什麼是單點登錄?
概述
單點登錄 (SSO) 是一種身份驗證方法,允許使用者使用其登錄憑據(聲明和機密)的單個條目訪問多個資源。SSO 在各種系統和域中提供這種用戶體驗。為了保持順暢訪問,SSO 必須擴展到使用者使用的資料中心和平臺中正在運行的各種服務和資源。這些平臺可能以 IaaS、PaaS 或全方位服務 (SaaS) 的形式存在,它們可能支援也可能不支援信任模型。
SSO 計劃通常屬於目錄伺服器身份驗證類別:每個服務都使用來自單個目錄(如 Active Directory)的相同憑據,或者環境將身份驗證令牌傳遞給配置的應用程式。團隊還使用憑據注入和其他技術來交付 SSO。無論採用哪種方法,任何解決方案都必須包括單一註銷機制。
NetIQ 身份管理為您的業務提供支援
OpenText™ NetIQ™ 高級身份驗證提供一套全面的標識和訪問服務,使工作人員能夠在正確的時間從任何位置、任何設備、任何位置安全地訪問資源。 NetIQ 還使組織能夠有效、安全地與消費者進行交互。
閱讀傳單單點登錄
SSO 在安全態勢中扮演什麼角色?
您可以通過不同的技術完成 SSO。一種更安全的方法是一種實現,在這種實現中,使用者不知道他們使用的每個服務的憑據,而只知道主伺服器。由於使用者不知道每個憑據,因此不存在繞過身份驗證中心或在安全性較低的平臺上共用它們的風險。
組織通常通過信任模型提供 SSO。單個身份供應商 (IdP) 要麼持有憑證,要麼控制對憑證的訪問。在此模型中,每個服務都依賴於IdP來驗證訪問方的身份。雖然此方法縮小了存儲憑據的位置數,但使用者可能知道也可能不知道服務的真實憑據。
任何將憑據同步到每個應用程式或服務的 SSO 設計都是最不安全的選項,應很少使用(如果有的話)。為了安全起見,組織致力於減少攻擊媒介的數量,而不是增加它們。
作為高級身份驗證環境的一個元件,單點登錄可以與多因素身份驗證配對,以加強對使用者身份的驗證,同時最大限度地減少中斷。這種方法可幫助組織最大限度地提高可用性和安全性,尤其是在與被動無密碼方法結合使用時。雖然某些被動身份驗證類型可能比其他被動身份驗證類型弱,但您可以將它們與各種數字資源的其他驗證指標一起使用。作為風險服務規劃的一部分,安全團隊可以將其資源組織到敏感度類別中,並分配相應的身份驗證強度。
SSO 如何幫助改進內部流程?
IT 安全團隊擴展其使用者的單點登錄的最常見原因是快速、簡單地提供對資訊的安全訪問。當組織對其受保護的信息實施這種便利級別時,他們將獲得更高的效率和生產力。SSO 允許使用者對他們全天訪問的多個應用程式和其他數位資源進行一次身份驗證。除了用戶滿意度之外,SSO 還可以減少密碼疲勞,這是鼓勵憑據衛生的基本要素。其他好處包括可衡量的效率和生產力。它降低了訪問障礙,這有時可能是完成業務流程拖延的根源。對於遠端和下班后的專業人士來說尤其如此,他們經常因為位置而面臨更高的安全障礙。簡單訪問的便利性減少了在行動裝置上執行的業務流程的摩擦,使它們能夠在有人在旅途中或在正常工作時間之外工作時快速發生。
SSO 如何幫助企業參與競爭?
消費者參與的範圍從簡單的個人化一直到高風險交易。這些消費者平臺經常使用行為數據來識別興趣並尋找線索來幫助確認使用者身份。消費者開始期望他們值得信賴的品牌足夠了解他們,以提供有趣的資訊,並允許他們在行動裝置上開展盡可能多的業務。這就是單點登錄發揮作用的地方。
當今的移動和在線體驗需要一個強大的平臺,並由多個後端系統提供支援,以提供消費者期望的日益複雜的體驗。通常,他們不能容忍在智能手機上多次驗證自己的身份。因此,雖然移動應用程式利用各種後端系統很常見,但它們並不是用戶體驗的一部分。
除了簡單的訪問之外,SSO 在更深入、更高風險的遠端訪問中也發揮著作用。讓您的消費者通過您的產品和服務取得更多成就仍然是移動應用競爭的戰場。隨著數位經濟的發展,移動應用程式可以進行更多類型的業務交互,包括風險更高的業務交互。提供比競爭對手更有意義的服務是實現差異化的有效方式。但它也對身份驗證基礎結構提出了更多要求。SSO 的便利性很重要,但與組織風險相匹配的身份驗證也很重要。組織對訪問請求的上下文風險的衡量能力越強,對私人和敏感資訊的移動訪問範圍就越大。問問自己:
- 使用者是否位於預期的位置(GSM、地理位置、網路)?
- 設備是否被識別?
- 請求類型是否反映了過去的行為?
- 數據本身的風險級別是多少?
根據這些風險指標,SSO 可以與高級身份驗證類型結合使用,以將身份驗證與該風險相匹配,並在需要時使用多重身份驗證:
- 提供多種無密碼身份驗證選項,如指紋、面部識別、語音辨識、帶外推送、一次性密碼等。
- 僅在需要時使用驗證請求打斷消費者。
- 使用一種或多種身份驗證類型來實現必要的驗證強度。
雖然單點登錄為消費者提供了便利,但在與其他身份驗證方法一起使用時,它也在便利性和安全性之間取得了平衡。
實施 SSO 時有哪些常見錯誤?
IT 部門和營業單位都應該將單點登錄日益增長的價值視為一條加速曲線。用戶擁有的憑據越多,記住它們就越困難。當企業減少憑據數量時,使用者更有可能遵循健全的憑據管理。
同樣激進的價值曲線是由便利性驅動的。你打斷用戶的次數越少,他們的工作效率(員工或承包商)就越高,他們(消費者)就越快樂。理想情況下,在進入應用程式或開始會話時,有初始指紋、面部識別或其他一些聲明,僅此而已。無論使用者從多少服務或資源中獲取,他們的任務都不會中斷。在相同的範式中,應用程式或 Web 服務通過身份驗證提示打斷用戶的次數越多,它就越不令人滿意和適得其反。由於這些原因,無法完成常用資源的 SSO 的技術決策或實現最具破壞性。
將身份驗證限制為 Active Directory (AD)
雖然 AD(以及 Azure AD)已成為主要標識提供者,但大多數組織都擁有超出其範圍的基本資源。雖然年輕或較小的組織可能會發現,輔以 Microsoft 聯合解決方案的 AD 足以提供單點登錄,但其中大多數比這更異構。
完全依賴於信任模型技術
SAML 和 OIDC 的採用已得到廣泛應用。但複雜的環境通常無法提供完全覆蓋。令人驚訝的是,許多基於 SaaS 的服務要麼不支援聯合,要麼收取的費用高於組織願意支付的費用。相反,錄製/播放技術或集中管理的訪問閘道填補了單點登錄覆蓋範圍的空白。
誤解使用者的身份驗證體驗
通常,IT 組織不知道一周內訪問的使用者的不同角色。如果沒有清晰的畫面,他們就無法確定要添加到其單點登錄基礎結構的資源的優先順序。此外,部門或業務線使用的服務通常不包括在 SSO 計劃中。
如何 NetIQ 提供 SSO?
OpenText NetIQ 提供五種不同的方法來交付 SSO:
OpenText™ NetIQ™ Access Manager
使用各種技術,NetIQ Access Manager 有多種方法可以為任何 Intranet 或基於雲端的服務提供 SSO。無論您的應用程式可能具有或沒有何種介面,您的使用者(員工、客戶等)都可以快速、方便地訪問。同時, NetIQ Access Manager 為您提供使用當前流程的完全訪問控制。
除了 SSO 的優勢之外, NetIQ Access Manager 通過迷你門戶中的簡單設置圖示提供對 Web 應用程式的一鍵式訪問。 NetIQ Access Manager的內置迷你門戶並不意味著取代您已經擁有的東西,而是為那些沒有的人提供選擇。該門戶是輕量級的,便於管理員打開、配置和維護,並且對任何用戶來說都很直觀。 NetIQ Access Manager的快速訪問介面增強了單點登錄體驗。
NetIQ Access Manager 為您的組織提供三個選項,用於在所有基於雲端和 Intranet 的應用程式中實施單點登錄 (SSO):
- Access Gateway — Access Gateway 是訪問控制和呈現單點登錄的終極訪問管理,是跨多種服務和複雜環境(雲、雲外、混合)提供無縫用戶體驗的最佳方式。
- 基於標準的聯合 — SAML、OAuth、OpenID Connect、WS-Trust 和 WS-Federation —NetIQ Access Manager 通過預配置的連接器目錄或工具包支援這些應用程式,您可以從中配置身份驗證提供程式和服務提供者之間的信任。
- 單點登錄助手 - 對於不支援任何類型的聯合身份驗證的浩瀚小型或專業應用,SSO 助手可為所有這些應用提供服務。
NetIQ Access Manager 閘道
閘道是一個反向代理,您可以將其放置在任何資源的前面,無論它是否具有自己的安全模型或訪問控制。這允許您利用相同的身份提供程序進行憑據管理。與單點登錄助手一樣,閘道提供可以填充 HTML 表單的表單填充策略。表單填寫策略掃描每個登錄頁面(通過 Access Gateway 加速),以查看它是否可以填充憑據資訊。無論您使用多少單點登錄技術, NetIQ Access Manager 提供管理和控制的中心點。
通過聯合單點登錄
對於通過聯合進行的單點登錄, NetIQ Access Manager 允許您根據需要設置可用作身份提供程式或服務提供者的信任關係。您還需要設置聯合身份驗證類型(SAML、OAuth、OpenID Connect、WS-Trust 或 WS-Federation)。如果您使用的是 SAML,則可以從眾多預配置的連接器中選擇一個。如果目錄中沒有針對所需服務的預配置 SAML 連接器,則可以使用工具包設置自己的連接器。
通過助手進行單點登錄
對於太舊、太小或太原始而無法支持聯合身份驗證的基於雲的服務,單一登錄助手可輕鬆提供 SSO 體驗。它會提示使用者下載瀏覽器外掛程式,該外掛程式在記錄憑據時安全地檢索憑據。設置助手后,用戶在訪問應用程式時會體驗 SSO。尋找現成的助手連接器的第一個地方是 NetIQ Access Manager 連接器目錄。如果找不到所需的連接器,可以錄製自己的連接器。 NetIQ Access Manager 首次自動提示使用者安裝連接器,然後從以下位置檢索並提交使用者的憑據 NetIQ Access Manager 用於自動登錄。為不同的應用程式配置基本 SSO 連接器時,需要為特定網站定義連接器。基本 SSO 透過瀏覽器外掛程式或擴展程式捕獲使用者的憑據。它將使用者憑據安全地存儲在身份伺服器上,從不使用訪問閘道。
OpenText™ NetIQ™ 高級身份驗證
NetIQ 高級身份驗證 為 Windows 用戶端上的使用者提供單一登錄。SSO 支援包括所有常用瀏覽器上的 .NET、Java、本機應用程式和 Web 應用程式。對於最終用戶來說,它是無縫的,幫助他們專注於他們的主要工作。即使對於未連接到集中式目錄的遠端使用者,單點登錄也可以在沒有互聯網連接的隔離筆記型電腦上繼續工作。 NetIQ 高級身份驗證還提供快速的使用者切換,這意味著它可以快速為自助服務終端或共用工作站提供單點登錄。它可以通過徽章或其他一些快速、簡單且高度安全的非接觸式方法調用。
NetIQ 為組織提供比任何其他供應商更多的單點登錄選項。
