單一登錄(SSO)是多個相關但獨立的軟體系統的訪問控制的屬性。使用此屬性,用戶使用單個ID和密碼登錄,以便在不使用不同用戶名或密碼的情況下訪問已連線的系統,或者在某些配置中在每個系統上無縫登錄。這通常使用輕量級目錄訪問協定(LDAP)和(目錄)伺服器上存儲的LDAP資料庫來完成。可以使用cookie在IP網路上實現簡單版本的單點登錄,但前提是這些站點共享一個共同的DNS父域。
為清楚起見,最好參考需要對每個應用程式進行身份驗證的系統,但使用與目錄伺服器身份驗證相同的目錄伺服器憑據和單個身份驗證通過將身份驗證令牌無縫地傳遞給已配置的應用程式來訪問多個應用程式的系統登錄。
相反,單點註銷是指單一簽出操作終止對多個軟體系統的訪問的屬性。
由於不同的應用程式和資源支持不同的身份驗證機制,因此單點登錄必須在內部存儲用於初始身份驗證的憑據,並將其轉換為不同機制所需的憑據。
其他共享身份驗證方案包括OAuth,OpenID,OpenID Connect和Facebook Connect。但是,這些身份驗證方案要求用戶在每次訪問其他站點或應用程式時輸入其登錄憑據,以免他們與SSO混淆。
確切地說,OAuth不是嚴格的認證方案,而是授權協定:它為用戶提供了一種使用某些訪問密鑰代表自己授予其他網站或應用程式訪問許可權的方法。協定的主要目的是交換授權所需的訪問憑證,而不是身份驗證本身。
基本介紹
- 中文名:單一登入
- 外文名:single sign-on
- 本質:軟體系統的訪問控制的屬性
優勢,評價,安全性,常見配置,基於Kerberos,智慧卡為主,集成Windows身份驗證,安全斷言標記語言,最新配置,
優勢
使用單點登錄的好處包括:
- 降低訪問第三方站點的風險(未在外部存儲或管理的用戶密碼)
- 從不同的用戶名和密碼組合減少密碼疲勞
- 減少重新輸入相同身份的密碼所花費的時間
- 由於關於密碼的IT服務台呼叫數量減少,降低了IT成本
- SSO共享所有其他應用程式和系統用於身份驗證的集中身份驗證伺服器,並將其與技術相結合,以確保用戶不必多次主動輸入其憑據
評價
一些人使用術語“減少登錄”(RSO)來反映單點登錄在解決企業中不同級別的安全訪問需求方面不切實際的事實,因此可能需要多個身份驗證伺服器。
由於單點登錄可在用戶最初進行身份驗證後提供對許多資源的訪問(“城堡密鑰”),因此在憑據可供其他人使用並被濫用時會增加負面影響。因此,單點登錄需要更加注重保護用戶憑據,理想情況下應與智慧卡和一次性密碼令牌等強身份驗證方法相結合。
單點登錄還使身份驗證系統非常關鍵;如果喪失可用性,則可能導致拒絕訪問SSO下統一的所有系統。可以使用會話故障轉移功能配置SSO以維持系統操作。儘管如此,系統故障的風險可能使單點登錄對於必須始終保證訪問的系統是不可取的,例如安全或工廠車間系統。
此外,使用諸如Facebook之類的社交網路服務的單點登錄技術可能使得第三方網站在圖書館,學校或工作場所中由於生產率原因而阻止社交媒體站點無法使用。它也可能給那些擁有積極審查制度的國家帶來困難,例如中國及其“金盾計畫”,其中第三方網站可能不會被主動審查,但如果用戶的社交登錄被阻止,則會被有效阻止。
安全性
2012年3月,一篇研究論文報導了一項關於社交登錄機制安全性的廣泛研究。 作者在備受矚目的ID提供商和依賴方網站中發現了8個嚴重的邏輯缺陷,例如OpenID(包括Google ID和PayPal Access),Facebook,Janrain,Freelancer,FarmVille和Sears.com。 由於研究人員在公開發現漏洞之前通知了ID提供商和依賴方網站,因此漏洞得到了糾正,並且沒有報告任何安全漏洞。
2014年5月,披露了一個名為Covert Redirect的漏洞。它的發現者王靜是新加坡南洋理工大學的數學博士生,首次報導了“與OAuth 2.0和OpenID相關的隱蔽重定向漏洞” 。實際上,幾乎所有單點登錄協定都會受到影響。 Covert Redirect利用易受XSS或Open Redirect影響的第三方客戶端。
常見配置
基於Kerberos
初始登錄會提示用戶輸入憑據,並獲取Kerberos票證授予票證(TGT)。
需要認證的其他軟體應用程式,例如電子郵件客戶端,維基和修訂控制系統,使用票證授予票證來獲取服務票證,向郵件伺服器/維基伺服器等證明用戶的身份,而不提示用戶重新輸入證書。
Windows環境 - Windows登錄提取TGT。 Active Directory感知應用程式獲取服務票證,因此不會提示用戶重新進行身份驗證。
Unix / Linux環境 - 通過Kerberos登錄PAM模組獲取TGT。諸如Evolution,Firefox和SVN之類的Kerberized客戶端應用程式使用服務票證,因此不會提示用戶重新進行身份驗證。
智慧卡為主
初始登錄會提示用戶輸入智慧卡。其他軟體應用程式也使用智慧卡,而不會提示用戶重新輸入憑據。基於智慧卡的單點登錄可以使用存儲在智慧卡上的證書或密碼。
集成Windows身份驗證
集成Windows身份驗證是與Microsoft產品相關聯的術語,指的是與Microsoft Windows 2000一起引入的SSPI功能相關的SPNEGO,Kerberos和NTLMSSP身份驗證協定,並包含在以後基於Windows NT的作業系統中。該術語最常用於指Microsoft Internet信息服務和Internet Explorer之間自動驗證的連線。跨平台Active Directory集成供應商已將集成Windows身份驗證範例擴展到Unix(包括Mac)和GNU / Linux系統。
安全斷言標記語言
安全斷言標記語言(SAML)是一種基於XML的解決方案,用於在SAML身份提供程式和SAML服務提供程式之間交換用戶安全信息。 SAML 2.0支持W3C XML加密和服務提供商發起的Web瀏覽器單點登錄交換。使用用戶代理(通常是Web瀏覽器)的用戶在基於SAML的單點登錄中稱為主題。用戶請求受SAML服務提供商保護的Web資源。希望了解用戶身份的服務提供商通過用戶代理向SAML身份提供者發出身份驗證請求。身份提供者是提供用戶憑據的身份提供者。服務提供商信任來自身份提供商的用戶信息,以提供對其服務或資源的訪問。
最新配置
移動設備作為門禁控制器
使用移動設備作為訪問控制器開發了一種新的單點登錄認證變體。 用戶的移動設備可以通過使用包括OpenID Connect和SAML 以及X.509的身份驗證方法,自動將它們登錄到多個系統,例如樓宇訪問控制系統和計算機系統。 ITU-T加密證書,用於向接入伺服器標識移動設備。
