什么是單點登錄?

單點登錄 (SSO) 是一種集中式會話和用戶身份驗證服務，其中一組登錄憑據可用于訪問多個應用程序。它的美在于它的簡單;該服務在一個指定的平臺上對您進行身份驗證，使您無需每次登錄和退出即可使用各種服務。

在最常見的安排中，身份提供者和服務提供者通過交換數字證書和元數據建立信任關系，并通過安全斷言標記語言 (SAML)、OAuth或 OpenID 等開放標準相互通信。

如果實施得當，SSO 可以極大地提高生產力、IT 監控和管理以及安全控制。使用一個安全令牌(用戶名和密碼對)，管理員可以啟用和禁用用戶對多個系統、平臺、應用程序和其他資源的訪問。SSO 還降低了密碼丟失、遺忘或弱密碼的風險。

單點登錄術語

您需要了解 SSO 術語中的三個關鍵術語：

服務提供商：在 SSO 上下文中，這是用戶可能想要登錄的應用程序或網站——從電子郵件客戶端到銀行網站再到網絡共享的任何內容。大多數像這樣的平臺都將包含自己的功能，用于在用戶獨立時對用戶進行身份驗證，但 SSO 并非如此。

身份提供者：使用 SSO，身份驗證用戶的責任由身份提供者承擔——通常是 SSO 平臺本身。當用戶嘗試訪問服務提供者時，服務提供者將與身份提供者協商，以確保用戶已經證明他們是他們聲稱的身份。服務提供者可以圍繞身份驗證的工作方式設置參數：例如，它可以要求身份提供者使用雙因素身份驗證(2FA) 或生物識別。身份提供者將要求用戶登錄，或者，如果他們最近登錄過，可以簡單地讓服務提供者知道，而不會進一步打擾用戶。

令牌：這些是經過數字簽名以確保相互信任的結構化信息的小型集合，它們是服務和身份提供者進行通信的媒介。身份提供者將通過這些令牌告訴服務提供者用戶已通過身份驗證——但至關重要的是，這些令牌不包括用戶密碼或生物特征數據等身份驗證數據。因此，即使令牌被攻擊者截獲或服務提供商的系統遭到破壞，用戶的密碼和身份仍然是安全的。用戶還可以為使用該身份提供者的任何服務提供者使用相同的登錄憑據。

單點登錄示例

想象一下，您是單點登錄環境中的用戶，并且您正試圖訪問服務器上的某些資源。SSO 工作方式的事件順序如下：

您嘗試訪問服務提供商——同樣，這通常是您想要訪問的應用程序或網站。

作為對用戶進行身份驗證的請求的一部分，服務提供商會向身份提供商發送一個包含您的一些信息(例如您的電子郵件地址)的令牌，身份提供商是您的 SSO 系統所扮演的角色。

身份提供者首先檢查您是否已經通過身份驗證，在這種情況下，它將授予您訪問服務提供者應用程序的權限并跳到第 5 步。

如果您尚未登錄，系統會提示您提供身份提供者請求的任何憑據。

驗證這些憑據后，身份提供者將向服務提供者發送一個令牌，確認它已對您進行身份驗證。

此令牌通過您的瀏覽器傳遞給服務提供商。

一旦收到令牌，就會根據在初始配置期間在服務提供者和身份提供者之間建立的信任關系來驗證令牌。

用戶被授予訪問服務提供商的權限。