#1
什么是SSO
零信任理念遵循的“持续验证,永不信任”原则,零信任架构中需要使⽤到的SSO,即单点登录 (Single sign-on) ,是⼀种⾝份验证⽅法。它只需要⽤户使⽤⼀组账号密码或登录凭据,就可以快速、安全地登录多个应⽤系统。持安零信任平台不仅具备基于Cookie⽅式的SSO单点登录⽅式,还具备超强融合其他 单点系统的能⼒,当第三⽅SSO单点登录系统使⽤标准的OAuth2.0、SMAL或CAS等 协议时,持安零信任平台可在不改变⽤户原有的认证⽅式和使⽤体验的情况下对内, 加强原有IAM系统的⽹关审计、管控和安全防护能⼒。
#2
为什么我们需要SSO
当企业使⽤了优质的 SSO 解决⽅案时,它会增加更多的安全性、可⽤性、易⽤性并 让运维⼈员省时省⼒。
1.更⾼的安全性和合规性
在常⻅的攻击场景中,⽆论是浏览器保存的⽤户名密码、本地存放的密码或是加密 软件保护的密码,其本质都是保存了对⽤户可⻅的账号与密码,这些密码对攻击者的价值往往⾮常⼤。尽管我们在⽇常接受的安全教育和培训中,总是提到不要使⽤相同的密码,尽量使⽤复杂度较⾼的密码,但因为懒惰和健忘是⽆法避免的,所以即便是深谙安全之道的安全从业者,也很难做到这⼀点,更不⽤说安全意识没有那么⾼的普通⽤户了。
单点登录(SSO)技术的出现⼀定程度上规避了这种⻛险。在零信任架构中,使⽤⼀次⾝份认证后的凭证,即可访问多个应⽤系统。即便攻击者们通过代理或隧道的⽅式,能够访问到应⽤系统的登录界⾯,也⽆法通过信息收集、钓⻥、暴⼒破解等⽅式获取到的账号密码来登录系统。
2. 更好的可⽤性和良好的⽤户体验
正是这种⼀次登录凭证,可以访问多个应⽤系统的特性,使得员⼯们⽆需为多套系统记住多个账号密码,就可以访问多套应⽤,减少了在多套应⽤系统内来回切 换所浪费的时间与精⼒。
3. 减少运维成本
单点登录(SSO)技术可以通过减少运维⼈员时间的⽅式来降低员⼯成本。假设⼀个企业的内部有多套系统,这些系统的使⽤⼈员可能是本公司的员⼯,也可能是外包⼈员或者供应商,企业的⼈员越多,运维⼈员管理这些系统账号密码的成 本也就越⼤。如果⼀个员⼯忘记密码了,想要找到运维⼈员帮助重制密码,那在企业⼈员超过⼀定规模的时候,很可能仅为了重制密码⼀项,就需要⼀位运维⼈员来处理。对于SSO⽽⾔,⽤户只需要记住⼀套账号密码即可,密码重制的功 能,也可以由SSO来完成,⽆需由运维⼈员参与进来。
#3
SSO的原理
随着⽇常办公应⽤系统的增加,⽤户需要在多套系统之间来回切换,SSO的认证机制能够帮助⽤户解决这个问题。