什么是单点登录?
概述
单点登录(SSO)是一种身份验证方法,它允许用户只需输入登录凭证(要求和秘密)即可访问多个资源。单点登录可在各种系统和域中提供这种用户体验。要保持无障碍访问,SSO 必须扩展到数据中心和用户使用的平台内运行的各种服务和资源。这些平台可能作为 IaaS、PaaS 或全面服务(SaaS)存在,可能支持也可能不支持信任模型。
SSO 计划通常属于目录服务器身份验证的范畴:每项服务都使用来自单一目录(如 Active Directory)或环境的相同凭证,将身份验证令牌传递给已配置的应用程序。团队还使用凭证注入和其他技术来提供 SSO。无论采用哪种方法,任何解决方案都必须包含单点登录机制。
NetIQ 身份管理为您的业务提供动力
OpenText™ NetIQ™ 高级身份验证提供了一套全面的身份和访问服务,使员工能够在任何时间、任何地点、任何设备上安全地访问资源。NetIQ 还使企业能够有效、安全地与消费者互动。
阅读宣传单单点登录
SSO 在安全态势中扮演什么角色?
你可以通过不同的技术实现 SSO。更安全的方法是用户不知道他们使用的每个服务的凭据,而只知道主凭据。由于用户不知道每个凭据,因此不会有规避身份验证中心或在不太安全的平台上共享凭据的风险。
企业通常通过信任模式提供 SSO。单一身份提供者(IdP)持有凭证或控制对凭证的访问。在这种模式下,每项服务都依赖于身份提供者来验证访问方的身份。虽然这种方法减少了存储凭证的地方,但用户可能知道也可能不知道服务的真实凭证。
任何将凭据同步到每个应用程序或服务的 SSO 设计都是最不安全的选择,极少使用。为了安全起见,企业应努力减少攻击载体的数量,而不是增加它们。
作为高级身份验证环境的一个组成部分,单点登录可与多因素身份验证搭配使用,以加强对用户身份的验证,同时最大限度地减少干扰。这种方法可以帮助企业最大限度地提高可用性和安全性,尤其是与被动式无密码方法搭配使用时。虽然某些被动身份验证类型可能比其他类型弱,但您可以将它们与各种数字资源的额外验证指标一起使用。作为风险服务规划的一部分,安全团队可以将资源划分为敏感度类别,并分配相应的验证强度。
SSO 如何帮助改进内部流程?
IT 安全团队扩展用户单点登录最常见的原因是为了快速、简单地安全访问信息。当企业对其受保护的信息提供这种便利时,就能实现更高的效率和生产力。单点登录允许用户只需一次身份验证,就可以访问多个应用程序和其他数字资源。除了用户满意度之外,SSO 还能减少密码疲劳,这是鼓励用户保持凭证卫生的一个基本要素。其他好处还包括可衡量的效率和生产力。它减少了访问障碍,而访问障碍有时是拖延完成业务流程的根源。对于远程和非工作时间的专业人员来说,这一点尤为重要,因为他们往往因为所处位置而面临更高的安全障碍。简单访问的便利性减少了在移动设备上进行业务流程时的摩擦,使业务流程能够在某人外出或在正常工作时间之外快速进行。
SSO 如何帮助企业竞争?
消费者参与的范围从简单的个性化服务一直到高风险交易。这些消费者平台通常使用行为数据来识别兴趣,并寻找线索帮助确认用户身份。消费者已经开始期望他们信任的品牌能够足够了解他们,为他们提供有趣的信息,并允许他们在移动设备上尽可能多地开展业务。这就是单点登录发挥作用的地方。
当今的移动和在线体验需要一个由多个后台系统支持的强大平台,以提供消费者所期望的日益复杂的体验。通常情况下,他们无法忍受在智能手机上多次验证身份。因此,虽然移动应用程序通常会利用各种后台系统,但它们并不是用户体验的一部分。
除了简单的访问,SSO 还在更深层次、更高风险的远程访问中发挥作用。让您的消费者利用您的产品和服务完成更多任务仍然是移动应用程序竞争的主战场。随着数字经济的发展,移动应用程序将进行更多类型的业务互动,包括风险更高的互动。提供比竞争对手更有意义的服务是实现差异化的有效途径。但这也对您的身份验证基础设施提出了更高的要求。SSO 的便利性固然重要,但与组织风险相匹配的身份验证也同样重要。组织越能衡量访问请求的上下文风险,对私人和敏感信息的移动访问范围就越大。扪心自问
- 用户是否位于预期位置(GSM、地理定位、网络)?
- 设备是否被识别?
- 请求类型是否反映了过去的行为?
- 数据本身的风险程度如何?
根据这些风险指标,SSO 可以与高级身份验证类型结合使用,根据风险进行身份验证,必要时使用多因素身份验证:
- 提供多种无密码身份验证选项,如指纹、面部识别、语音识别、带外推送、一次性密码等。
- 只有在必要时,才向消费者发出验证请求。
- 使用一种或多种验证类型来达到必要的验证强度。
单点登录在为消费者提供便利的同时,也兼顾了与其他身份验证方法配合使用时的便利性和安全性。
实施 SSO 的常见错误有哪些?
IT 和业务部门都应将单点登录日益增长的价值视为一条加速曲线。用户拥有的凭据越多,记住它们就越困难。当企业减少凭证数量时,用户就更有可能遵循合理的凭证管理。
这种积极的价值曲线也是由便利性驱动的。对用户的干扰越少,他们(雇员或承包商)的工作效率就越高,他们(消费者)就越高兴。理想的情况是,在进入应用程序或开始会话时,只需进行初始指纹识别、面部识别或其他一些验证,仅此而已。无论用户使用多少服务或资源,他们的工作都不会被打断。在同样的模式下,应用程序或网络服务越是用身份验证提示来干扰用户,用户就越不满意,效果也会适得其反。由于这些原因,不对常用资源进行 SSO 的技术决策或实施最具破坏性。
将身份验证限制为活动目录 (AD)
虽然 AD(以及 Azure AD)已成为主要的身份提供商,但大多数组织的基本资源都超出了 AD 的范围。虽然较年轻或规模较小的组织可能会发现,AD 加上微软的联盟解决方案就足以提供单点登录,但大多数组织的异构性比这更强。
完全依赖信任模式技术
SAML 和 OIDC 已被广泛采用。但复杂的环境通常无法提供全面的覆盖。令人惊讶的是,一些基于 SaaS 的服务要么不支持联盟,要么收费超出了企业的意愿。相反,记录/播放技术或集中管理的访问网关可以填补单点登录覆盖范围的空白。
误解用户的身份验证体验
通常情况下,IT 组织并不了解一周内访问的用户的不同身份。如果没有清晰的了解,他们就无法优先考虑将哪些资源添加到单点登录基础架构中。此外,部门或业务线使用的服务通常不包括在单点登录规划中。
NetIQ 如何提供 SSO?
OpenText NetIQ 提供了五种不同的 SSO 方法:
OpenText™ NetIQ™ Access Manager
NetIQ Access Manager 使用多种技术,有多种方法为任何内部网或基于云的服务提供 SSO。无论您的应用程序有无界面,您的用户(员工、客户等)都可以快速、方便地访问。同时,NetIQ Access Manager 可让您使用当前流程进行全面访问控制。
除了 SSO 的优势外,NetIQ Access Manager 还可通过迷你门户中的简易设置图标一键访问网络应用程序。NetIQ Access Manager内置迷你门户网站并不是要取代已有的门户网站,而是为那些没有门户网站的用户提供了一个选择。该门户轻便,便于管理员开启、配置和维护,对任何用户来说都很直观。NetIQ Access Manager其快速访问界面增强了单点登录体验。
NetIQ Access Manager 为您的组织提供了三种在所有基于云和内网的应用程序中实施单点登录 (SSO) 的选择:
- Access Gateway 是访问控制和单点登录的终极访问管理工具,是跨多种服务和复杂环境(云、非云、混合)提供无缝用户体验的最佳方式。
- 基于标准的联盟--SAML、OAuth、OpenID Connect、WS-Trust 和 WS-Federation-NetIQ Access Manager 通过预配置的连接器目录或工具包支持这些应用,您可以从中配置身份验证提供商和服务提供商之间的信任。
- 单点登录助手--对于大量不支持任何联盟类型的小型或专用应用程序,单点登录助手可为所有这些应用程序提供服务。
NetIQ Access Manager 网关
网关是一个反向代理,可以放置在任何资源前面,无论其是否有自己的安全模型或访问控制。这样就可以利用同一身份提供商进行凭证管理。与单点登录助手一样,网关也提供可填充 HTML 表单的表单填写策略。表单填写策略会扫描通过 Access Gateway 加速的每个登录页面,查看是否能填充凭证信息。无论您采用多少种单点登录技术,NetIQ Access Manager 都能提供一个中央管理和控制点。
通过联盟实现单点登录
对于通过联盟实现的单点登录,NetIQ Access Manager 可让你根据需要建立信任关系,该关系可作为身份提供者或服务提供者发挥作用。你还需要设置联盟类型(SAML、OAuth、OpenID Connect、WS-Trust 或 WS-Federation)。如果使用 SAML,可以从众多预配置连接器中选择一个。如果目录中没有您想要的服务的预配置 SAML 连接器,您可以使用工具包自行设置。
通过助手实现单点登录
对于过于陈旧、规模太小或原始而无法支持联盟的云服务,单点登录助手能以最小的代价提供 SSO 体验。它会提示用户下载浏览器插件,以便在记录凭证时安全地检索凭证。一旦设置了单点登录助手,用户在访问应用程序时就能体验单点登录。要查找现成的助手连接器,首先要访问NetIQ Access Manager 连接器目录。如果找不到需要的连接器,也可以自己录制。NetIQ Access Manager 会自动提示用户首次安装连接器,然后从NetIQ Access Manager 获取并提交用户凭据,以便自动登录。为不同的应用程序配置基本 SSO 连接器时,要为特定网站定义连接器。基本 SSO 通过浏览器插件或扩展捕获用户凭据。它将用户凭据安全地存储在身份服务器上,从不使用访问网关。
OpenText™ NetIQ™ 高级身份验证
NetIQ 高级身份验证功能可为 Windows 客户端上的用户提供单点登录功能。单点登录支持包括 .NET、Java、本地应用程序和所有常用浏览器上的网络应用程序。这对终端用户来说是无缝的,有助于他们专注于自己的主要工作。即使是未连接到集中目录的远程用户,单点登录也能在没有互联网连接的独立笔记本电脑上继续工作。NetIQ 高级身份验证还提供快速用户切换功能,这意味着它能为自助终端或共享工作站快速提供单点登录。它可以通过徽章或其他快速、简单和高度安全的非接触式方法进行调用。
NetIQ 为企业提供的单点登录选项比任何其他供应商都多。
