OpenText 主页。
技术主题

什么是单点登录?

以问号为重点的信息技术项目图示

单点登录(SSO)概述

单点登录(SSO)是一种身份验证方法,用户只需输入一次登录凭证(要求和秘密),即可访问多个资源。SSO 可在各种系统和域中提供这种用户体验。为了保持无障碍访问,SSO 必须扩展到数据中心和用户使用的平台内运行的各种服务和资源。这些平台可能作为 IaaS、PaaS 或全面服务(SaaS)存在,可能支持也可能不支持信任模式。

单点登录

SSO 在安全态势中扮演什么角色?

您可以通过不同的技术实现 SSO。更安全的方法是,用户不知道他们使用的每项服务的凭据,而只知道主凭据。由于用户不知道每个凭证,因此不会有规避认证中心或在不太安全的平台上共享凭证的风险。

各组织通常通过信任模式提供 SSO。单一身份提供者(IdP)持有凭证或控制对凭证的访问。在这种模式下,每项服务都依赖于 IdP 来验证访问方的身份。虽然这种方法减少了存储凭据的地方,但用户可能知道也可能不知道服务的真实凭据。

任何将凭据同步到每个应用程序或服务的 SSO 设计都是最不安全的选择,极少使用(如果有的话)。在安全方面,企业要努力减少攻击载体的数量,而不是增加它们。

作为高级身份验证环境的一个组成部分,单点登录可与多因素身份验证搭配使用,以加强对用户身份的验证,同时最大限度地减少干扰。这种方法可以帮助企业最大限度地提高可用性和安全性,尤其是与被动式无密码方法配合使用时。虽然某些被动身份验证类型可能比其他类型弱,但你可以将它们与各种数字资源的额外验证指标结合起来使用。作为风险服务规划的一部分,安全团队可将其资源划分为敏感性类别,并分配相应的验证强度。

SSO 如何工作

现代 SSO 依赖于联合身份协议,例如

  • SAML 2.0(安全断言标记语言)
  • OAuth 2.0
  • 开放身份连接(OIDC)

这些标准实现了身份提供商(IdP)与服务提供商(SP)之间的可信通信,前者负责验证用户身份,后者负责控制应用程序的访问权限。用户一旦通过身份验证,就会获得一个令牌,该令牌可在各种服务中重复使用,无需重新输入凭证。

SSO 计划通常属于目录服务器身份验证的范畴:每项服务都使用来自单一目录(如 Active Directory)或环境的相同凭证,将身份验证令牌传递给已配置的应用程序。团队可以使用凭证注入和其他技术来提供 SSO。现代企业 SSO 几乎总是使用联盟标准,如 SAML 或 OpenID Connect (OIDC) 与身份提供商 (IdP)。一般认为,凭证注入/同步的安全性和现代化程度都较低。广为接受的联盟协议(SAML、OIDC)是 SSO 的主要机制,被视为行业标准。无论采用哪种方法,任何解决方案都必须包括单一退出机制。

混合 IT 世界中的 SSO

如今的企业横跨内部部署系统、SaaS 应用程序、IaaS 平台等多个领域。有效的 SSO 必须通过联合身份、云原生交付和目录集成(支持传统和现代协议)在这些环境中架起桥梁。

SSO 的优势

  • 增强用户体验
    只需登录一次,即可访问所有授权应用程序,从而提高工作效率,减少密码疲劳。
  • 改进安全态势
    SSO 与多因素身份验证 (MFA) 和情境感知风险分析相结合,可在集中控制的同时减少攻击面。
  • 更强的合规性和可见性
    集中身份控制可实现更好的日志记录、审计和策略执行,这是满足隐私和网络安全法规要求的关键。
  • 减少 IT 开销
    重置密码的服务台单减少,入职/离职工作流程简化。

SSO 如何帮助改进内部流程?

IT 安全团队扩展用户单点登录的最常见原因是为了快速、简单地安全访问信息。当组织对其受保护的信息提供这种程度的便利时,就能实现更高的效率和生产力。通过 SSO,用户只需对其全天访问的多个应用程序和其他数字资源进行一次身份验证。除了用户满意度之外,SSO 还能减少密码疲劳,这是鼓励用户保持凭证卫生的一个基本要素。其他优势还包括可衡量的效率和生产力。它能减少访问障碍,而访问障碍有时是拖延完成业务流程的根源。对于远程和非工作时间的专业人员来说,情况可能尤其如此,因为他们往往因为所处位置而面临更高的安全障碍。简单访问的便利性减少了在移动设备上进行业务流程的摩擦,使业务流程能够在某人外出或正常工作时间之外快速进行。


SSO 如何帮助企业竞争?

消费者参与的范围从简单的个性化服务一直到高风险交易。这些消费平台通常使用行为数据来识别用户的兴趣,并寻找线索帮助确认用户身份。消费者已经开始期望他们信任的品牌能够足够了解他们,为他们提供有趣的信息,并允许他们在移动设备上尽可能多地开展业务。这就是单点登录发挥作用的地方。

如今的移动和在线体验需要一个由多个后台系统支持的强大平台,以提供消费者所期待的日益复杂的体验。通常,他们不会容忍在智能手机上多次验证自己的身份。因此,虽然移动应用程序通常会利用各种后台系统,但它们并不是用户体验的一部分。

除了简单的访问,SSO 还在更深层次、更高风险的远程访问中发挥作用。让您的消费者通过您的产品和服务完成更多任务仍然是移动应用程序竞争的主战场。随着数字经济的发展,移动应用程序开展了更多类型的业务互动,包括风险更高的互动。提供比竞争对手更有意义的服务是实现差异化的有效途径。但这也对您的身份验证基础设施提出了更高的要求。SSO 的便利性固然重要,但与组织风险相匹配的身份验证也同样重要。组织越能衡量访问请求的上下文风险,移动访问私人和敏感信息的范围就越大。问问你自己

  • 用户是否位于预期位置(GSM、地理定位、网络)?
  • 设备是否被识别?
  • 请求类型是否反映了过去的行为?
  • 数据本身的风险程度如何?

根据这些风险指标,SSO 可以与高级身份验证类型结合使用,根据风险进行身份验证,必要时使用多因素身份验证:

  • 提供多种无密码身份验证选项,如指纹、面部识别、语音识别、带外推送、一次性密码等。
  • 只有在必要时,才向消费者发出验证请求。
  • 使用一种或多种验证类型来达到必要的验证强度。

单点登录在为消费者提供便利的同时,也兼顾了与其他身份验证方法一起使用时的便利性和安全性。


实施 SSO 的常见错误有哪些?

IT 和业务部门都应将单点登录不断增长的价值视为一条加速曲线。用户拥有的凭据越多,记住它们就越困难。当企业减少了凭证数量,用户就更有可能遵循合理的凭证管理。

这种积极的价值曲线同样是由便利性驱动的。对用户的干扰越少,他们(雇员或承包商)的工作效率就越高,他们(消费者)就越高兴。理想的情况是,在进入应用程序或开始会话时,只需进行初始指纹识别、面部识别或其他一些验证,仅此而已。无论用户使用多少服务或资源,都不会中断他们的工作。在同样的模式下,应用程序或网络服务越是用身份验证提示来干扰用户,用户的满意度就越低,效果也会适得其反。由于这些原因,不对常用访问资源进行 SSO 的技术决策或实施最具破坏性。

将身份验证限制为活动目录 (AD)

虽然 AD(以及 Azure AD)已成为主要的身份提供商,但大多数组织的基本资源并不局限于此。虽然较年轻或规模较小的组织可能会发现,AD 加上 Microsoft 的联盟解决方案就足以提供单点登录,但大多数组织的异构性比这更强。

完全依赖信任模式技术

SAML 和 OIDC 已被广泛采用。但复杂的环境通常无法提供全面的覆盖。令人惊讶的是,许多基于 SaaS 的服务要么不支持联合,要么收费高于组织愿意支付的水平。相反,记录/播放技术或集中管理的访问网关可以弥补单点登录覆盖范围的不足。

误解用户的身份验证体验

通常情况下,IT 组织并不了解一周内访问的用户的不同身份。没有清晰的认识,他们就无法确定在单点登录基础架构中添加哪些资源的优先级。此外,部门或业务线使用的服务通常不包括在 SSO 规划中。

OpenText SSO 的优势

OpenText™ 身份与& 访问管理(IAM)提供基于标准的安全单点登录(SSO)功能,包括:

  • 内置支持 SAML、OAuth 和 OIDC。
  • 与 Active Directory、LDAP 和云身份源集成。
  • 无密码和自适应身份验证
  • 跨 B2B 和 B2C 生态系统的联合信任。
  • 与现代零信任架构兼容。

OpenText™ NetIQ™ Access Manager、OpenText™ NetIQ™ Identity Foundation 以及 OpenText™ NetIQ™ Advanced Authentication 协同工作,为所有用户、设备和环境提供统一且灵活的访问控制。


OpenText 如何提供 SSO?

OpenText IAM 提供五种不同的 SSO 方法:

OpenText™ NetIQ™ Access Manager

借助多种技术, OpenText™ NetIQ™ Access Manager 能够通过多种方式 为任何内网或云端服务 提供单点登录(SSO)功能 。无论您的应用程序是否具备相关界面,您的用户(员工、客户等)都能快速、便捷地进行访问。与此同时,OpenText™ NetIQ™ Access Manager 可让您在现有流程的基础上实现全面的访问控制。
 
除了单点登录(SSO)的优势外,OpenText™ NetIQ™ Access Manager 还通过迷你门户中的便捷设置图标,提供一键访问 Web 应用程序的功能。OpenText™ NetIQ™ Access Manager 内置的迷你门户并非旨在取代您现有的系统,而是为尚未拥有此类系统的用户提供的一种选择。该门户系统结构轻量,管理员可轻松启用、配置和维护,且对任何用户而言都直观易用。OpenText™ NetIQ™ Access Manager 的快速访问界面提升了单点登录体验。

OpenText™ NetIQ™ Access Manager 为您的组织提供了三种方案,用于在所有基于云和内网的应用程序中实施单点登录(SSO):

  • 访问网关--访问控制和单点登录的终极访问管理,访问网关是跨多种服务和复杂环境(云、非云、混合)提供无缝用户体验的最佳方式。
  • 基于标准的联合身份验证——SAML、OAuth、OpenID Connect、WS-Trust 和 WS-Federation——OpenText™ NetIQ™ Access Manager 通过预配置的连接器目录或工具包支持这些应用程序,您可通过该目录或工具包配置身份验证提供商与服务提供商之间的信任关系。
  • 单点登录助手--对于大量不支持任何联盟类型的小型或专用应用程序,单点登录助手可为所有应用程序提供服务。

OpenText™ NetIQ™ Access Manager 网关

该网关是一个反向代理,您可以将其部署在任何资源的前端,无论该资源是否拥有自己的安全模型或访问控制。这使您可以利用同一身份提供商进行凭证管理。与单点登录助手类似,该网关提供了表单填充策略,可用于自动填写 HTML 表单。表单填充策略会扫描每个通过访问网关加速的登录页面,以检查是否能自动填充凭据信息。无论您采用多少种单点登录技术,OpenText™ NetIQ™ Access Manager 都能提供一个集中化的管理和控制平台。

通过联盟实现单点登录

对于通过联合实现的单点登录,OpenText™ NetIQ™ Access Manager 可让您根据需求建立信任关系,该关系可作为身份提供商或服务提供商运行。您还需要设置联合身份验证的类型(SAML、OAuth、OpenID Connect、WS-Trust 或 WS-Federation)。如果您使用的是 SAML,可以选择众多预配置连接器中的一个。如果目录中没有针对您所需服务的预配置 SAML 连接器,您可以使用工具包自行设置一个。

通过助手进行单点登录

对于那些因过于陈旧、规模较小或功能简陋而无法支持联合身份验证的云服务,单点登录助手能够以极小的投入提供单点登录体验。当凭据被记录时,它会提示用户下载浏览器插件,以便安全地检索这些凭据。一旦助手配置完成,用户在访问该应用程序时即可体验单点登录(SSO)。要查找现成的辅助连接器,首先应查阅 OpenText™ NetIQ™ Access Manager 的连接器目录。如果找不到所需的连接器,您可以自己录制一个。OpenText™ NetIQ™ Access Manager 会在用户首次使用时自动提示其安装连接器,此后,该软件将从 OpenText™ NetIQ™ Access Manager 中检索并提交用户的凭据,以实现自动登录。在为不同应用程序配置基本 SSO 连接器时,您需要为特定站点定义相应的连接器。基础 SSO 通过浏览器插件或扩展程序捕获用户的凭据。它将用户凭据安全地存储在身份服务器上,绝不使用访问网关。

OpenText™ NetIQ™ 高级身份验证

OpenText™ NetIQ™ Advanced Authentication 为 Windows 客户端用户提供了单点登录功能。SSO 支持包括 .NET、Java、原生应用程序以及所有主流浏览器上的 Web 应用程序。对最终用户而言,这一过程非常顺畅,有助于他们专注于本职工作。即使对于未连接到集中式目录的远程用户,单点登录功能在未连接互联网的孤立笔记本电脑上仍可正常运行。OpenText™ NetIQ™ Advanced Authentication 还支持快速用户切换,这意味着它能为信息亭或共享工作站快速提供单点登录功能。可以通过徽章或其他非接触式方式进行调用,这种方式快速、简单且高度安全。

OpenText 为企业提供的单点登录选项比任何其他供应商都要多。

我们能提供什么帮助?

脚注