【TechTarget中国原创】单点登录(SSO)是一种可以简化用户和IT管理员登录过程的技术形式。通过SSO,用户可以一次输入她或他的用户名和密码访问多个应用。用户被授予了访问特别应用的权限,当他们输入了他们的认证后就可以访问所有的这些应用,这就减少了连续的提示。SSO还减少了管理IT员工的无数密码的成本。
SSO系统通过在特定服务器上的集中认证改善安全状况。所有的认证信任状必须首先通过特定的SSO服务器,然后它就会通过它存储的某个用户的认证信任状。这种集中认证更可能减少单因素认证系统的恶意认证。另外,SSO系统通常提供了对敏感数据的更强大的存储,因为他们通常是受企业防火墙保护的。
SSO还可以帮助用户帐户日志和监控的存储——例如,不活跃员工帐户的排除,跟踪用户行为——这不仅改善了企业的安全状况,还是萨班斯法案(SOX)的要求。
虽然单点登录对于用户和IT管理员来说都很方便,但是它对企业安全也产生了一些风险。如果恶意黑客获得了用户的SSO信任状的控制,黑客就可以访问多个应用而不是一个,这就增加了潜在的破坏程度。为了阻止对恶意访问,必须要有彻底的详细地执行和配置过程,以及安全的数据传输和存储。
SSO:执行和配置
当准备好单点登录的执行时,需要考虑企业的规模和企业等级的风险等级。企业需要以特定的需求、架构和基本结构配置它的SSO系统。
为了避免恶意访问,执行SSO的每个方面都必须深入查看企业的认证的访问控制策略。保证目前的策略可以保护敏感信息非常重要。受到攻击的SSO信任状和不太好的认证模式可能导致对一些敏感数据的非授权访问。
管理员必须知道企业系统需要哪种类型的认证,以及在开始配置之前,系统正在使用什么样的目录服务。必须要充分了解使用SSO的位置以及原因。是为了网络访问还是Web访问?是在硬件上使用,还是在软件上使用,或者两者都要用?
基于软件的SSO系统在大型企业中更受欢迎。这些系统由各种功能模块组成,在这些系统上配置的难度更高,并且要求有专门的硬件。此外,基于硬件的SSO的使用需要网络架构的兼容性,但是配置会更容易,这使得这种类型的系统更受小型企业的欢迎。
一旦决定了企业使用SSO的位置和原因,必须要决定哪一个系统需要SSO访问。作出这个决定的最好方法是查看员工最常用的系统。通过检查员工的行为,管理员可以决定哪些系统需要访问控制,以及需要采用什么技术,这都取决于用户访问应用还是网络系统。
最后,SSO的配置必须要有规划并一步步地实现,这一点很重要。如果这个过程的处理不谨慎,出现了一些错误,企业的整个访问管理架构可能存在同时崩溃的风险。