单点登录:它是什么、它是如何工作的以及你为什么需要它

已发表: 2022-05-07

您可能在上周通过单点登录登录了某些东西,但您了解它的工作原理以及您的企业为什么要使用它吗?

您网站中最有价值的部分是什么?

您用于压缩视频文件的甜蜜算法? 您不断增长的原创 IP 收藏? 或者,也许您的用户在穿越一个基本上是中土但出于法律原因绝对不是中土的地方时获得的游戏体验?

从黑客的角度来看,这些都不重要。 黑客正在寻找个人数据。 姓名、地址、电子邮件和密码——有关用户身份的详细信息,以后可用于网络钓鱼诈骗、勒索软件攻击和身份盗用。

如今,密码和其他登录详细信息可能位居榜首。 去年,家居设计公司 Houzz 丢失了超过 4800 万个密码。 以“Words with Friends”和“Draw Something”而闻名的游戏制作商 Zynga 也遭到了安全攻击,估计有 2.18 亿用户凭据被盗。

不幸的是,当涉及到安全漏洞时,预防永远不会 100% 可行。 但是,有一些方法可以减少用户密码被盗的可能性。 欢迎使用单点登录,这是一种身份管理结构,可解决大量常见业务问题。

什么是单点登录 (SSO)?

单点登录 (SSO) 是一种识别系统,允许网站使用其他受信任的网站来验证用户。 这使企业无需在其数据库中保存密码,减少登录故障排除,并减少黑客可能造成的损害。

SSO 系统作为身份提供者工作——有点像身份证。 例如,如果您因超速而被拦下,警察不必亲自认识您; 他们只需查看您的许可证,就可以看到您所在的州为您的身份提供担保。

同样,使用 SSO,您的网站不会让您通过内部检查来证明您的身份。 相反,它会与 SSO 提供商(例如 LinkedIn、Microsoft 或 Google)核对,看看它是否可以验证您的身份。 如果可以的话,该网站相信他们的话。

从技术上讲,许多所谓的单点登录实际上是纯 SSO 和委托或联合的混合。 所有平台之间都存在某种混乱,尤其是当身份即服务提供商参与其中时。

我们将在这里使用 SSO,并在区别真正重要时使用标注。

SSO 是如何工作的?

概括地解释系统很简单,但解释实现 SSO 的过程需要更多背景知识。 通常,当您登录系统时,服务提供商或域(本示例中为 website.com)将自行验证您的身份。 像这样:

1. 作为用户,您在 website.com 上访问了一个间歇性页面,该页面会检查您是否已登录。如果已登录,则 SSO 身份验证已完成,系统会将您发送到您真正想要的任何地方(您的 Gmail例如收件箱)。

2. 如果您尚未登录,您会看到一个登录屏幕。

3. 您将登录凭据(电子邮件和密码)放入表单中,website.com 会根据其数据库检查这些凭据,然后您要么登录,要么被拒绝。

4. 如果您已登录,website.com 将发出某种跟踪器。 这可以在服务器上,也可以作为令牌发送给您。

现在,每当您在网站上移动时,系统都会检查以确保跟踪器以及您的身份验证是最新的。

如果您要使用 SSO 做同样的事情,它看起来更像这样:

1. 作为用户,您在 website.com 上访问一个间歇性页面(一个 SSO 门户),该页面会检查您是否已经登录。如果是,它会将您带到您真正想要的任何地方——您的 Gmail 收件箱,例如。

2. 如果您尚未登录,website.com 会为您提供通过第三方身份提供商(Google、Amazon、Facebook 等)进行身份验证的选项。 您选择您选择的提供商,然后使用该提供商登录,比如说 Google。

3. 谷歌检查你是你自己,检查 website.com 是它声称的网站,然后根据谷歌密码数据库对你进行身份验证,并向 website.com 发回一个令牌。

4. Website.com 从 Google 获取令牌,验证您的身份。 它现在将您与其他用户数据(偏好、历史记录、购物车等)关联起来,一切就绪。

  • 在真正的SSO 系统中,您只需在具有完全访问权限的情况下从一个站点到另一个站点巡视。
  • 委托系统中,Google 将返回身份验证和授权使用集。 例如,网站可能会被授予访问您的姓名和电子邮件的权限,但不会显示您的位置或年龄。 (请参见下面的示例。)


使用来自 Auth0 的 SSO 时的重定向流程示例(来源)

伟大的! 但是为什么会有人为此烦恼呢?

对用户的好处

与 SSO 交互的用户有几个主要好处。

  • 方便。 用户只需要记住一组登录详细信息。 通过将您的网站连接到他们在 Google 上的登录信息,您可以确保即使是零星用户也能记住如何登录; 他们只是登录谷歌。
  • 透明度。 用户知道从一个系统到另一个系统共享了什么——至少在委托系统中是这样。 就像您在手机上安装一个新应用程序时,它会请求访问您的照片、联系人和银行帐户的权限。 如果您对这些选项不满意,您可以选择退出。
  • 速度。 使用 SSO,用户不必经历冗长的注册和授权过程。 因为谷歌已经完成了所有的电子邮件验证和数据收集,新用户可以在登录谷歌时尽快注册。
  • 安全。 知道网站所有者 Marlon Rando 没有将密码以纯文本形式存储在互联网死水的某个地方,用户也可以放心。 谷歌仍然是主要的信任点,它允许用户无所畏惧地尝试新事物。

为您的企业带来的好处

这对您的用户来说是个好消息,但对于您,网站所有者来说,这有什么好处呢?

  • 更多用户注册。 SSO 提供了较低的进入门槛,因此新客户可以依靠知名品牌轻松安全地注册。 Facebook 正在管理这个过程,所以他们不用担心你未知的系统和品牌。 信任度增加,从而增加了转化率。
  • 后端的工作更少。 这意味着,您不必为密码而烦恼。 虽然降低黑客风险很重要,但更重要的是不必每五分钟重置一次密码。 所有的身份验证和密码繁重都由受信任的身份验证器管理。
  • 数据采集​​。 您还可以以 Google 或 Facebook 或任何提供信息的方式访问更多信息。 这是数据收集的所有好处,没有与之相关的所有麻烦。
  • 降低风险。 最后,你要把那个诱人的馅饼从窗台上移开。 如果您不托管大量登录详细信息,黑客攻击您的网站的动机就会减少。 您也不太可能有一群密码非常弱的用户在您的网站的整体安全性中留下漏洞。

简而言之,采用 SSO 解决方案可以让您和您的客户的生活更轻松。

SSO + MFA:方便而不牺牲安全

SSO 很方便,但也有缺陷。 也就是说,如果 SSO 帐户被黑客入侵,同一身份验证系统下的其他人也可能成为攻击目标。 应对这种风险的一种方法是实施多因素身份验证 (MFA)。

多因素身份验证

一种用户身份验证方法,要求用户提供两个或多个验证因素。

SSO 与 MFA 相结合在保护用户帐户方面比单独使用 SSO 做得更好。 此外,为用户提供 MFA 和 SSO 提供的效率和便利性意味着降低密码重置或帮助台呼叫的机会。

入门

如果您的企业有技术倾向——也就是说,您雇佣了一些不同的软件工程师——您还可以查看 OAuth 协议,它是市场上许多商业解决方案的基础。

如果您正在寻找可以与当前技术堆栈集成的工具,您可以浏览 Capterra 的身份管理目录以获取 SSO 提供商的完整列表,您可以在其中使用过滤工具(屏幕左侧)浏览 MFA-具体产品。 我们的身份验证软件和单点登录目录都是查找 SSO 和 MFA 工具的好地方。