什么是單點(diǎn)登錄?

單點(diǎn)登錄 (SSO) 是一種集中式會(huì)話和用戶身份驗(yàn)證服務(wù)，其中一組登錄憑據(jù)可用于訪問多個(gè)應(yīng)用程序。它的美在于它的簡(jiǎn)單;該服務(wù)在一個(gè)指定的平臺(tái)上對(duì)您進(jìn)行身份驗(yàn)證，使您無需每次登錄和退出即可使用各種服務(wù)。

在最常見的安排中，身份提供者和服務(wù)提供者通過交換數(shù)字證書和元數(shù)據(jù)建立信任關(guān)系，并通過安全斷言標(biāo)記語(yǔ)言 (SAML)、OAuth或 OpenID 等開放標(biāo)準(zhǔn)相互通信。

如果實(shí)施得當(dāng)，SSO 可以極大地提高生產(chǎn)力、IT 監(jiān)控和管理以及安全控制。使用一個(gè)安全令牌(用戶名和密碼對(duì))，管理員可以啟用和禁用用戶對(duì)多個(gè)系統(tǒng)、平臺(tái)、應(yīng)用程序和其他資源的訪問。SSO 還降低了密碼丟失、遺忘或弱密碼的風(fēng)險(xiǎn)。

單點(diǎn)登錄術(shù)語(yǔ)

您需要了解 SSO 術(shù)語(yǔ)中的三個(gè)關(guān)鍵術(shù)語(yǔ)：

服務(wù)提供商：在 SSO 上下文中，這是用戶可能想要登錄的應(yīng)用程序或網(wǎng)站——從電子郵件客戶端到銀行網(wǎng)站再到網(wǎng)絡(luò)共享的任何內(nèi)容。大多數(shù)像這樣的平臺(tái)都將包含自己的功能，用于在用戶獨(dú)立時(shí)對(duì)用戶進(jìn)行身份驗(yàn)證，但 SSO 并非如此。

身份提供者：使用 SSO，身份驗(yàn)證用戶的責(zé)任由身份提供者承擔(dān)——通常是 SSO 平臺(tái)本身。當(dāng)用戶嘗試訪問服務(wù)提供者時(shí)，服務(wù)提供者將與身份提供者協(xié)商，以確保用戶已經(jīng)證明他們是他們聲稱的身份。服務(wù)提供者可以圍繞身份驗(yàn)證的工作方式設(shè)置參數(shù)：例如，它可以要求身份提供者使用雙因素身份驗(yàn)證(2FA) 或生物識(shí)別。身份提供者將要求用戶登錄，或者，如果他們最近登錄過，可以簡(jiǎn)單地讓服務(wù)提供者知道，而不會(huì)進(jìn)一步打擾用戶。

令牌：這些是經(jīng)過數(shù)字簽名以確保相互信任的結(jié)構(gòu)化信息的小型集合，它們是服務(wù)和身份提供者進(jìn)行通信的媒介。身份提供者將通過這些令牌告訴服務(wù)提供者用戶已通過身份驗(yàn)證——但至關(guān)重要的是，這些令牌不包括用戶密碼或生物特征數(shù)據(jù)等身份驗(yàn)證數(shù)據(jù)。因此，即使令牌被攻擊者截獲或服務(wù)提供商的系統(tǒng)遭到破壞，用戶的密碼和身份仍然是安全的。用戶還可以為使用該身份提供者的任何服務(wù)提供者使用相同的登錄憑據(jù)。

單點(diǎn)登錄示例

想象一下，您是單點(diǎn)登錄環(huán)境中的用戶，并且您正試圖訪問服務(wù)器上的某些資源。SSO 工作方式的事件順序如下：

您嘗試訪問服務(wù)提供商——同樣，這通常是您想要訪問的應(yīng)用程序或網(wǎng)站。

作為對(duì)用戶進(jìn)行身份驗(yàn)證的請(qǐng)求的一部分，服務(wù)提供商會(huì)向身份提供商發(fā)送一個(gè)包含您的一些信息(例如您的電子郵件地址)的令牌，身份提供商是您的 SSO 系統(tǒng)所扮演的角色。

身份提供者首先檢查您是否已經(jīng)通過身份驗(yàn)證，在這種情況下，它將授予您訪問服務(wù)提供者應(yīng)用程序的權(quán)限并跳到第 5 步。

如果您尚未登錄，系統(tǒng)會(huì)提示您提供身份提供者請(qǐng)求的任何憑據(jù)。

驗(yàn)證這些憑據(jù)后，身份提供者將向服務(wù)提供者發(fā)送一個(gè)令牌，確認(rèn)它已對(duì)您進(jìn)行身份驗(yàn)證。

此令牌通過您的瀏覽器傳遞給服務(wù)提供商。

一旦收到令牌，就會(huì)根據(jù)在初始配置期間在服務(wù)提供者和身份提供者之間建立的信任關(guān)系來驗(yàn)證令牌。

用戶被授予訪問服務(wù)提供商的權(quán)限。