單一登入 (SSO) 是一種認證方法，允許使用者只需輸入一次登入憑證（聲稱和密碼）即可存取多種資源。SSO 跨不同的系統和網域提供此使用者體驗。為了維持順暢的存取，SSO 必須擴展至資料中心內執行的各種服務和資源，以及使用者所使用的平台。這些平台可能以 IaaS、PaaS 或全方位服務 (SaaS) 的形式存在，可能支援也可能不支援信任模式。

單一登入

SSO 在安全狀態中扮演什麼角色？

您可以透過不同的技術完成 SSO。更安全的方法是使用者不知道他們使用的每個服務的憑證，而只知道主憑證的實作。由於使用者不知道每個憑證，因此不會有繞過您的驗證中心或在安全性較低的平台上共用憑證的風險。

組織通常透過信任模式來提供 SSO。單一身份提供者 (IdP) 持有憑證或控制對憑證的存取。在此模型中，每個服務都依賴 IdP 來驗證存取方的身份。雖然這種方法縮小了儲存憑證的地方，但使用者可能知道也可能不知道服務的真實憑證。

任何將憑證同步化到每個應用程式或服務的 SSO 設計都是最不安全的選項，即使使用，也應該很少使用。對於安全性，組織的工作是減少攻擊媒介的數量，而不是增加它們。

作為進階驗證環境的組成部分，單一登入可以搭配多因素驗證，以加強使用者身分的驗證，同時將干擾降至最低。此方法可協助組織最大化可用性與安全性，尤其是搭配被動式無密碼方法時。雖然某些被動式驗證類型可能比其他類型弱，但您可以使用它們與各種數位資源的附加驗證指標。作為風險服務規劃的一部分，安全團隊可以將資源組織為敏感度類別，並指定相應的認證強度。

SSO 如何運作

現代的 SSO 依賴於聯邦身分認證通訊協定，例如：

SAML 2.0（安全聲明標記語言）
OAuth 2.0
OpenID Connect (OIDC)

這些標準允許身份提供者 (IdP) 與服務提供者 (SP) 之間進行可信賴的通訊，前者驗證使用者的身份，後者則控制應用程式的存取。經過驗證後，使用者會獲得一個令牌，可在服務間重複使用，而無需重新輸入憑證。

SSO 計畫通常屬於目錄伺服器驗證的範疇：每個服務使用來自單一目錄 (例如 Active Directory) 或環境的相同憑證，將驗證標記傳遞至已設定的應用程式。團隊可以使用憑證注入和其他技術來提供 SSO。現代企業 SSO 幾乎都使用聯盟標準，例如 SAML 或 OpenID Connect (OIDC) 與身分提供者 (IdP)。一般認為憑證注入/同步較不安全，也較不現代。廣為接受的聯盟協定 (SAML, OIDC) 是 SSO 的主要機制，並被視為業界標準。無論採用何種方法，任何解決方案都必須包含單一登出機制。

混合 IT 世界中的 SSO

現今的組織跨越內部部署系統、SaaS 應用程式、IaaS 平台等。有效的 SSO 必須利用聯邦身分、雲端原生遞送和目錄整合來橋樑這些環境，同時支援傳統和現代的通訊協定。

SSO 的優點

強化使用者體驗
登入一次即可存取所有授權的應用程式，提高生產力並減少密碼疲勞。
改善安全勢態
結合多因素驗證 (MFA) 和情境感知風險分析，SSO 可在集中控制的同時減少攻擊面。
更強的合規性和可視性
集中式身分控管可提供更好的記錄、稽核及政策執行 - 符合隱私權及網路安全法規的關鍵。
降低 IT 開銷
重設密碼的服務台票單更少，入職/離職工作流程更精簡。

SSO 如何協助改善內部流程？

IT 安全團隊擴充使用者單一登入的最常見原因，是為了提供快速、簡單的資訊安全存取。當組織對其受保護的資訊實施這種程度的便利時，就能達到更高的效率和生產力。SSO 可讓使用者在一天中存取多個應用程式和其他數位資源時，只需驗證一次。除了使用者滿意度之外，SSO 還能減少密碼疲勞，這是鼓勵認證衛生的基本要素。其他優點包括可衡量的效率和生產力。它可以降低存取阻礙，而存取阻礙有時會是拖延完成業務流程的根源。這對於遠端及非工作時間的專業人員來說可能尤其如此，因為他們通常會因為地點的關係而面臨更高的安全障礙。簡單存取的便利性可減少在行動裝置上進行的業務流程的摩擦，讓這些流程在有人外出或在正常工作時間以外工作時也能快速進行。

SSO 如何幫助企業競爭？

消費者參與範圍從簡單的個人化一直到高風險交易。這些消費者平台通常會使用行為資料來識別使用者的興趣，並尋找線索協助確認使用者身份。消費者已開始期望他們信賴的品牌能夠充分瞭解他們，提供有趣的資訊，並允許他們盡可能在行動裝置上進行交易。這就是單一登入的作用所在。

今日的行動和線上體驗需要一個強大的平台，並由多個後端系統支援，才能提供消費者所期望的日益複雜的體驗。一般而言，他們無法容忍在智慧型手機上多次驗證身份。因此，雖然行動應用程式普遍會利用各種後端系統，但它們並非使用者體驗的一部分。

除了簡單的存取之外，SSO 在更深入、更高層次的遠端存取中也扮演著重要的角色。讓您的消費者使用您的產品和服務完成更多工作，仍是行動應用程式競爭的戰場。隨著數位經濟的演進，行動應用程式進行更多類型的商業互動，包括風險較高的互動。提供比競爭對手更有意義的服務是與眾不同的有效方法。但這也對您的驗證基礎架構提出了更多要求。SSO 的便利性固然重要，但符合組織風險的身份驗證也同樣重要。組織越能衡量存取請求的情境風險，行動存取私人和敏感資訊的範圍就越大。問問自己

使用者是否位於預期的位置 (GSM、地理位置、網路)？
裝置是否被識別？
請求的類型是否反映過去的行為？
資料本身的風險等級為何？

根據這些風險指標，SSO 可以與進階驗證類型結合使用，將身分驗證與該風險相匹配，並在需要時使用多因素驗證：

提供多種無密碼認證選項，例如指紋、臉部識別、語音識別、頻外推送、一次性密碼等。
只有在需要時，才以驗證請求中斷消費者。
使用一種或多種驗證類型來達到必要的驗證強度。

單一登入在提供消費者便利性的同時，在與其他驗證方法一起使用時，也能平衡便利性與安全性。

實施 SSO 常見的錯誤有哪些？

IT 和業務線都應該將單一登入的價值成長視為加速曲線。使用者擁有的憑證越多，就越難記住它們。當企業減少憑證的數量時，使用者就更有可能遵循健全的憑證管理。

同樣進取的價值曲線也是由便利性所驅動。您對使用者的干擾越少，他們的生產力（員工或承包商）和快樂度（消費者）就越高。理想的情況是，在進入應用程式或啟動會話時，只需進行初始指紋、臉部識別或其他認證，僅此而已。無論使用者使用多少服務或資源，都不會中斷他們的工作。在相同的範例中，應用程式或網路服務越用驗證提示來干擾使用者，就越不令人滿意，也越會產生反效果。基於這些原因，無法針對常見存取資源完成 SSO 的技術決策或實作是最具傷害性的。

將驗證限制為 Active Directory (AD)

雖然 AD (以及 Azure AD) 已經成為主要的身分提供者，但大多數組織都擁有超越 AD 的重要資源。雖然較年輕或規模較小的組織可能會發現 AD 輔以 Microsoft 的聯盟解決方案就足以提供單一登入，但大多數組織的異質性都比較高。

完全依賴信任模式技術

SAML 和 OIDC 已被廣泛採用。但複雜的環境通常無法提供完整的涵蓋範圍。令人驚訝的是，許多基於 SaaS 的服務不是不支援聯盟，就是收費高於組織願意支付的費用。相反地，記錄/播放技術或集中管理的存取閘道可彌補單一登入涵蓋範圍的不足。

誤解使用者的驗證體驗

IT 組織通常不知道使用者在一週內存取的不同角色。如果沒有清晰的畫面，他們就無法優先將哪些資源加入單一登入基礎架構。此外，部門或業務線所使用的服務通常不包括在 SSO 規劃中。

OpenText SSO 的優勢

OpenText™ 身份與存取管理 (IAM) 透過以下功能提供安全、基於標準的 SSO：

內建 SAML、OAuth 及 OIDC 支援。
與 Active Directory、LDAP 及雲端身分來源整合。
無密碼和適應性認證。
跨 B2B 和 B2C 生態系統的聯邦信任。
與現代零信任架構相容。

OpenText Access Manager、OpenText Core Identity Foundation 和 OpenText Advanced Authentication 攜手合作，提供統一、靈活的存取控制 - 涵蓋所有使用者、裝置和環境。

OpenText 如何提供 SSO？

OpenText IAM 提供五種不同的方式來提供 SSO：

OpenText Access Manager

OpenText Access Manager 使用多種技術，有多種方式為任何內部網路或雲端服務提供 SSO 。無論您的應用程式有或沒有任何介面，您的使用者 (員工、客戶等) 都能快速、方便地存取。同時，OpenText Access Manager 可讓您使用目前的流程進行全面存取控制。

除了 SSO 的優點之外，OpenText Access Manager 還可透過迷你入口網站中的簡易設定圖示，提供網頁應用程式的單鍵存取功能。OpenText Access Manager 的內建迷你入口網站並非要取代您現有的入口網站，而是為那些沒有入口網站的人提供一個選擇。管理員可以輕鬆開啟、設定及維護入口網站，任何使用者也可以直覺操作。OpenText Access Manager 的快速存取介面增強了單一登入體驗。

OpenText Access Manager 為您的組織提供三種選項，以便在所有雲端和內部網路應用程式中實施單一登入 (SSO)：

存取閘道-存取控制和呈現單點登入的終極存取管理，存取閘道是跨越多重服務和複雜環境 (雲端、雲外、混合) 提供無縫使用者體驗的最佳方式。
基於標準的聯盟-SAML、OAuth、OpenID Connect、WS-Trust 和 WS-Federation-OpenText Access Manager 透過預先設定的連接器目錄或工具包支援這些應用程式，您可以從中設定認證提供者和服務提供者之間的信任。
單一登入助手-對於不支援任何類型聯盟的小型或特殊應用程式的茫茫大海，SSO 助手可為所有這些應用程式提供服務。

OpenText Access Manager 閘道

閘道是您可以放在任何資源前面的反向代理，不論它是否有自己的安全模式或存取控制。這可讓您利用相同的身分提供者進行憑證管理。就像單一登入輔助工具一樣，閘道提供表單填寫政策，可以填充 HTML 表單。表格填寫政策會掃描每個透過存取閘道加速的登入頁面，看看是否能填入憑證資訊。無論您採用多少種單點登入技術，OpenText Access Manager 都能提供一個中央管理和控制點。

透過聯盟進行單一登入

OpenText Access Manager 可讓您透過聯盟設定單一登入的信任關係，並可依據您的需求，扮演身分提供者或服務提供者的角色。您也需要設定聯盟的類型 (SAML、OAuth、OpenID Connect、WS-Trust 或 WS-Federation)。如果您使用 SAML，您可以從眾多預先設定的連線器中選擇一個。如果目錄中沒有針對您想要的服務預先設定的 SAML 連接器，您可以使用工具包設定自己的連接器。

透過助理單一登入

對於太舊、太小或太原始而無法支援聯盟的雲端服務，單一登入輔助工具能以最少的工作量提供 SSO 體驗。它會提示使用者下載瀏覽器外掛程式，以便在記錄憑證時安全地檢索憑證。一旦助手設定完成，使用者在存取應用程式時就會體驗 SSO。OpenText Access Manager Connector Catalog 是尋找現成助理連接器的第一個地方。如果找不到所需的連線器，您可以自己錄製。OpenText Access Manager 第一次會自動提示使用者安裝連接器，之後會從 OpenText Access Manager 擷取並遞交使用者的憑證，以便自動登入。為不同應用程式設定基本 SSO 連接器時，您會為特定網站定義連接器。基本 SSO 透過瀏覽器外掛程式或擴充套件擷取使用者的憑證。它可以安全地將使用者憑證儲存在身分伺服器上，絕不會使用存取閘道。

OpenText Advanced Authentication

OpenText Advanced Authentication 為 Windows 用戶端上的使用者提供單一登入功能。SSO 支援包括所有常用瀏覽器上的 .NET、Java、原生應用程式和網頁應用程式。對終端使用者來說，這是無縫的，有助於他們專注於主要工作。即使是未連線至集中式目錄的遠端使用者，單一登入也能在沒有網際網路連線的獨立筆記型電腦上繼續運作。OpenText Advanced Authentication 也提供快速的使用者切換功能，這表示它能快速地為 kiosks 或共用工作站提供單一登入功能。它可以透過徽章或其他快速、簡單且高度安全的非觸控方式來啟用。

OpenText 為組織提供比其他廠商更多的單一登入選項。

Resources

OpenText™ Access Manager product overview