首頁

SSO 單一登入

SSO 單一登入

單一登入(SSO)的財產,是訪問控制的多個相關,但獨立的軟件系統。有了這個屬性用戶登錄一次,獲得訪問所有系統不會被提示重新登錄在他們每個人。一次性註銷是反向的財產,即一個動作簽署了終止訪問多個軟件系統。

由於不同的應用程序和資源支持不同的認證機制,單點登錄,已為國內翻譯和儲存不同的憑據相比,現在用於初步驗證。
優點

單點登錄的好處就包括:

*密碼疲勞,減少不同的用戶名和密碼組合[1]
*減少花費的時間重新輸入密碼相同的身份[2]
*可以支持傳統的身份驗證,如Windows憑據(即,用戶名/密碼)
*降低IT成本,由於人數較少的IT幫助台呼叫有關密碼[2]
*各層次的安全入境/出境/訪問系統的不便的情況下再次提示用戶
*集中報告堅持遵守。

SSO的使用集中式身份驗證的服務器上,所有其他應用程序和系統利用認證的目的,並結合這個技術,以確保用戶不積極必須輸入憑據不止一次。

批評

術語企業減少登入是首選的一些作者誰相信單一登錄是不可能的,在實際使用情況。

由於單點登錄可以訪問很多的資源,一旦用戶最初認證(“鑰匙城堡”),這也增加了負面影響案件的憑證提供給其他人,誤用。因此,單點登錄,需要更加重視保護用戶的憑據,最好能結合強大的驗證方法,比如智能卡[3]和一次性密碼令牌。

單點登錄也使認證系統非常關鍵,他們的失敗或無法達到這些目標(如網絡故障)可能會導致拒絕訪問所有系統統一下的SSO。這可以使單點登錄系統不可取的訪問,必須保證在任何時候,如安全或植物層系統。

普通的單點登錄配置
基於Kerberos

*初始登錄提示用戶輸入憑據,並得到一個Kerberos票證授予票證(TGT.)
*其它需要身份驗證的應用軟件,如電子郵件客戶端,維基,修訂控制系統等,使用的票證授予票證,購置車票,證明用戶身份的郵件服務器/ wiki服務器/等不提示用戶重新輸入憑據。

Windows環境- Windows登錄提取的TGT。 Active Directory的程序取票服務,因此,不提示用戶重新進行身份驗證。

UNIX / Linux的環境-登錄通過Kerberos PAM模塊提取的TGT。 Kerberos的客戶端應用程序,如Evolution,Firefox的使用服務和SVN門票,所以不提示用戶重新進行身份驗證。

基於智能卡

初步簽署提示用戶的智能卡。其他軟件應用程序也使用智能卡,不提示用戶重新輸入憑據。基於智能卡的單點登錄,可以使用證書或密碼存儲在智能卡

OTP令牌

也被稱為一次性密碼令牌。雙因素認證的OTP令牌[4]如下行業最佳實踐來驗證用戶[5]。這OTP令牌的方法更安全,更有效地禁止未經授權的訪問比其他身份驗證方法。[6]

集成Windows身份驗證

集成Windows身份驗證是一個長期與微軟的產品,指的是SPNEGO的,Kerberos和NtLmSsp身份驗證協議的有關SSPI的功能與微軟推出Windows 2000及更高版本包含基於Windows NT操作系統。此詞是較為常用的自動身份驗證的連接與Microsoft Internet信息服務和Internet Explorer。跨平台的Active Directory集成供應商,擴大了集成Windows身份驗證模式為UNIX,Linux和Mac系統。

基於客戶端證書
共享驗證計劃不屬於單一登錄

單點登錄要求用戶字面登入一次,以確定其資格。系統需要用戶多次登錄到相同的身份本身是沒有單點登錄。例如,環境,提示用戶登錄到他們的桌面,然後登錄到他們的電子郵件使用相同的憑據,沒有單點登錄。共享OpenID的身份驗證方案一樣,需要額外的登錄為每個網站,也不是單點登錄。

企業單一登錄

企業單點登錄(電子SSO)的系統設計,以盡量減少次數,用戶必須輸入自己的ID和密碼登錄到多個應用程序。在E - SSO的解決方案,用戶自動登錄,並充當填充其中一個密碼自動登錄是不可能的。

有些ESSO解決方案專注於提供快速的投資回報率和迴避需要複雜的基礎設施硬件補充。這些解決方案通常是基於軟件的代理商與用戶漫遊和過程自動化登錄名和密碼更改為所需的應用程序(贏/爪哇/阿賈克斯/網絡/終端仿真器)。在這種方法的好處是用戶可以有任何用戶名/密碼為目標的系統/應用程序,因為從埃索代理商的角度來看,他們都只是'證書'來存儲。鑑於用戶憑據可以在本地緩存(並同步到一個中央存儲庫)使用強大的加密技術以及可靠和可行的密鑰恢復選項為選擇的建議ESSO技術。

理想情況下,沒有必要為用戶的真正擁有第一手了解其指定的憑證(擰)的終端應用實施後的埃索,作為上漲一旦用戶有信心,這種思維方式的應用,鼓勵業主增加密碼長度和複雜性等,用戶不容易記住自己的密碼。

還有一個重大的安全好處,客戶端的ESSO解決方案。鑑於目前的用戶憑據存儲在一個非常安全的加密鎖商店,用戶本身不再知道(或護理知道)的 applicatons證書,是可能的'釋放'(登錄的)某些憑據的基礎上確定的'認證等級'。 2Factor驗證系統,例如智能卡或生物識別技術可以鏈接到不同權威性等級。用戶可能,例如有10套的全權證書的加密存儲,為10個不同的應用。 1到6的應用可能只需要用戶已經證明成功登錄到主域(如Windows活動目錄等),但在埃索客戶端去登錄用戶申請7月10日可能會檢查是否插入/在場的智能卡與有效的用戶密鑰等它這樣做是否有效地執行企業擁有2因子身份驗證,但是還沒有應對挑戰後端基礎設施的增加/應用程序修改等

隨著客戶端的ESSO解決方案,企業可以很容易地過渡到一個制度,很容易破解密碼強迫和單因素認證是一個高產局面申請現2Factor權威性訪問控制,密碼是複雜的,用戶不知道他們,黑客不能有效地強力應用與字典或彩虹表。

一般要求電子單點登錄
*該解決方案必須高度可用。
*該解決方案需要提供的接口進行備份,全天候監測和業務等
*解決方案需要能夠擴展到成千上萬的用戶訪問企業軟件。
*解決方案應能夠支持公司的內部標準定義的有效運作和整合沒有問題(例如,目錄服務器標準,認證標準等)。
*解決方案應能輕鬆地集成IT解決方案有關,例如現有的身份管理解決方案,安全事件管理解決方案,應用管理解決方案,或桌面軟件分發解決方案[7]。