单点登录（SSO）是一种身份验证方法，用户只需输入一次登录凭证（要求和秘密），即可访问多个资源。SSO 可在各种系统和域中提供这种用户体验。为了保持无障碍访问，SSO 必须扩展到数据中心和用户使用的平台内运行的各种服务和资源。这些平台可能作为 IaaS、PaaS 或全面服务（SaaS）存在，可能支持也可能不支持信任模式。

单点登录

SSO 在安全态势中扮演什么角色？

您可以通过不同的技术实现 SSO。更安全的方法是，用户不知道他们使用的每项服务的凭据，而只知道主凭据。由于用户不知道每个凭证，因此不会有规避认证中心或在不太安全的平台上共享凭证的风险。

各组织通常通过信任模式提供 SSO。单一身份提供者（IdP）持有凭证或控制对凭证的访问。在这种模式下，每项服务都依赖于 IdP 来验证访问方的身份。虽然这种方法减少了存储凭据的地方，但用户可能知道也可能不知道服务的真实凭据。

任何将凭据同步到每个应用程序或服务的 SSO 设计都是最不安全的选择，极少使用（如果有的话）。在安全方面，企业要努力减少攻击载体的数量，而不是增加它们。

作为高级身份验证环境的一个组成部分，单点登录可与多因素身份验证搭配使用，以加强对用户身份的验证，同时最大限度地减少干扰。这种方法可以帮助企业最大限度地提高可用性和安全性，尤其是与被动式无密码方法配合使用时。虽然某些被动身份验证类型可能比其他类型弱，但你可以将它们与各种数字资源的额外验证指标结合起来使用。作为风险服务规划的一部分，安全团队可将其资源划分为敏感性类别，并分配相应的验证强度。

SSO 如何工作

现代 SSO 依赖于联合身份协议，例如

SAML 2.0（安全断言标记语言）
OAuth 2.0
开放身份连接（OIDC）

这些标准实现了身份提供商（IdP）与服务提供商（SP）之间的可信通信，前者负责验证用户身份，后者负责控制应用程序的访问权限。用户一旦通过身份验证，就会获得一个令牌，该令牌可在各种服务中重复使用，无需重新输入凭证。

SSO 计划通常属于目录服务器身份验证的范畴：每项服务都使用来自单一目录（如 Active Directory）或环境的相同凭证，将身份验证令牌传递给已配置的应用程序。团队可以使用凭证注入和其他技术来提供 SSO。现代企业 SSO 几乎总是使用联盟标准，如 SAML 或 OpenID Connect (OIDC) 与身份提供商 (IdP)。一般认为，凭证注入/同步的安全性和现代化程度都较低。广为接受的联盟协议（SAML、OIDC）是 SSO 的主要机制，被视为行业标准。无论采用哪种方法，任何解决方案都必须包括单一退出机制。

混合 IT 世界中的 SSO

如今的企业横跨内部部署系统、SaaS 应用程序、IaaS 平台等多个领域。有效的 SSO 必须通过联合身份、云原生交付和目录集成（支持传统和现代协议）在这些环境中架起桥梁。

SSO 的优势

增强用户体验
只需登录一次，即可访问所有授权应用程序，从而提高工作效率，减少密码疲劳。
改进安全态势
SSO 与多因素身份验证 (MFA) 和情境感知风险分析相结合，可在集中控制的同时减少攻击面。
更强的合规性和可见性
集中身份控制可实现更好的日志记录、审计和策略执行，这是满足隐私和网络安全法规要求的关键。
减少 IT 开销
重置密码的服务台单减少，入职/离职工作流程简化。

SSO 如何帮助改进内部流程？

IT 安全团队扩展用户单点登录的最常见原因是为了快速、简单地安全访问信息。当组织对其受保护的信息提供这种程度的便利时，就能实现更高的效率和生产力。通过 SSO，用户只需对其全天访问的多个应用程序和其他数字资源进行一次身份验证。除了用户满意度之外，SSO 还能减少密码疲劳，这是鼓励用户保持凭证卫生的一个基本要素。其他优势还包括可衡量的效率和生产力。它能减少访问障碍，而访问障碍有时是拖延完成业务流程的根源。对于远程和非工作时间的专业人员来说，情况可能尤其如此，因为他们往往因为所处位置而面临更高的安全障碍。简单访问的便利性减少了在移动设备上进行业务流程的摩擦，使业务流程能够在某人外出或正常工作时间之外快速进行。

SSO 如何帮助企业竞争？

消费者参与的范围从简单的个性化服务一直到高风险交易。这些消费平台通常使用行为数据来识别用户的兴趣，并寻找线索帮助确认用户身份。消费者已经开始期望他们信任的品牌能够足够了解他们，为他们提供有趣的信息，并允许他们在移动设备上尽可能多地开展业务。这就是单点登录发挥作用的地方。

如今的移动和在线体验需要一个由多个后台系统支持的强大平台，以提供消费者所期待的日益复杂的体验。通常，他们不会容忍在智能手机上多次验证自己的身份。因此，虽然移动应用程序通常会利用各种后台系统，但它们并不是用户体验的一部分。

除了简单的访问，SSO 还在更深层次、更高风险的远程访问中发挥作用。让您的消费者通过您的产品和服务完成更多任务仍然是移动应用程序竞争的主战场。随着数字经济的发展，移动应用程序开展了更多类型的业务互动，包括风险更高的互动。提供比竞争对手更有意义的服务是实现差异化的有效途径。但这也对您的身份验证基础设施提出了更高的要求。SSO 的便利性固然重要，但与组织风险相匹配的身份验证也同样重要。组织越能衡量访问请求的上下文风险，移动访问私人和敏感信息的范围就越大。问问你自己

用户是否位于预期位置（GSM、地理定位、网络）？
设备是否被识别？
请求类型是否反映了过去的行为？
数据本身的风险程度如何？

根据这些风险指标，SSO 可以与高级身份验证类型结合使用，根据风险进行身份验证，必要时使用多因素身份验证：

提供多种无密码身份验证选项，如指纹、面部识别、语音识别、带外推送、一次性密码等。
只有在必要时，才向消费者发出验证请求。
使用一种或多种验证类型来达到必要的验证强度。

单点登录在为消费者提供便利的同时，也兼顾了与其他身份验证方法一起使用时的便利性和安全性。

实施 SSO 的常见错误有哪些？

IT 和业务部门都应将单点登录不断增长的价值视为一条加速曲线。用户拥有的凭据越多，记住它们就越困难。当企业减少了凭证数量，用户就更有可能遵循合理的凭证管理。

这种积极的价值曲线同样是由便利性驱动的。对用户的干扰越少，他们（雇员或承包商）的工作效率就越高，他们（消费者）就越高兴。理想的情况是，在进入应用程序或开始会话时，只需进行初始指纹识别、面部识别或其他一些验证，仅此而已。无论用户使用多少服务或资源，都不会中断他们的工作。在同样的模式下，应用程序或网络服务越是用身份验证提示来干扰用户，用户的满意度就越低，效果也会适得其反。由于这些原因，不对常用访问资源进行 SSO 的技术决策或实施最具破坏性。

将身份验证限制为活动目录 (AD)

虽然 AD（以及 Azure AD）已成为主要的身份提供商，但大多数组织的基本资源并不局限于此。虽然较年轻或规模较小的组织可能会发现，AD 加上 Microsoft 的联盟解决方案就足以提供单点登录，但大多数组织的异构性比这更强。

完全依赖信任模式技术

SAML 和 OIDC 已被广泛采用。但复杂的环境通常无法提供全面的覆盖。令人惊讶的是，许多基于 SaaS 的服务要么不支持联合，要么收费高于组织愿意支付的水平。相反，记录/播放技术或集中管理的访问网关可以弥补单点登录覆盖范围的不足。

误解用户的身份验证体验

通常情况下，IT 组织并不了解一周内访问的用户的不同身份。没有清晰的认识，他们就无法确定在单点登录基础架构中添加哪些资源的优先级。此外，部门或业务线使用的服务通常不包括在 SSO 规划中。

OpenText SSO 的优势

OpenText™ 身份和访问管理 (IAM) 通过以下功能提供安全、基于标准的 SSO：

内置支持 SAML、OAuth 和 OIDC。
与 Active Directory、LDAP 和云身份源集成。
无密码和自适应身份验证
跨 B2B 和 B2C 生态系统的联合信任。
与现代零信任架构兼容。

OpenText Access Manager、OpenText Core Identity Foundation 和 OpenText Advanced Authentication 相互配合，可在每个用户、设备和环境中提供统一、灵活的访问控制。

OpenText 如何提供 SSO？

OpenText IAM 提供五种不同的 SSO 方法：

OpenText Access Manager

OpenText Access Manager 使用多种技术，以多种方式为任何内部网或基于云的服务提供 SSO 。无论您的应用程序有无界面，您的用户（员工、客户等）都能快速、方便地访问。与此同时，OpenText Access Manager 还能让您使用当前的流程进行全面的访问控制。

除了 SSO 的优势外，OpenText Access Manager 还可通过迷你门户中的简易设置图标，一键访问网络应用程序。OpenText Access Manager 的内置微型门户网站并不是要取代已有的门户网站，而是为那些没有门户网站的用户提供一个选择。对于管理员来说，该门户网站的开启、配置和维护都很轻便，对于任何用户来说也很直观。OpenText Access Manager 的快速访问界面增强了单点登录体验。

OpenText Access Manager 为您的组织提供了三个选项，用于在所有基于云和内部网的应用程序中实施单点登录 (SSO)：

访问网关--访问控制和单点登录的终极访问管理，访问网关是跨多种服务和复杂环境（云、非云、混合）提供无缝用户体验的最佳方式。
基于标准的联盟--SAML、OAuth、OpenID Connect、WS-Trust 和 WS-Federation--OpenText Access Manager 通过预配置的连接器目录或工具包支持这些应用，您可以从中配置身份验证提供商和服务提供商之间的信任。
单点登录助手--对于大量不支持任何联盟类型的小型或专用应用程序，单点登录助手可为所有应用程序提供服务。

OpenText Access Manager 网关

网关是一个反向代理，可以放置在任何资源前面，无论其是否有自己的安全模式或访问控制。这样，您就可以利用同一个身份提供商进行凭证管理。与单点登录助手一样，网关也提供可填充 HTML 表单的表单填充策略。表单填写策略会扫描通过访问网关加速的每个登录页面，查看是否能填入凭证信息。无论您采用多少种单点登录技术，OpenText Access Manager 都能提供一个中央管理和控制点。

通过联盟实现单点登录

对于通过联盟实现单点登录，OpenText Access Manager 可让您根据需要建立信任关系，该关系可作为身份提供商或服务提供商发挥作用。您还需要设置联盟类型（SAML、OAuth、OpenID Connect、WS-Trust 或 WS-Federation）。如果使用 SAML，可以从众多预配置连接器中选择一个。如果目录中没有针对所需服务的预配置 SAML 连接器，可以使用工具包自行设置。

通过助手进行单点登录

对于过于陈旧、小型或原始而无法支持联盟的云服务，单点登录助手能以最小的代价提供 SSO 体验。它提示用户下载浏览器插件，以便在记录凭证时安全地检索凭证。一旦设置了助手，用户在访问应用程序时就会体验到 SSO。OpenText Access Manager 连接器目录是查找现成助理连接器的第一个地方。如果找不到所需的连接器，也可以自己录制。OpenText Access Manager 会自动提示用户首次安装连接器，然后从 OpenText Access Manager 获取并提交用户凭据，以便自动登录。为不同的应用程序配置基本 SSO 连接器时，要为特定站点定义连接器。基本 SSO 通过浏览器插件或扩展程序获取用户凭据。它将用户凭据安全地存储在身份服务器上，从不使用访问网关。

OpenText Advanced Authentication

OpenText Advanced Authentication 为 Windows 客户端上的用户提供单点登录功能。SSO 支持包括所有流行浏览器上的 .NET、Java、本地应用程序和网络应用程序。这对终端用户来说是无缝的，有助于他们专注于自己的主要工作。即使是没有连接到集中目录的远程用户，单点登录也能在没有互联网连接的独立笔记本电脑上继续工作。OpenText Advanced Authentication 还提供快速用户切换功能，这意味着它可以为自助终端或共享工作站快速提供单点登录功能。它可以通过徽章或其他非接触式方法调用，快速、简单且高度安全。

OpenText 为企业提供的单点登录选项比任何其他供应商都要多。

Resources

OpenText™ Access Manager product overview