什麼是單點登錄?
概述
單點登錄 (SSO) 是一種身份驗證方法,允許使用者使用其登錄憑據(聲明和機密)的單個條目訪問多個資源。SSO 在各種系統和域中提供這種用戶體驗。為了保持順暢訪問,SSO 必須擴展到使用者使用的資料中心和平臺中正在運行的各種服務和資源。這些平臺可能以 IaaS、PaaS 或全方位服務 (SaaS) 的形式存在,它們可能支援也可能不支援信任模型。
SSO 計劃通常屬於目錄伺服器身份驗證類別:每個服務都使用來自單個目錄(如 Active Directory)的相同憑據,或者環境將身份驗證令牌傳遞給配置的應用程式。團隊還使用憑據注入和其他技術來交付 SSO。無論採用哪種方法,任何解決方案都必須包括單一註銷機制。
NetIQ 身分管理為您的業務提供動力
OpenText™ 網路智商™ Advanced Authentication 提供一套全面的身份和存取服務,使工作人員能夠在任何地方、在任何設備上、在任何地點、在正確的時間安全地存取資源。 NetIQ 也使組織能夠有效、安全地與消費者互動。
閱讀傳單單點登錄
SSO 在安全態勢中扮演什麼角色?
您可以通過不同的技術完成 SSO。一種更安全的方法是一種實現,在這種實現中,使用者不知道他們使用的每個服務的憑據,而只知道主伺服器。由於使用者不知道每個憑據,因此不存在繞過身份驗證中心或在安全性較低的平臺上共用它們的風險。
組織通常通過信任模型提供 SSO。單個身份供應商 (IdP) 要麼持有憑證,要麼控制對憑證的訪問。在此模型中,每個服務都依賴於IdP來驗證訪問方的身份。雖然此方法縮小了存儲憑據的位置數,但使用者可能知道也可能不知道服務的真實憑據。
任何將憑據同步到每個應用程式或服務的 SSO 設計都是最不安全的選項,應很少使用(如果有的話)。為了安全起見,組織致力於減少攻擊媒介的數量,而不是增加它們。
作為高級身份驗證環境的一個元件,單點登錄可以與多因素身份驗證配對,以加強對使用者身份的驗證,同時最大限度地減少中斷。這種方法可幫助組織最大限度地提高可用性和安全性,尤其是在與被動無密碼方法結合使用時。雖然某些被動身份驗證類型可能比其他被動身份驗證類型弱,但您可以將它們與各種數字資源的其他驗證指標一起使用。作為風險服務規劃的一部分,安全團隊可以將其資源組織到敏感度類別中,並分配相應的身份驗證強度。
SSO 如何幫助改進內部流程?
IT 安全團隊擴展其使用者的單點登錄的最常見原因是快速、簡單地提供對資訊的安全訪問。當組織對其受保護的信息實施這種便利級別時,他們將獲得更高的效率和生產力。SSO 允許使用者對他們全天訪問的多個應用程式和其他數位資源進行一次身份驗證。除了用戶滿意度之外,SSO 還可以減少密碼疲勞,這是鼓勵憑據衛生的基本要素。其他好處包括可衡量的效率和生產力。它降低了訪問障礙,這有時可能是完成業務流程拖延的根源。對於遠端和下班后的專業人士來說尤其如此,他們經常因為位置而面臨更高的安全障礙。簡單訪問的便利性減少了在行動裝置上執行的業務流程的摩擦,使它們能夠在有人在旅途中或在正常工作時間之外工作時快速發生。
SSO 如何幫助企業參與競爭?
消費者參與的範圍從簡單的個人化一直到高風險交易。這些消費者平臺經常使用行為數據來識別興趣並尋找線索來幫助確認使用者身份。消費者開始期望他們值得信賴的品牌足夠了解他們,以提供有趣的資訊,並允許他們在行動裝置上開展盡可能多的業務。這就是單點登錄發揮作用的地方。
當今的移動和在線體驗需要一個強大的平臺,並由多個後端系統提供支援,以提供消費者期望的日益複雜的體驗。通常,他們不能容忍在智能手機上多次驗證自己的身份。因此,雖然移動應用程式利用各種後端系統很常見,但它們並不是用戶體驗的一部分。
除了簡單的訪問之外,SSO 在更深入、更高風險的遠端訪問中也發揮著作用。讓您的消費者通過您的產品和服務取得更多成就仍然是移動應用競爭的戰場。隨著數位經濟的發展,移動應用程式可以進行更多類型的業務交互,包括風險更高的業務交互。提供比競爭對手更有意義的服務是實現差異化的有效方式。但它也對身份驗證基礎結構提出了更多要求。SSO 的便利性很重要,但與組織風險相匹配的身份驗證也很重要。組織對訪問請求的上下文風險的衡量能力越強,對私人和敏感資訊的移動訪問範圍就越大。問問自己:
- 使用者是否位於預期的位置(GSM、地理位置、網路)?
- 設備是否被識別?
- 請求類型是否反映了過去的行為?
- 數據本身的風險級別是多少?
根據這些風險指標,SSO 可以與高級身份驗證類型結合使用,以將身份驗證與該風險相匹配,並在需要時使用多重身份驗證:
- 提供多種無密碼身份驗證選項,如指紋、面部識別、語音辨識、帶外推送、一次性密碼等。
- 僅在需要時使用驗證請求打斷消費者。
- 使用一種或多種身份驗證類型來實現必要的驗證強度。
雖然單點登錄為消費者提供了便利,但在與其他身份驗證方法一起使用時,它也在便利性和安全性之間取得了平衡。
實施 SSO 時有哪些常見錯誤?
IT 部門和營業單位都應該將單點登錄日益增長的價值視為一條加速曲線。用戶擁有的憑據越多,記住它們就越困難。當企業減少憑據數量時,使用者更有可能遵循健全的憑據管理。
同樣激進的價值曲線是由便利性驅動的。你打斷用戶的次數越少,他們的工作效率(員工或承包商)就越高,他們(消費者)就越快樂。理想情況下,在進入應用程式或開始會話時,有初始指紋、面部識別或其他一些聲明,僅此而已。無論使用者從多少服務或資源中獲取,他們的任務都不會中斷。在相同的範式中,應用程式或 Web 服務通過身份驗證提示打斷用戶的次數越多,它就越不令人滿意和適得其反。由於這些原因,無法完成常用資源的 SSO 的技術決策或實現最具破壞性。
將身份驗證限制為 Active Directory (AD)
雖然 AD(以及 Azure AD)已成為主要標識提供者,但大多數組織都擁有超出其範圍的基本資源。雖然年輕或較小的組織可能會發現,輔以 Microsoft 聯合解決方案的 AD 足以提供單點登錄,但其中大多數比這更異構。
完全依賴於信任模型技術
SAML 和 OIDC 的採用已得到廣泛應用。但複雜的環境通常無法提供完全覆蓋。令人驚訝的是,許多基於 SaaS 的服務要麼不支援聯合,要麼收取的費用高於組織願意支付的費用。相反,錄製/播放技術或集中管理的訪問閘道填補了單點登錄覆蓋範圍的空白。
誤解使用者的身份驗證體驗
通常,IT 組織不知道一周內訪問的使用者的不同角色。如果沒有清晰的畫面,他們就無法確定要添加到其單點登錄基礎結構的資源的優先順序。此外,部門或業務線使用的服務通常不包括在 SSO 計劃中。
怎麼樣NetIQ 提供單一登入嗎?
OpenText NetIQ 提供五種不同的 SSO 交付方法:
OpenText™ NetIQ™ 存取管理器
NetIQ Access Manager 使用多種技術,可以透過多種方式為任何 Intranet 或基於雲端的服務提供 SSO 。無論您的應用程式可能有或沒有介面,您的用戶(員工、客戶等)都可以快速、方便地存取。同時, NetIQ Access Manager 為您提供使用目前流程的完全存取控制。
除了 SSO 的優勢之外, NetIQ Access Manager 透過迷你入口網站中的簡單設定圖示提供對 Web 應用程式的一鍵存取。 NetIQ Access Manager 內建的迷你門戶並不是要取代您已有的門戶,而是為那些沒有門戶的使用者提供一種選擇。該入口網站是輕量級的,可供管理員打開、配置和維護,並且對任何使用者來說都很直觀。 NetIQ Access Manager 的快速存取介面增強了單一登入體驗。
NetIQ Access Manager 為您的組織提供了三種選項,用於在所有雲端和基於 Intranet 的應用程式中實施單一登入 (SSO):
- Access Gateway — Access Gateway 是訪問控制和呈現單點登錄的終極訪問管理,是跨多種服務和複雜環境(雲、雲外、混合)提供無縫用戶體驗的最佳方式。
- 基於標準的聯合 - SAML、OAuth、OpenID Connect、WS-Trust 和 WS-Federation - NetIQ Access Manager 透過預先設定的連接器目錄或工具包支援這些應用程序,您可以從中設定身分驗證提供者和服務提供者之間的信任。
- 單點登錄助手 - 對於不支援任何類型的聯合身份驗證的浩瀚小型或專業應用,SSO 助手可為所有這些應用提供服務。
NetIQ 存取管理器網關
網關是一個反向代理,您可以放置在任何資源前面,無論它是否有自己的安全模型或存取控制。這允許您利用相同的身分提供者進行憑證管理。與單一登入助理一樣,網關提供可以填入 HTML 表單的表單填寫策略。表單填寫策略掃描每個登入頁面(透過 Access Gateway 加速),看看它是否可以填入憑證資訊。無論您使用多少單一登入技術, NetIQ Access Manager 提供管理和控制的中心點。
通過聯合單點登錄
對於透過聯合進行單一登錄, NetIQ Access Manager 可讓您建立信任關係,該關係可以根據您的需求充當身分提供者或服務提供者。您還需要設定聯合類型(SAML、OAuth、OpenID Connect、WS-Trust 或 WS-Federation)。如果您使用 SAML,則可以選擇眾多預先設定連接器之一。如果目錄沒有針對所需服務的預先設定 SAML 連接器,您可以使用該工具包來設定自己的連接器。
通過助手進行單點登錄
對於太舊、太小或太原始而無法支援聯合的基於雲端的服務,單一登入助理可以輕鬆提供 SSO 體驗。它提示使用者下載瀏覽器插件,以便在記錄憑證時安全地檢索憑證。設定助手後,使用者在存取應用程式時將體驗 SSO。尋找現成的輔助連接器的第一個地方是NetIQ Access Manager 連接器目錄。如果找不到所需的連接器,您可以自行錄製。 NetIQ Access Manager 第一次會自動提示使用者安裝連接器,之後它會從下列位置擷取並提交使用者的憑證: NetIQ 用於自動登入的存取管理員。為不同應用程式設定基本 SSO 連接器時,您可以為特定網站定義連接器。基本 SSO 透過瀏覽器外掛程式或擴充功能來擷取使用者的憑證。它將使用者憑證安全地儲存在 Identity Server 上,從不使用 Access Gateway。
OpenText™ 網路智商™ Advanced Authentication
NetIQ Advanced Authentication 為 Windows 用戶端上的使用者提供單一登入。 SSO 支援包括所有流行瀏覽器上的 .NET、Java、本機應用程式和 Web 應用程式。它對於最終用戶來說是無縫的,幫助他們專注於他們的主要工作。即使對於未連接到集中式目錄的遠端用戶,單一登入也可以在沒有網路連線的隔離筆記型電腦上繼續運作。 NetIQ Advanced Authentication 還提供快速的用戶切換,這意味著它可以快速為資訊亭或共用工作站提供單一登入。它可以透過徽章或其他快速、簡單且高度安全的非接觸式方法來呼叫。
NetIQ 為組織提供比任何其他供應商更多的單一登入選項。
