安全单点登录(SSO)解决方案

更新时间：2025年1月22日 阅读时长：约2分钟

记住多个用户名和密码来访问不同网站和应用程序很麻烦，单点登录 （SSO） 允许用户使用一组凭证访问多个资源，从而消除了对多个用户 ID 和密码的需求。

SSO 工作原理
1、用户导航到他们想要访问的 SP。

2、SP 向 IdP 发送包含用户信息的令牌，请求用户身份验证。

3、如果用户之前已经过身份验证，则 IdP 将授予对应用程序的访问权限。

4、如果用户之前未经过身份验证，则需要输入其 IdP 凭证。

IdP 验证用户的身份并将身份验证数据传递给 SP，确认身份验证成功。

5、身份验证数据通过用户的浏览器作为令牌传递给 SP，验证成功后将授予用户访问权限。

6、登录后，用户的身份验证验证数据将作为令牌沿 SP 中的页面传递，因此他们不需要重复进行身份验证。

7、当同一用户尝试访问不同的可信资源时，新资源仅使用 IdP 检查用户的身份。无需额外登录，因为用户已经过身份验证，并且 IdP 会验证用户的身份。

二、SSO 的优势

（1）减少不良的密码管理习惯

当用户不必记住多个密码时，他们不太可能创建弱密码以便于记忆。他们也不太可能写下密码或花费大量时间浏览密码列表以访问不同的应用程序。
（2）减少用户对 IT 管理员的依赖

只需使用一组凭证即可访问大量应用程序，这使得员工不太可能频繁地敲 IT 管理员的门以重置他们忘记的密码。用户也不必等待 IT 管理员对他们的请求采取行动。

（3）管理员的工作量更小

各种调查显示，IT 管理员收到的大量电话与忘记密码有关。借助 SSO，IT 管理员可以专注于更重要的任务，而不是处理员工频繁提出的密码重置工单。

（4）减少密码疲劳

用户不必记住多个凭证即可访问不同的网站、应用程序和资源。他们只需要记住一组凭证。

（5）提高安全性

具有多重身份验证 （MFA） 等功能的 SSO 解决方案可以提供额外的安全层，并确保访问资源的用户是他们声称的身份。添加强密码策略将进一步增强安全性。

三、卓豪ADSelfService Plus轻松实现SSO
ADSelfService Plus是一个集成的Active Directory自助密码管理和SSO解决方案。它通过 SSO 简化并增强了用户的登录体验，并使用 MFA 提供更高的安全性。
(1)无缝，一键访问所有应用程序

用户只需登录到ADSelfService Plus。登录后，用户将看到一个仪表板，其中列出了他们可以访问的每个云应用程序。只需单击一下，用户就可以访问每个应用程序，而无需再次输入用户名和密码。

(2)双重认证确保云应用程序安全访问

启用 SSO 后，在使用 Windows Active Directory 域凭据对自己进行身份验证时，用户还必须执行管理员设置的其他身份验证步骤。这些因素可以是基于短信或电子邮件的验证码，也可以是第三方身份验证提供商，如 Yubikey、Google 和 Microsoft 身份验证器。

(3)使用活动目录中的现有标识

使用ADSelfService Plus，管理员无需为每个用户创建单独的身份。Active Directory 中已存在的用户身份可用于身份验证。这节省了原本用于为用户设置新身份的时间，也消除了对存储额外密码的密码库工具的依赖。
(4)基于策略的访问控制
借助 Active Directory 基于 OU 和组的结构，可以创建策略来确定谁可以访问各种云应用程序。对某些应用程序的访问可以限制为属于特定组的用户。
四、总结
卓豪ADSelfService Plus为用户提供无缝、一键访问所有支持saml的云应用程序。它允许用户使用一个身份访问所有云应用程序。使用ADSelfService和SSO，可以最大限度地减少密码安全问题，提高工作效率，缓解身份管理方面的挑战，同时还可以增强用户体验。