更新時間:2022-06-15 09:59:15 來源:動力節(jié)點 瀏覽890次
單點登錄 (SSO) 是一種集中式會話和用戶身份驗證服務(wù),其中一組登錄憑據(jù)可用于訪問多個應(yīng)用程序。它的美在于它的簡單;該服務(wù)在一個指定的平臺上對您進行身份驗證,使您無需每次登錄和退出即可使用各種服務(wù)。
在最常見的安排中,身份提供者和服務(wù)提供者通過交換數(shù)字證書和元數(shù)據(jù)建立信任關(guān)系,并通過安全斷言標記語言 (SAML)、OAuth或 OpenID 等開放標準相互通信。
如果實施得當,SSO 可以極大地提高生產(chǎn)力、IT 監(jiān)控和管理以及安全控制。使用一個安全令牌(用戶名和密碼對),管理員可以啟用和禁用用戶對多個系統(tǒng)、平臺、應(yīng)用程序和其他資源的訪問。SSO 還降低了密碼丟失、遺忘或弱密碼的風險。
您需要了解 SSO 術(shù)語中的三個關(guān)鍵術(shù)語:
服務(wù)提供商:在 SSO 上下文中,這是用戶可能想要登錄的應(yīng)用程序或網(wǎng)站——從電子郵件客戶端到銀行網(wǎng)站再到網(wǎng)絡(luò)共享的任何內(nèi)容。大多數(shù)像這樣的平臺都將包含自己的功能,用于在用戶獨立時對用戶進行身份驗證,但 SSO 并非如此。
身份提供者:使用 SSO,身份驗證用戶的責任由身份提供者承擔——通常是 SSO 平臺本身。當用戶嘗試訪問服務(wù)提供者時,服務(wù)提供者將與身份提供者協(xié)商,以確保用戶已經(jīng)證明他們是他們聲稱的身份。服務(wù)提供者可以圍繞身份驗證的工作方式設(shè)置參數(shù):例如,它可以要求身份提供者使用雙因素身份驗證(2FA) 或生物識別。身份提供者將要求用戶登錄,或者,如果他們最近登錄過,可以簡單地讓服務(wù)提供者知道,而不會進一步打擾用戶。
令牌:這些是經(jīng)過數(shù)字簽名以確保相互信任的結(jié)構(gòu)化信息的小型集合,它們是服務(wù)和身份提供者進行通信的媒介。身份提供者將通過這些令牌告訴服務(wù)提供者用戶已通過身份驗證——但至關(guān)重要的是,這些令牌不包括用戶密碼或生物特征數(shù)據(jù)等身份驗證數(shù)據(jù)。因此,即使令牌被攻擊者截獲或服務(wù)提供商的系統(tǒng)遭到破壞,用戶的密碼和身份仍然是安全的。用戶還可以為使用該身份提供者的任何服務(wù)提供者使用相同的登錄憑據(jù)。
想象一下,您是單點登錄環(huán)境中的用戶,并且您正試圖訪問服務(wù)器上的某些資源。SSO 工作方式的事件順序如下:
您嘗試訪問服務(wù)提供商——同樣,這通常是您想要訪問的應(yīng)用程序或網(wǎng)站。
作為對用戶進行身份驗證的請求的一部分,服務(wù)提供商會向身份提供商發(fā)送一個包含您的一些信息(例如您的電子郵件地址)的令牌,身份提供商是您的 SSO 系統(tǒng)所扮演的角色。
身份提供者首先檢查您是否已經(jīng)通過身份驗證,在這種情況下,它將授予您訪問服務(wù)提供者應(yīng)用程序的權(quán)限并跳到第 5 步。
如果您尚未登錄,系統(tǒng)會提示您提供身份提供者請求的任何憑據(jù)。
驗證這些憑據(jù)后,身份提供者將向服務(wù)提供者發(fā)送一個令牌,確認它已對您進行身份驗證。
此令牌通過您的瀏覽器傳遞給服務(wù)提供商。
一旦收到令牌,就會根據(jù)在初始配置期間在服務(wù)提供者和身份提供者之間建立的信任關(guān)系來驗證令牌。
用戶被授予訪問服務(wù)提供商的權(quán)限。