单点登录 (SSO)
组织正在迅速转向移动优先,移动设备现已成为企业生产力的主要来源。随之而来的是不断登录各种应用程序和/或网络服务的麻烦。除此之外,还有以下缺点:
- 密码记忆困难
- 密码疲劳
- 多个基于凭据的支持工单
- 重复请求提供凭据
首先,每个用户需要记住根据组织安全标准创建的密码。然而,我们中的所有人都有过忘记密码的时候,主要是因为密码设置得过于复杂,以符合安全合规要求。此外,员工被迫定期更改密码,这使得记忆问题变得更大。
另一个缺点是员工体验到的密码疲劳,即需要记住 多个用户名/密码组合 来访问多个不同的服务。
这是前两个缺点的结果,IT管理员频繁收到请求重置密码的工单。
用户即使访问相同的服务,也被迫每次都重新输入密码。
这些缺点的解决方案是 单点登录(SSO).
什么是单点登录(SSO)?
单点登录(SSO),顾名思义,只需用户输入一次凭据,之后用户即可继续访问所有所需的网络服务和/或应用程序,无需重复登录。当用户第一次提供凭据时,他们会获得一个“票证”。票证,顾名思义,使用户无需重新登录即可访问其他网络服务/应用程序。票证是基于用户凭据生成的,只要票证有效,用户就可以继续访问网络服务/应用程序。此外,由于票证用于授权访问,确保密码不会通过网络(互联网)传输。
基于 MDM 的单点登录(SSO)
MDM 利用 Kerberos 网络身份验证协议实现单点登录(SSO)。Kerberos 是最常用的单点登录技术,使用数据加密标准(DES)对用户凭据进行加密。使用 Active Directory(AD) 等目录服务的组织通常已有 Kerberos 系统。SSO 还有以下优点:
- 支持基于 AD 的传统身份验证方法。
- 对密码进行加密,确保密码无法被识别。如果您每天使用应用程序访问企业数据,SSO 确保密码不会每次都通过网络传输。
- 额外安全性,因为密码不会直接提供给实际服务,而是提供给 SSO 服务器,这意味着实际服务无法缓存密码,从而确保零钓鱼攻击的可能性。
- 改善用户体验,员工可以在多个服务间切换,无需每次都提供凭据。
此外,您可以使用 基于证书的身份验证(CBA) 确保用户甚至不需要登录一次,实际上实现无登录或零登录方法。MDM 支持使用 简单注册证书协议(SCEP)的基于证书的身份验证。. 企业单点登录(SSO)支持运行 iOS 7.0 或更高版本的设备。.
策略描述
| 配置文件设置 | 描述 |
|---|---|
| 账号显示名称 | SSO 的参考名称 |
| Kerberos 主体名称 | 用于唯一标识用户和/或服务的规范。格式为 primary/instance@realm. 其中 primary 通常指用户名; instance 是用于限定 primary 的可选参数,用户通常为空; realm 是 Kerberos 领域。例如:Arsene/admin@ZYLKER.COM |
| Kerberos 领域 | Kerberos 数据库(用户凭据)的存储库,通常是您的 DNS 域名,但全部大写。例如,如果您的域是 zylker.com,则 Kerberos 领域是 ZYLKER.COM |
| 身份证书 | 用于基于证书的身份验证(CBA)的证书。指定通过 SCEP. |
| 已允许单点登录的应用程序 | 可以利用 SSO 的应用程序。您可选择设备上和/或应用程序库中的任何应用程序。 |
| 允许的 URL | 可以利用 SSO 的网络服务 URL。 请分别提供网络服务的 HTTP 和 HTTPS 版本作为不同的 URL。仅支持在运行 iOS 9.0 或更高版本的设备上使用 URL 中的通配符字符。 |
提供 https://www.zylker.com 作为 URL,确保 SSO 甚至可以用于 https://www.zylker.com/new/signup 但不适用于 https://www.zylker.com 或 https://www.zylker.com:3618同样, https://*.zylker.com 确保 SSO 甚至可以用于 https://sub-domain.zylker.com.