单点登录（SSO）的介绍

单点登录（SSO）是一种会话和用户身份验证服务，它允许用户使用单一的登录凭据（如用户名和密码）来访问各种应用程序。许多组织和个人都使用单点登录技术，以便更高效地管理多个账户的身份验证信息。

什么是单点登录（SSO）？

单点登录（SSO）是一种认证解决方案，它允许用户使用一组相同的凭据来安全地登录到多个应用程序和网站。例如，只需一次登录操作，就可以访问Google的各类应用程序，如Google文档、Gmail以及Google云端硬盘等。

如果没有SSO解决方案的话，那么网站就会保留一份包含用户名和密码的登录凭据数据库。每次用户登录网站时，系统都会将其用户名和密码与数据库中的信息进行比对。数据库同时，它还能够验证用户的身份。

通过 SSO 解决方案，网站不会在数据库中存储登录凭据。相反，SSO 利用了一个共享的认证服务器集群，用户只需输入一次登录凭据即可完成认证。由于采用了“一次登录，多次访问”的功能，因此保护 SSO 系统中的登录凭据至关重要。因此，强烈建议将 SSO 与其他强大的认证方式相结合，例如智能令牌等。一次性密码为了实现多因素认证.

SSO登录是如何工作的呢？

• 用户在网站上输入登录凭据，然后网站会检查该用户是否已经被SSO解决方案认证过。如果已经认证过，那么SSO解决方案就会允许该用户访问网站；否则，网站会提示用户重新进行SSO登录操作。
• 用户在 SSO 解决方案中输入用户名和密码。
• 用户的登录信息会被发送到SSO解决方案中。
• SSO解决方案会从身份提供者处获取认证信息，比如来自Active Directory的身份验证结果，以确认用户的身份。一旦用户的身份被确认后，身份提供者就会向SSO解决方案发送确认消息。
• 认证信息会从 SSO 解决方案传输到用户能够访问该网站的网站。
• 在成功通过单点登录进行登录后，网站会以令牌的形式传递认证数据，以此来验证用户确实是以该用户的身份登录的，从而可以继续使用该用户在该应用程序中的权限。网页.

SSO配置的类型

• 基于Kerberos的单点登录：当用户的凭据被提交时基于Kerberos的在配置过程中，会生成一个票据授予票证（TGT）。该TGT可以获取用户希望访问的其他应用程序的票据信息，而无需用户输入自己的凭据。
• SAML单点登录：SAML是一种……可扩展标记语言这是一种标准，允许在多个安全域之间共享用户认证和授权数据。基于SAML的单点登录服务需要用户、负责管理用户目录的身份提供者以及服务提供商之间进行通信。
• 基于智能卡的单点登录：智能卡基于SSO的登录方式要求最终用户使用包含登录凭据的卡片进行首次登录。一旦使用了该卡片，用户就无需再输入用户名或密码了。SSO智能卡可以存储证书或密码。
• 社交式单点登录：许多安全专家建议，最终用户不要使用社交式单点登录服务。因为一旦攻击者获得了用户的单点登录凭据，他们就可以访问所有使用相同凭据的应用程序。
• 企业级单点登录：企业单点登录(eSSO)软件和服务是一种密码管理工具，它利用客户端和服务器组件来重复验证用户的凭据，从而实现用户能够直接登录到目标应用程序。

什么是SSO令牌呢？

SSO令牌是一组数据或信息的集合，这些数据和信息在SSO过程中被传输到不同的系统之间。这些数据可以很简单，比如用户的电子邮件地址，以及发送令牌的系统的名称。为了确保令牌的真实性，令牌必须经过数字签名处理。接收令牌的人需要验证该令牌确实来自一个可靠的机构。用于进行数字签名的证书则会在初始配置过程中被传递过来。

单点登录的优势

• 对于用户而言
  • 由于网站数据库不存储用户的登录信息，因此访问第三方网站的风险也会降低。
  • 用户的便利性得到了提升，因为他们只需记住一次登录信息，之后就可以直接使用该信息了。
  • 对于用户来说，安全性得到了显著提升，因为网站所有者不会存储用户的登录凭据。
• 对于企业来说
  • 通过单点登录机制，进入门槛降低，用户体验也更加流畅，从而能够扩大客户群体并提高客户满意度。
  • 降低管理客户用户名和密码所需的IT成本。

单点登录的缺点

• 如果登录凭据没有得到有效的保护，那么安全风险就会增加。因为现在，攻击者可以利用单一的凭据来访问许多网站和应用程序。
• 认证系统必须具有高可用性，因为一旦可用性下降，就会影响到那些依赖共享认证系统的应用程序的正常运行。