. 如果用户尚未登录，系统将通过提供身份提供商所需的凭据提示他们登录。这可能只是一个用户名和密码，也可能包括一些其他形式的身份验证，如一次性密码 (OTP)。
5. 一旦身份提供者验证了所提供的凭据，它会将令牌发送回服务提供者以确认身份验证成功。
6. 此令牌通过用户的浏览器传递给服务提供商。
7. 服务提供者收到的令牌根据初始配置期间在服务提供者和身份提供者之间建立的信任关系进行验证。
8. 用户被授予访问服务提供商的权限。

当用户尝试访问不同的网站时，新网站必须具有使用 SSO 解决方案配置的类似信任关系，并且身份验证流程将遵循相同的步骤。

什么是 SSO 令牌？

SSO 令牌是在 SSO 过程中从一个系统传递到另一个系统的数据或信息的集合。数据可以只是用户的电子邮件地址和有关哪个系统正在发送令牌的信息。必须为令牌接收方对令牌进行数字签名，以验证令牌是否来自受信任的来源。用于此数字签名的证书在初始配置过程中交换。

SSO 安全吗？

这个问题的答案是“视情况而定”。

SSO 可以提高安全性的原因有很多。单点登录解决方案可以简化用户和管理员的用户名和密码管理。用户不再需要跟踪不同的凭据集，只需记住一个更复杂的密码即可。SSO 通常使用户能够更快地访问他们的应用程序。

SSO 还可以减少服务台在帮助丢失密码的用户上花费的时间。管理员可以集中控制密码复杂性和多因素身份验证 (MFA)等要求。当用户离开组织时，管理员还可以更快地全面放弃登录权限。

单点登录确实有一些缺点。例如，您可能希望锁定更多的应用程序。出于这个原因，选择一个 SSO 解决方案很重要，它使您能够在用户登录到特定应用程序之前要求额外的身份验证因素，或者阻止用户访问某些应用程序，除非他们连接到安全的网络。