單一登入 (SSO) 是一種認證方法，允許使用者只需輸入一次登入憑證（聲稱和密碼）即可存取多種資源。SSO 跨不同的系統和網域提供此使用者體驗。為了維持順暢的存取，SSO 必須擴展至資料中心內執行的各種服務和資源，以及使用者所使用的平台。這些平台可能以 IaaS、PaaS 或全方位服務 (SaaS) 的形式存在，可能支援也可能不支援信任模式。

單一登入

SSO 在安全狀態中扮演什麼角色？

您可以透過不同的技術完成 SSO。更安全的方法是使用者不知道他們使用的每個服務的憑證，而只知道主憑證的實作。由於使用者不知道每個憑證，因此不會有繞過您的驗證中心或在安全性較低的平台上共用憑證的風險。

組織通常透過信任模式來提供 SSO。單一身份提供者 (IdP) 持有憑證或控制對憑證的存取。在此模型中，每個服務都依賴 IdP 來驗證存取方的身份。雖然這種方法縮小了儲存憑證的地方，但使用者可能知道也可能不知道服務的真實憑證。

任何將憑證同步化到每個應用程式或服務的 SSO 設計都是最不安全的選項，即使使用，也應該很少使用。對於安全性，組織的工作是減少攻擊媒介的數量，而不是增加它們。

作為進階驗證環境的組成部分，單一登入可以搭配多因素驗證，以加強使用者身分的驗證，同時將干擾降至最低。此方法可協助組織最大化可用性與安全性，尤其是搭配被動式無密碼方法時。雖然某些被動式驗證類型可能比其他類型弱，但您可以使用它們與各種數位資源的附加驗證指標。作為風險服務規劃的一部分，安全團隊可以將資源組織為敏感度類別，並指定相應的認證強度。

SSO 如何運作

現代的 SSO 依賴於聯邦身分認證通訊協定，例如：

SAML 2.0（安全聲明標記語言）
OAuth 2.0
OpenID Connect (OIDC)

這些標準允許身份提供者 (IdP) 與服務提供者 (SP) 之間進行可信賴的通訊，前者驗證使用者的身份，後者則控制應用程式的存取。經過驗證後，使用者會獲得一個令牌，可在服務間重複使用，而無需重新輸入憑證。

SSO 計畫通常屬於目錄伺服器驗證的範疇：每個服務使用來自單一目錄 (例如 Active Directory) 或環境的相同憑證，將驗證標記傳遞至已設定的應用程式。團隊可以使用憑證注入和其他技術來提供 SSO。現代企業 SSO 幾乎都使用聯盟標準，例如 SAML 或 OpenID Connect (OIDC) 與身分提供者 (IdP)。一般認為憑證注入/同步較不安全，也較不現代。廣為接受的聯盟協定 (SAML, OIDC) 是 SSO 的主要機制，並被視為業界標準。無論採用何種方法，任何解決方案都必須包含單一登出機制。

混合 IT 世界中的 SSO

現今的組織跨越內部部署系統、SaaS 應用程式、IaaS 平台等。有效的 SSO 必須利用聯邦身分、雲端原生遞送和目錄整合來橋樑這些環境，同時支援傳統和現代的通訊協定。

SSO 的優點

強化使用者體驗
登入一次即可存取所有授權的應用程式，提高生產力並減少密碼疲勞。
改善安全勢態
結合多因素驗證 (MFA) 和情境感知風險分析，SSO 可在集中控制的同時減少攻擊面。
更強的合規性和可視性
集中式身分控管可提供更好的記錄、稽核及政策執行 - 符合隱私權及網路安全法規的關鍵。
降低 IT 開銷
重設密碼的服務台票單更少，入職/離職工作流程更精簡。

SSO 如何協助改善內部流程？

IT 安全團隊擴充使用者單一登入的最常見原因，是為了提供快速、簡單的資訊安全存取。當組織對其受保護的資訊實施這種程度的便利時，就能達到更高的效率和生產力。SSO 可讓使用者在一天中存取多個應用程式和其他數位資源時，只需驗證一次。除了使用者滿意度之外，SSO 還能減少密碼疲勞，這是鼓勵認證衛生的基本要素。其他優點包括可衡量的效率和生產力。它可以降低存取阻礙，而存取阻礙有時會是拖延完成業務流程的根源。這對於遠端及非工作時間的專業人員來說可能尤其如此，因為他們通常會因為地點的關係而面臨更高的安全障礙。簡單存取的便利性可減少在行動裝置上進行的業務流程的摩擦，讓這些流程在有人外出或在正常工作時間以外工作時也能快速進行。

SSO 如何幫助企業競爭？

消費者參與範圍從簡單的個人化一直到高風險交易。這些消費者平台通常會使用行為資料來識別使用者的興趣，並尋找線索協助確認使用者身份。消費者已開始期望他們信賴的品牌能夠充分瞭解他們，提供有趣的資訊，並允許他們盡可能在行動裝置上進行交易。這就是單一登入的作用所在。

今日的行動和線上體驗需要一個強大的平台，並由多個後端系統支援，才能提供消費者所期望的日益複雜的體驗。一般而言，他們無法容忍在智慧型手機上多次驗證身份。因此，雖然行動應用程式普遍會利用各種後端系統，但它們並非使用者體驗的一部分。

除了簡單的存取之外，SSO 在更深入、更高層次的遠端存取中也扮演著重要的角色。讓您的消費者使用您的產品和服務完成更多工作，仍是行動應用程式競爭的戰場。隨著數位經濟的演進，行動應用程式進行更多類型的商業互動，包括風險較高的互動。提供比競爭對手更有意義的服務是與眾不同的有效方法。但這也對您的驗證基礎架構提出了更多要求。SSO 的便利性固然重要，但符合組織風險的身份驗證也同樣重要。組織越能衡量存取請求的情境風險，行動存取私人和敏感資訊的範圍就越大。問問自己

使用者是否位於預期的位置 (GSM、地理位置、網路)？
裝置是否被識別？
請求的類型是否反映過去的行為？
資料本身的風險等級為何？

根據這些風險指標，SSO 可以與進階驗證類型結合使用，將身分驗證與該風險相匹配，並在需要時使用多因素驗證：

提供多種無密碼認證選項，例如指紋、臉部識別、語音識別、頻外推送、一次性密碼等。
只有在需要時，才以驗證請求中斷消費者。
使用一種或多種驗證類型來達到必要的驗證強度。

單一登入在提供消費者便利性的同時，在與其他驗證方法一起使用時，也能平衡便利性與安全性。

實施 SSO 常見的錯誤有哪些？

IT 和業務線都應該將單一登入的價值成長視為加速曲線。使用者擁有的憑證越多，就越難記住它們。當企業減少憑證的數量時，使用者就更有可能遵循健全的憑證管理。

同樣進取的價值曲線也是由便利性所驅動。您對使用者的干擾越少，他們的生產力（員工或承包商）和快樂度（消費者）就越高。理想的情況是，在進入應用程式或啟動會話時，只需進行初始指紋、臉部識別或其他認證，僅此而已。無論使用者使用多少服務或資源，都不會中斷他們的工作。在相同的範例中，應用程式或網路服務越用驗證提示來干擾使用者，就越不令人滿意，也越會產生反效果。基於這些原因，無法針對常見存取資源完成 SSO 的技術決策或實作是最具傷害性的。

將驗證限制為 Active Directory (AD)

雖然 AD (以及 Azure AD) 已經成為主要的身分提供者，但大多數組織都擁有超越 AD 的重要資源。雖然較年輕或規模較小的組織可能會發現 AD 輔以 Microsoft 的聯盟解決方案就足以提供單一登入，但大多數組織的異質性都比較高。

完全依賴信任模式技術

SAML 和 OIDC 已被廣泛採用。但複雜的環境通常無法提供完整的涵蓋範圍。令人驚訝的是，許多基於 SaaS 的服務不是不支援聯盟，就是收費高於組織願意支付的費用。相反地，記錄/播放技術或集中管理的存取閘道可彌補單一登入涵蓋範圍的不足。

誤解使用者的驗證體驗

IT 組織通常不知道使用者在一週內存取的不同角色。如果沒有清晰的畫面，他們就無法優先將哪些資源加入單一登入基礎架構。此外，部門或業務線所使用的服務通常不包括在 SSO 規劃中。

OpenText SSO 的優勢

OpenText™ 身分識別與& 存取管理（IAM）提供符合標準且安全的單一登入（SSO）功能，具備以下特點：

內建 SAML、OAuth 及 OIDC 支援。
與 Active Directory、LDAP 及雲端身分來源整合。
無密碼和適應性認證。
跨 B2B 和 B2C 生態系統的聯邦信任。
與現代零信任架構相容。

OpenText™ NetIQ™ Access Manager、OpenText™ NetIQ™ Identity Foundation，以及 OpenText™ NetIQ™ Advanced Authentication 相互協作，為所有使用者、裝置及環境提供統一且靈活的存取控制。

OpenText 如何提供 SSO？

OpenText IAM 提供五種不同的方式來提供 SSO：

OpenText™ NetIQ™ Access Manager

透過運用多種技術， OpenText™ NetIQ™ Access Manager 提供多種方式，可為任何內部網路或雲端服務實現單一登入（SSO）。無論您的應用程式是否具備介面，您的使用者（員工、客戶等）都能快速、便捷地存取。同時，OpenText™ NetIQ™ Access Manager 可讓您透過現有流程實現全面的存取控制。

除了單一登入（SSO）的優勢之外，OpenText™ NetIQ™ Access Manager 還透過迷你入口網站中的簡易設定圖示，提供一鍵存取網頁應用程式的功能。OpenText™ NetIQ™ Access Manager 內建的迷你入口網站並非旨在取代您現有的系統，而是為尚未擁有此類系統的使用者提供另一種選擇。該入口網站操作簡便，管理員可輕鬆啟用、設定及維護，且對任何使用者而言都直觀易用。OpenText™ NetIQ™ Access Manager 的快速存取介面，可提升單一登入的使用體驗。

OpenText™ NetIQ™ Access Manager 為您的組織提供三種選項，用以在所有雲端及內部網路應用程式中實施單一登入（SSO）：

存取閘道-存取控制和呈現單點登入的終極存取管理，存取閘道是跨越多重服務和複雜環境 (雲端、雲外、混合) 提供無縫使用者體驗的最佳方式。
基於標準的聯邦身份驗證——SAML、OAuth、OpenID Connect、WS-Trust 及 WS-Federation——OpenText™ NetIQ™ Access Manager 透過預先設定的連接器目錄或工具包來支援這些應用程式，您可藉此設定認證提供者與服務提供者之間的信任關係。
單一登入助手-對於不支援任何類型聯盟的小型或特殊應用程式的茫茫大海，SSO 助手可為所有這些應用程式提供服務。

OpenText™ NetIQ™ Access Manager 閘道器

此閘道器是一個反向代理，您可以將其部署在任何資源之前，無論該資源是否具備自身的安全模型或存取控制機制。這讓您能夠利用同一個身分識別供應商來管理憑證。與單一登入助理類似，此閘道也提供表單填寫政策，可自動填入 HTML 表單。表單自動填寫政策會掃描每個透過存取閘道加速的登入頁面，以確認是否能自動填入憑證資訊。無論您採用多少種單一登入技術，OpenText™ NetIQ™ Access Manager 都能提供一個集中式的管理與控制中心。

透過聯盟進行單一登入

若要透過聯邦機制實現單一登入，OpenText™ NetIQ™ Access Manager 可讓您根據需求，建立可作為身分提供者或服務提供者運作的信任關係。您還需要設定聯邦類型（SAML、OAuth、OpenID Connect、WS-Trust 或 WS-Federation）。如果您使用的是 SAML，可以從眾多預先設定好的連接器中選擇其中一個。如果目錄中沒有針對您所需服務的預先設定 SAML 連接器，您可以使用工具包自行設定。

透過助理單一登入

對於那些因過於老舊、規模過小或功能過於基礎而無法支援聯邦認證的雲端服務，單一登入助手能以最少的努力，提供單一登入（SSO）體驗。當使用者輸入憑證時，系統會提示其下載瀏覽器外掛程式，以便在記錄憑證時能安全地擷取這些資訊。一旦設定好助理，使用者在存取應用程式時即可體驗單一登入（SSO）。若要尋找現成的助理連接器，首先應查閱 OpenText™ NetIQ™ Access Manager 連接器目錄。如果您找不到所需的連接器，可以自行錄製一個。OpenText™ NetIQ™ Access Manager 會在首次使用時自動提示使用者安裝連接器，之後便會從 OpenText™ NetIQ™ Access Manager 擷取並提交使用者的憑證，以進行自動登入。在為不同應用程式設定「基本 SSO 連接器」時，您需針對特定網站定義該連接器。基本 SSO 透過瀏覽器外掛程式或擴充功能來擷取使用者的憑證。它會將使用者憑證安全地儲存於身分識別伺服器上，絕不使用存取閘道。

OpenText™ NetIQ™ 進階驗證

OpenText™ NetIQ™ Advanced Authentication 為 Windows 客戶端的使用者提供單一登入功能。單一登入 (SSO) 支援範圍涵蓋 .NET、Java、原生應用程式，以及所有主流瀏覽器上的網頁應用程式。對終端使用者而言，這一切都無縫銜接，有助於他們專注於主要工作。即使是未連接到集中式目錄的遠端使用者，單一登入功能在未連網的獨立筆記型電腦上仍可正常運作。OpenText™ NetIQ™ Advanced Authentication 還提供快速使用者切換，這意味著它能迅速為資訊站或共用工作站提供單一登入服務。可透過徽章或其他非接觸式方式進行喚起，這種方式既快速、簡單，又極為安全。

OpenText 為組織提供比其他廠商更多的單一登入選項。

Resources

OpenText™ Access Manager product overview