什么是单点登录（SSO）

用户通常会发现记住多个用户名和密码以访问他们用于个人和官方目的的不同网站和应用程序很麻烦。单点登录（SSO）允许用户使用一组凭据访问多个资源，从而消除了对多个用户 ID 和密码的需求。借助 SSO，组织通常依靠受信任的第三方来确认用户是否是他们声称的身份。

在没有 SSO 的情况下，组织必须维护包含所有已批准用户的凭据的数据库，用户需要访问的每个应用程序或资源都有一个凭据。当用户输入其用户名和密码时，凭据将与数据库中的信息进行比较。如果匹配，则授予用户访问该应用程序的权限。

单点登录（SSO）工作原理

要了解 SSO 的工作原理，必须了解身份提供商（IdP）和服务提供商（SP）的角色，后者是执行用户身份验证的系统，而服务提供商（SP）是用户要访问的企业应用程序或网站。只有在 SP 和 IdP 之间建立信任关系时，才能在它们之间启用 SSO。

• 用户导航到要访问的 SP。
• SP 向 IdP 发送包含用户信息的令牌，请求用户身份验证。
• 如果用户之前已经过身份验证，则 IdP 将授予对应用程序的访问权限。
• 如果用户之前未经过身份验证，则用户需要输入其 IdP 凭据。
• IdP 验证用户的身份，并将身份验证数据传递给 SP，确认身份验证成功。
• 身份验证数据将作为令牌通过用户的浏览器传递到 SP，并在成功验证后授予用户访问权限。
• 登录后，用户的身份验证验证数据将作为令牌沿 SP 中的页面传递，因此他们不需要重复进行身份验证。

当同一用户尝试访问不同的受信任资源时，新资源仅使用 IdP 检查用户的身份，无需额外登录，因为用户已经过身份验证，并且 IdP 会验证用户的身份。

SSO 标识协议的种类

SSO 使用 OAuth、WS 联合身份验证、OpenID 和 SAML 等标准身份协议来传递令牌，这些标识协议存在显著差异。

• SAML：这是使用最广泛的协议之一。典型的 SAML 工作流由 IdP、SP 和用户组成。用户信息以断言的形式发送。首先，SAML 请求通过用户的浏览器从 SP 传递到 IdP，然后 SAML 响应通过用户的浏览器从 IdP 传递到 SP。
• OAuth：此协议允许授权服务器在获得资源所有者批准的情况下向第三方应用程序颁发访问令牌，而无需提供凭据。第三方应用程序使用这些访问令牌来访问资源服务器托管的资源。
• WS 联合身份验证：一个组织的用户可以通过两个组织之间建立的信任关系来访问另一个组织的资源。它与 SAML 的工作方式非常相似，但消息集更简单。
• OpenID：使用 OpenID，用户的密码仅由中继方（第三方）用于对用户进行身份验证和授权。获得授权后，用户可以访问多个应用程序，而无需与每个应用程序共享其凭据。用户信息作为 ID 令牌传递。

单点登录（SSO）的优点

SSO 对任何公司的用户和 IT 管理员都非常有益。

• 减少不良的密码管理习惯：当用户不必记住多个密码时，他们不太可能创建弱密码以便于记忆，他们也不太可能写下密码或花费大量时间搜索密码列表以访问不同的应用程序。
• 减少用户对 IT 管理员的依赖：只需使用一组凭据即可访问大量应用程序，因此员工不太可能频繁敲 IT 管理员的门来重置他们忘记的密码，用户也不必等待 IT 管理员对他们的请求采取行动。
• 为管理员提供更小的工作量：各种调查显示，IT 管理员接到的大量电话都与忘记密码有关，借助 SSO，IT 管理员可以专注于更重要的任务，而不是处理员工频繁提出的密码重置票证。
• 减少密码疲劳：用户无需记住多个凭据即可访问不同的网站、应用程序和资源。他们只需要记住一组凭据。
• 提高安全性：具有多重身份验证（MFA）等功能的 SSO 解决方案可以提供额外的安全层，并确保访问资源的用户是他们声称的身份，添加强密码策略将进一步增强安全性。

单点登录（SSO）解决方案

随着组织成群结队地采用云应用程序，用户必须在一天中输入更多密码才能访问这些应用程序并完成他们的工作。为了进行有效的用户身份管理，您的组织应采用高效且安全的方法来管理用户的密码。ADSelfService Plus提供企业单点登录（SSO），使用户只需一组凭据即可无缝、一键访问所有支持SAML、OAuth和OIDC的云应用程序。

• 支持以下单点登录
• 使用 MFA 保护的云应用
• 无密码身份验证
• 使用现有 AD 标识
• 基于策略的访问控制
• IdP 和 SP 发起的 SSO 流

支持以下单点登录

• 启用了 SAML 的应用程序。
• 支持 OAuth 和 OpenID Connect 的应用程序。
• 自定义应用程序。

使用 MFA 保护的云应用

ADSelfService Plus通过单独的、可自定义的MFA设置来保护对云应用程序的访问。交互式应用程序仪表板允许 IT 管理员轻松选择要为其启用 SSO 的应用程序。

无密码身份验证

当您在ADSelfService Plus中为用户启用SSO时，您可以允许用户在没有密码的情况下访问企业应用程序。用户使用比密码更强的因素（例如生物识别或 Google 身份验证器）进行身份验证，以增强安全性。

使用现有 AD 标识

可以轻松地使用Active Directory身份为云应用程序设置企业单点登录，利用Windows AD中用户的现有身份进行身份验证，从而节省了为用户设置新身份所花费的时间，并消除了对密码保管工具存储以存储其他密码的任何依赖。

基于策略的访问控制

通过基于 AD OU 和组创建策略来控制谁访问哪些云应用程序。您可以创建多个策略，并将对关键业务应用程序的访问限制为仅需要它们的用户。

IdP 和 SP 发起的 SSO 流

登录ADSelfService Plus，转到“应用程序”选项卡，然后单击应用程序以访问它（IdP启动的流程）。或者，转到应用程序的登录页面，重定向到ADSelfService Plus，并在身份验证过程成功完成后访问应用程序（SP启动的流程）。

ADSelfService Plus是集成的Active Directory自助密码管理和SSO解决方案。它通过 SSO 简化并增强了用户的登录体验，并使用 MFA 来提供更高的安全性。

使用ADSelfService Plus，管理员无需为每个用户创建单独的身份，Active Directory 中已存在的用户标识可用于身份验证。借助 Active Directory 基于 OU 和组的结构，可以创建策略来确定谁可以访问各种云应用程序，对某些应用程序的访问可以限制为属于某些组的用户。