单点登录的工作原理是什么?
当今,大部分的企业都面对这样一个难题:如何实现既确保信息安全、又提升使用混合 IT 架构工作的员工生产效率?答案是单点登录,因为它可以安全验证用户,然后让用户登录到本地、移动和云的多个业务应用和服务。下文介绍单点登录的工作原理、作用及安全考量事项。
密码导致的疲劳
现代企业通常面对这个情形:员工日常必须登录多个企业应用或服务以执行各种工作,而企业必须确保其网络环境和数据的安全。大多数企业在日常工作中使用的应用数量约为40到60个,而企业员工通常需要访问其中至少 10-20 个。
为了提高员工的安全意识,企业经常向员工宣传或要求:为每个应用或服务创建唯一的密码。有些应用要求用户设置一定级别长度和复杂性的密码。但是,如果一个人要记住这么多密码时,就会习惯性想减轻负担,然后会重复使用密码、简单密码或写下明文密码放在能快速找到的地方。但这些都是应当避免的操作,因为它们都会影响应用的使用或造成信息安全风险。
密码疲劳指用户必须创建、记住和管理所有这些密码时所感受到的压力和反感。密码疲劳除了导致上述不良后果外,它还会降低员工的工作效率:
- 当人们感到压力时,更难完成工作。
- 记住和输入不同密码所花费的时间,直接影响员工的处理日常业务的工作效率。
- IT 运维人员也受到影响,因为需要花费大量时间处理员工的密码重置需求。
单点登录及其工作原理是什么?
单点登录(Single sign-on,缩写为 SSO)是一种认证用户身份的方法,让用户能使用一组账号密码成功登录一次后,便获得多个应用和服务的访问权限。SSO的工作原理如下:
- 当用户尝试访问应用时,其访问请求会被发送到由 SSO 提供商管理的集中式认证服务器以进行认证,而不是发送到目标应用的后端以认证。
- SSO 解决方案是“联合身份”的概念的实现,通过采用认证令牌,使集中式认证服务器能够在不同应用之间共享用户身份属性。在收到请求后,SSO认证服务器会查找用户是否有认证令牌。
- 如果存在有效的认证令牌,表示用户已经成功认证,因此会批准登录目标应用的请求。用户无需再输入账号密码即可访问目标应用。
- 如果没有有效的认证令牌,SSO会要求用户先进行登录认证,然后生成一个具有数字签名的、用于访问其他应用的认证令牌。
- SSO 令牌生命周期有多个配置选项;用户通常可以设置默认过期时间,或设置为空闲时间达到设定阀值后令牌过期。
SSO 中的令牌交换通常使用这些标准协议之一:Kerberos、OpenID 或 SAML。这些协议确保 SSO 解决方案可以安全地与不同应用程序沟通身份数据,例如用户是否已通过身份验证以及他们拥有哪些权限。存储身份数据的认证令牌通常有一定的有效期,其作用类似于临时身份证。
对于无法支持SSO标准协议,并且不支持任何集成改动的Web应用和非 Web 应用,企业可以使用称为企业 SSO(Enterprise SSO ,ESSO)的方法来实现单点登录。ESSO 方法利用“密码代填”的概念,即存储密码并模拟用户向应用填写密码包括修改密码。
通常,完整的SSO 解决方案应支持本地应用、云托管 SaaS 应用、老旧应用和移动应用。
SSO 的效益
SSO 的主要效益是提高最终用户的生产力和减少其密码疲劳。一家国外教育机构的一项研究发现,使用 SSO 每月可节省多位老师的合共 2,500 小时。若企业已采用单点登录,其员工从以往记录和输入各种账号密码,到现在每天可能只要输入一两次账号密码。这节省了大量的时间和精力,也提升了用户体验。
对于 IT 管理团队来说,SSO 也简化了用户身份管理。使用 SSO 解决方案,即实现单一用户身份来源,管理员能够从整体管理企业各应用的角度出发,为许多不同的应用和服务管理身份、设置安全要求和授权权限。
SSO 安全考量事项
SSO 实施的安全性,仍然取决于企业的身份管理和设置密码的策略和流程。如果企业允许员工创建容易被猜到的简单密码,那可能会导致用户的账号被盗用。此外,如果分配了员工超出其工作所需的过多访问权限,员工有可能对敏感资产或系统进行非必要的访问。
此外,由于用户会自行注册影子 IT (影子IT指使用未经企业及其核心IT部门批准的技术)服务/应用等等,可能会导致安全问题;另外一方面,如果企业员工经常使用的应用未集成到 SSO 解决方案中,会导致其必须多次登录而感到烦恼。因此企业必须有效管控SSO解决方案中的企业应用/服务。
SSO 安全吗?
由于SSO只需用户登录一个账号和密码,便允许用户直接登录SSO平台上其余的应用/服务,大大提高登录的便捷性,同时可要求使用强密码做认证,使用强密码后,安全风险能大幅降低。
但是,使用强密码是否一定会带来更好的安全性吗?毕竟,恶意者可使用现有研发技术或从暗网购买被盗账号密码列表,来获取用户密码。
因此,建议结合SSO与多因素认证(Multi-Factor Authentication,简称MFA),使其更加安全。如果 SSO 解决方案的认证服务器未检测到有效令牌,则用户需要使用有效凭据登录。如果采用了 MFA,那么在此登录过程中,会要求用户需要通过至少两种身份认证方式,以完成认证和授予其访问权限。因此,MFA增加了多种不同类别的身份证据需求,提升了单点登录过程的安全性。
快速采用SSO
SSO 是可确保的业务应用/服务的安全访问、并为最终用户提供良好用户体验的解决方案。建议企业采用灵活、通用的SSO解决方案,以管理企业现有应用、移动设备、外部 Web 服务和内部基于云的应用,最终实现减低员工的密码疲劳、提升生产力的同时也确保各应用系统的安全。
安讯奔的 AccessMatrix SSO,支持单点登录到云、移动应用和企业应用。企业可快速部署AccessMatrix SSO,然后享受它带来的轻松的管理和可靠的安全性。