轉載 | 什麼是單點登入(SSO Single-Sign-On)?
在日常工作中,使用者需要訪問大量的資訊資源,例如,使用者首先要登入到作業系統中,然後進入各個應用系統。進入每一個系統都需要對使用者的身份進行識別與驗證,這樣,使用者需要提供多個使用者帳號與口令,為了便於記憶,使用者很可能把各種帳號與口令資訊記錄在筆記本上,甚至寫在便條上並貼在辦公桌或螢幕邊,這就使口令資訊很容易洩露出去,增加了組織資訊系統被入侵的安全風險。為了解決這個問題,單點登入的概念被提了出來
所謂單點登入就是組織把多個作業系統平臺和應用系統中的安全管理、身份識別與驗證等功能整合到一個單一的安全管理過程中,以對組織中的安全操作進行集中化管理,並方便使用者的使用。單點登入功能將與組織中的所有資訊資源進行互動操作,
可能的資訊系統包括:
- 客戶機/伺服器及其他分散式系統
- 大型主機系統
- 網路安全,包括遠端訪問機制
單點登入過程從使用者證書被引入組織IT計算環境中的第一個例項就開始了,SSO伺服器作為主域,首先處理使用者請求並根據事先建立的規則給使用者頒發授權證書,然後使用者攜帶授權證書去直接訪問作業系統、應用系統、或其他資訊資源,此時不再需要使用者進行登入操作了。這些被訪問的資源系統被稱為備份域(或第二域)。
使用SSO管理多個平臺的挑戰來源於以下幾個方面:
- 在建立所有資訊系統可接受的安全證書時,需要克服組織中不同網路、作業系統、資料庫和應用系統的異構特性。為了有效地整合SSO過程,SSO管理員應當瞭解每一個需要整合的系統是如何管理SSO安全證書資訊、ACL授權規則、稽核日誌和報告的。
- 傳統方式中的主機系統能夠對使用者進行維護與控制,但在SSO環境下,所有對使用者的維護都必須由SSO管理員在SSO伺服器中進行操作。這在一定程度上失去了單個主機管理的靈活性。
SSO的優點:
- 使用者不再需要多個口令,所以使用者可以選擇記憶一個更強的口令。
- 簡化了管理員要在多個平臺上管理使用者帳戶與授權的問題。
- 多個平臺和應用系統中使用者經常忘記了口令,管理員需要為其重新設定,SSO的實施可以降低這類管理成本。
- 減少了使用者登入進入多個應用系統與平臺的時間。
SSO的缺點:
- 要SSO支援所有的不同型別的作業系統環境是很困難的,在一個企業的IT架構中,SSO的實施需要把大量的不同解決方案集中到一個總的方案中。
- 因為需要為不同型別的系統開發SSO介面介面,因此與SSO開發相關的成本是較高的。
- 在中心化、集中化管理環境下,如果SSO伺服器出現單點故障,會造成整個資訊系統的癱瘓。
原文連結:https://www.aqniu.com/learn/851.html 作者:Secguru 星期三, 十二月 18, 2013
相關閱讀
什麼是 Authing?
Authing 提供專業的身份認證和授權服務。 我們為開發者和企業提供用以保證應用程式安全所需的認證模組,這讓開發人員無需成為安全專家。 你可以將任意平臺的應用接入到 Authing(無論是新開發的應用還是老應用都可以),同時你還可以自定義應用程式的登入方式(如:郵箱/密碼、簡訊/驗證碼、掃碼登入等)。 你可以根據你使用的技術,來選擇我們的 SDK 或呼叫相關 API 來接入你的應用。當用戶發起授權請求時,Authing 會幫助你認證他們的身份和返回必要的使用者資訊到你的應用中。
<div align=center>Authing 在應用互動中的位置</div>
- 官網:http://authing.cn
- 小登入:https://wxapp.authing.cn/#/
- 倉庫:** 歡迎 Star,歡迎 PR **
- Demo:
- 文件:https://docs.authing.cn/authing/
歡迎關注 Authing 技術專欄