單一登入 (SSO) 是一種重要的雲端安全技術,可將所有使用者應用程式登入縮減為一個登入,以提高安全性和便利性。
閱讀本文後,您將能夠:
複製文章連結
單一登入 (SSO) 是一種將多個不同的應用程式登入螢幕合合為一體的技術。使用 SSO,使用者只需在單個頁面上輸入一次登入認證(使用者名稱、密碼等)即可存取其所有 SaaS 應用程式。
SSO 通常用於企業環境中,此時使用者應用程式由內部 IT 團隊指派和管理。使用 SaaS 應用程式的遠端工作人員也可以從使用 SSO 中受益。
想像一下這樣的情況,假如顧客已經被准許進入酒吧,但在每次嘗試購買其他含酒精飲料時都被要求出示身分證以證明年齡。一些顧客很快會因為一再檢查而感到不滿,甚至可能會試圖偷偷飲用自帶飲料,從而規避這些措施。
但是,大多數場所只會檢查一次客戶的身分,然後在一個晚上為客戶提供幾杯飲料。這有點像 SSO 系統:使用者不用一遍又一遍地確認他們的身分,而是確認身分一次,然後可以存取幾個不同的服務。
SSO 是許多身分識別與存取管理 (IAM) 或存取控制解決方案的一個重要方面。使用者身分驗證對於瞭解每個使用者應具有哪些權限至關重要。Cloudflare Zero Trust 就是與 SSO 解決方案整合來管理使用者身分的一種存取控制解決方案。
除了對使用者來說更簡單、更方便之外,SSO 還被廣泛認為更安全。這似乎違反直覺:使用一個密碼登入一次,而不是使用多個密碼登入多次,如何更安全?SSO 的支援者列舉了以下原因:
每當使用者登入到 SSO 服務時,該服務都會建立一個驗證權杖,用於記住使用者已通過驗證。驗證權杖是儲存在使用者瀏覽器或 SSO 服務的伺服器中的一段數位資訊,類似於頒發給使用者的臨時 ID 卡。使用者存取的任何應用程式都將與 SSO 服務進行確認。SSO 服務將使用者的驗證權杖傳遞給應用程式,然後應用程式允許使用者進入。但是,如果使用者尚未登入,系統將提示他們透過 SSO 服務登入。
SSO 服務不需要記住使用者是誰,因為它不儲存使用者身分。大多數 SSO 服務的運作方式是針對單獨的身分管理服務檢查使用者認證。
將 SSO 視為一個中間人,它可以確認使用者的登入認證是否與他們在資料庫中的身分匹配,而無需自己管理資料庫。這就像是圖書管理員根據書名代表他人查找書籍一樣。圖書館員不用記住整個借書證目錄,但他們可以輕鬆存取它。
將驗證權杖傳遞給外部應用程式和服務的能力在 SSO 過程中至關重要。這使得身分驗證能夠與其他雲端服務分開進行,從而使 SSO 成為可能。
想想一場只允許少數人參加的獨家活動。要表明活動入口處的保安已經檢查並核准某位客人入場,一種方法是在每位客人的手上蓋章。工作人員可以檢查每位客人的印章,以確保他們已被允許入場。但是,不是任何印章都行;工作人員知道入口處的保安所用印章的確切形狀和顏色。
正如每個印章必須看起來相同一樣,驗證權杖有自己的通訊標準,以確保它們正確且合法。主要的驗證權杖標準稱為 SAML(安全性聲明標記語言)。與用 HTML(超文字標記語言)編寫網頁的方式類似,驗證權杖用 SAML 來編寫。
SSO 只是管理使用者存取的一個方面。它必須與存取控制、權限控制、活動記錄和其他措施相結合,以追蹤和控制組織內部系統中的使用者行為。但是,SSO 是存取管理的一個關鍵元素。如果系統不知道使用者是誰,則無法允許或限制該使用者的動作。
Cloudflare Zero Trust 控制並保護使用者對應用程式和網站的存取;它可以取代大多數 VPN。Cloudflare 與 SSO 提供者整合,以識別使用者並強制執行其指派的存取權限。
SSO 是一個驗證過程,允許使用者使用一組認證存取多個應用程式。該過程通常涉及對使用者進行驗證的身分識別提供者和接受驗證權杖的服務提供者。
SSO 讓使用者無需記住不同應用程式的多組認證。與儲存多個密碼的傳統密碼管理器不同,SSO 只需要記住和保護一組認證。
使用 SSO 進行聯合身分管理可提供集中的驗證控制,使組織更容易在多個應用程式中實施一致的安全性原則。它還可以透過限制可能被盜的儲存認證數量來縮小組織的攻擊面。
SSO 系統可以與 MFA 整合,以便在初始登入認證之外要求額外驗證。這種整合建立了多層安全性,同時仍保持 SSO 功能的便利性。
Kerberos 是一種驗證通訊協定,它使用對稱金鑰加密和受信任的第三方授權來驗證身分。安全性聲明標記語言 (SAML) 是一種基於 XML 的開放標準,可在身分識別提供者和服務提供者之間交換驗證和授權資料。Kerberos 常用於內部部署環境,而 SAML 通常用於基於 Web 的 SSO 解決方案。
開始使用
關於存取管理
關於零信任
VPN 資源
字彙
學習中心導覽