一文读懂单点登录系统对企业的价值
在过去的十年中,企业的IT管理员一直在应对企业内部各种不同的关键性变革:
1、企业上云使得云服务应用被越来越多地被采用;
2、 企业需要为员工提供随时随地访问工作相关应用程序的便利,这意味着IT人员需要为远程访问用户提供相关的技术支持;
3、消费类APP使用体验良好,员工期待在工作中也享受到相似的、简单便捷的应用程序使用体验;
如今,企业IT人员面临十分沉重的压力,他们一方面要在混合IT环境下管理数量众多的应用系统,另一方面还要为用户提供良好的使用体验。
随着应用系统数目的不断增多,其所带来的威胁也与日俱增。企业为员工在不断变化的环境中进行办公提供便利虽然有助于提升员工工作效率,但是也引发了新的安全隐患,即访问权限管理。
密码的存在意味着安全挑战
传统情况下,企业的员工一般通过输入用户名和密码来访问企业的应用系统和相关数据,并且采用如下两种方法来确保密码的安全:
- 要求员工使用长密码,密码中要求包含数字和符号;
- 不能将同一套用户名和密码应用于多个应用系统或者网站;
这些方法理论上是可行的,但是实际操作起来却非常困难。一方面,72%的人都存在密码记忆困难的问题,这导致59%的企业员工会给多个应用系统设置相同或相似的密码。更有甚者,50%的员工工作和生活中使用的密码都是相同的。
除此之外,还有一个更严重的问题就是密码分享:企业员工在工作中经常会与忘记密码或现阶段不应该被授予访问权限的同事分享应用系统的密码,而这会给企业带来更大的安全隐患。
这对于负责企业敏感性业务数据安全的IT管理员来说意味着什么?这意味着,如果一家企业有200名员工,每个员工日常办公所使用应用系统的数量为100个,那么企业的IT管理员日常就需要管理20万套用户名和密码,也就是说企业有20万个入口会暴露给网络黑客。
20万是一个非常庞大的数字。
事实上,企业无法要求每个员工为每个应用系统都设置独立的用户名和密码,这是一个十分不可行的确保应用系统安全的解决方案。这时,企业可以考虑采用单点登录的解决方案。
什么是单点登录?
单点登录(SSO)的概念非常简单,即仅给予员工一套用户名和密码,就可以使其访问所有权限内的应用系统,也就是说员工只需要输入一套用户名和密码,就可以访问Email、OA、ERP、CRM等所有工作相关应用系统。
单点登录可以说是这样一个认证过程:即允许员工输入一套用户名和密码就可以访问多个应用系统。在员工输入用户名和密码点击登录后,单点登录认证机制会自动代理所有的授权应用系统对员工进行身份认证,从而省去员工每切换到一个新的应用系统就需要重新输入用户名和密码进行验证的麻烦。
单点登录是一种简单且强大的、以标准协议为基础的解决方案,可以为企业的用户安全提供高级别保障,是企业所采用的IAM(身份及访问管理)解决方案中一个非常基础的组成部分。
对于现代化的企业而言,身份及访问管理解决方案也可以有效解决企业日常员工入离职IT管理难题,同时支持企业进行安全策略配置,并为企业提供账号行为安全审计报告。尽管单点登录在IAM解决方案中扮演着非常关键的角色,但是一个完整的IAM解决方案应该包括多个方面,比如多因素认证和账号同步等,以此来有效确保企业应用系统的整体安全。
单点登录系统的优势
- 单点登录可以有效提升员工工作效率
最新一份调查研究表明,68%的企业员工每个小时都需要在数十个应用系统中进行切换。因此,如果将数十个应用系统的登录简化为一次门户登录,就可以大幅减少员工日常工作中在应用系统切换上所花费的时间,从而提升员工的工作效率。
- 单点登录为员工提供了一个应用整合门户
单点登录解决方案为企业员工提供了一个统一的应用访问门户,员工在登录门户后就可以看到授权范围内所有的应用系统,也就是说企业员工日常工作中没有必要再记忆或用书签标记多个应用系统的访问地址。
- 单点登录有助于减少密码重置请求
企业员工在日常工作中仅需记忆一套用户名和密码,因此即使偶尔忘记也不需要求助IT来进行密码重置。
单点登录是如何实现的?
在单个用户进行应用系统登录认证时,单点登录会自动创建一个token认证口令,并与其他需要认证的应用系统进行数据共享,以此来实现只进行一次认证即可登录所有应用系统的目的。
浏览器为了保护关键性认证数据会被强制采取”同源策略”,因此当用户登录访问一个域时,并不会被自动登录到其他第三方域。简单地说就是,动态内容(例如,JavaScript或者VBScript)只能读取或者修改与之同源的HTTP应答和Cookies,而不能读取来自不同源的内容。
单点登录有效地突破了浏览器“同源策略”的安全性限制,通过在中心域进行用户身份认证生成token,并和其他域用户共享token数据的方式,实现了基于token的统一安全身份认证。因此,在实现单点登录的基础上,当用户登录一个需要认证的域时,他们会被重新定位到其已经登录并认证的中心域,然后再被定位到其目前正请求认证的域。
此外,不同的单点登录解决方案所采用的token共享机制也是不一样的,但是都会在确保用户认证数据不被破坏并安全传输的基础上进行。其中,一些常见的单点登录标准协议有OpenID Connect、OAuth、OIDC、CAS等,也有一些企业会采用非标准的单点登录协议来进行认证。
玉符科技单点登录系统解决方案
玉符科技为客户提供全方位的单点登录解决方案,不仅可以助力企业快速构建所有应用系统之间的单点登录连接,还为企业提供统一的安全策略管理平台,同时还提供配套的账号生命周期管理、账号行为安全审计、多因素认证等服务,可以助力企业实现对所有应用程序访问权限、账户名和密码的统一管理,实现IT运维效率和应用系统安全系数的双重提升。
完备的单点登录应用集成方案
- 支持快速构建任意云服务、本地部署和移动端应用系统的单点登录连接;
- 预集成数百款主流云应用,可以与钉钉、企业微信或客户自建OA门户平台快速进行单点登录应用集成;
- 支持多种标准和非标准单点登录协议:OAuth、SAML 2.0、OIDC、CAS、WS-Federation、Kerberos、JWT、ADFS、Radius、自定义标准协议;
- 无接口自研系统:提供SDK对接方案,支持多种语言Java、Python、C#、Ruby、Node.js、PHP等,仅需几行代码,即可快速安全地进行单点登录集成;
统一的安全策略管理功能
密码策略:支持自定义访问单点登录应用门户时所需的密码长度、复杂程度、轮换次数和过期时限;
登录策略:支持自定义多种登录策略,有效抵御恶意访问,可开启二次认证,提高相应安全等级系数;
账户行为安全审计:详细记录和管理所有用户登录行为和IT操作行为,及时提示异常登录、预警风险行为;
账号生命周期管理
多源集成:主动适配OA、HR、AD/LDAP、数据库等身份源系统,可以对企业的多个身份源系统同时进行账号同步集成,将各身份源中的数据进行汇总,存放在玉符统一目录(UD)或客户指定身份源应用系统进行集中安全存储;
提供灵活的同步流服务,IT管理员仅需简单拖拽,即可完成应用系统间账号同步的逻辑和规则配置,实现人员账号的自动化开通、关停、修改、及权限再分配等操作,有效避免离职员工账号未关停所引发的安全隐患;
多因素认证机制
- 提供问题验证、物理校验(如一次性验证码、二维码扫描、推送通知)、以及生物校验等多种二次认证方式,灵活适应企业安全管理要求;
- 提供基于用户登录安全场景(从设备、IP和地点等多维度因素进行判断)灵活设置安全策略的机制,通过精准的身份判定,有效保护企业的业务数据安全;
如今,以云服务为基础的单点登录机制已经成为企业身份及访问管理解决方案中的非常重要的组成部分。对于企业而言,单点登录机制不仅可以提升员工工作效率和应用系统安全系数,还可以助力企业实现IT成本和时间的节约。但是,单点登录机制仅仅是身份及访问管理解决方案的一部分。全方位的身份及访问管理解决方案,还需要包括账号同步、多因素认证、安全审计等功能,才能助力企业对知识产权和数据安全实施全面的保护措施。