單點登錄:它是什麼、它是如何工作的以及你為什麼需要它

已發表: 2022-05-07

您可能在上週通過單點登錄登錄了某些東西,但您了解它的工作原理以及您的企業為什麼要使用它嗎?

您網站中最有價值的部分是什麼?

您用於壓縮視頻文件的甜蜜算法? 您不斷增長的原創 IP 收藏? 或者,也許您的用戶在穿越一個基本上是中土但出於法律原因絕對不是中土的地方時獲得的遊戲體驗?

從黑客的角度來看,這些都不重要。 黑客正在尋找個人數據。 姓名、地址、電子郵件和密碼——有關用戶身份的詳細信息,以後可用於網絡釣魚詐騙、勒索軟件攻擊和身份盜用。

如今,密碼和其他登錄詳細信息可能位居榜首。 去年,家居設計公司 Houzz 丟失了超過 4800 萬個密碼。 以“Words with Friends”和“Draw Something”而聞名的遊戲製作商 Zynga 也遭到了安全攻擊,估計有 2.18 億用戶憑據被盜。

不幸的是,當涉及到安全漏洞時,預防永遠不會 100% 可行。 但是,有一些方法可以減少用戶密碼被盜的可能性。 歡迎使用單點登錄,這是一種身份管理結構,可解決大量常見業務問題。

什麼是單點登錄 (SSO)?

單點登錄 (SSO) 是一種識別系統,允許網站使用其他受信任的網站來驗證用戶。 這使企業無需在其數據庫中保存密碼,減少登錄故障排除,並減少黑客可能造成的損害。

SSO 系統作為身份提供者工作——有點像身份證。 例如,如果您因超速而被攔下,警察不必親自認識您; 他們只需查看您的許可證,就可以看到您所在的州為您的身份提供擔保。

同樣,使用 SSO,您的網站不會讓您通過內部檢查來證明您的身份。 相反,它會與 SSO 提供商(例如 LinkedIn、Microsoft 或 Google)核對,看看它是否可以驗證您的身份。 如果可以的話,該網站相信他們的話。

從技術上講,許多所謂的單點登錄實際上是純 SSO 和委託或聯合的混合。 所有平台之間都存在某種混亂,尤其是當身份即服務提供商參與其中時。

我們將在這裡使用 SSO,並在區別真正重要時使用標註。

SSO 是如何工作的?

概括地解釋系統很簡單,但解釋實現 SSO 的過程需要更多背景知識。 通常,當您登錄系統時,服務提供商或域(本示例中為 website.com)將自行驗證您的身份。 像這樣:

1. 作為用戶,您在 website.com 上訪問了一個間歇性頁面,該頁面會檢查您是否已登錄。如果已登錄,則 SSO 身份驗證已完成,系統會將您發送到您真正想要的任何地方(您的 Gmail例如收件箱)。

2. 如果您尚未登錄,您會看到一個登錄屏幕。

3. 您將登錄憑據(電子郵件和密碼)放入表單中,website.com 會根據其數據庫檢查這些憑據,然後您要么登錄,要么被拒絕。

4. 如果您已登錄,website.com 將發出某種跟踪器。 這可以在服務器上,也可以作為令牌發送給您。

現在,每當您在網站上移動時,系統都會檢查以確保跟踪器以及您的身份驗證是最新的。

如果您要使用 SSO 做同樣的事情,它看起來更像這樣:

1. 作為用戶,您在 website.com 上訪問一個間歇性頁面(一個 SSO 門戶),該頁面會檢查您是否已經登錄。如果是,它會將您帶到您真正想要的任何地方——您的 Gmail 收件箱,例如。

2. 如果您尚未登錄,website.com 會為您提供通過第三方身份提供商(Google、Amazon、Facebook 等)進行身份驗證的選項。 您選擇您選擇的提供商,然後使用該提供商登錄,比如說 Google。

3. 谷歌檢查你是你自己,檢查 website.com 是它聲稱的網站,然後根據谷歌密碼數據庫對你進行身份驗證,並向 website.com 發回一個令牌。

4. Website.com 從 Google 獲取令牌,驗證您的身份。 現在,它會將您與其他用戶數據(偏好、歷史記錄、購物車等)相關聯,一切就緒。

  • 在真正的SSO 系統中,您只需在具有完全訪問權限的情況下從一個站點到另一個站點巡視。
  • 委託系統中,Google 將返回身份驗證和授權使用集。 例如,網站可能會被授予訪問您的姓名和電子郵件的權限,但不會顯示您的位置或年齡。 (請參見下面的示例。)


使用來自 Auth0 的 SSO 時的重定向流程示例(來源)

偉大的! 但是為什麼會有人為此煩惱呢?

對用戶的好處

與 SSO 交互的用戶有幾個主要好處。

  • 方便。 用戶只需要記住一組登錄詳細信息。 通過將您的網站連接到他們在 Google 上的登錄信息,您可以確保即使是零星用戶也能記住如何登錄; 他們只是登錄谷歌。
  • 透明度。 用戶知道從一個系統到另一個系統共享了什麼——至少在委託系統中是這樣。 就像您在手機上安裝一個新應用程序時,它會請求訪問您的照片、聯繫人和銀行帳戶的權限。 如果您對這些選項不滿意,您可以選擇退出。
  • 速度。 使用 SSO,用戶不必經歷冗長的註冊和授權過程。 因為谷歌已經完成了所有的電子郵件驗證和數據收集,新用戶可以在登錄谷歌時盡快註冊。
  • 安全。 知道網站所有者 Marlon Rando 沒有將密碼以純文本形式存儲在互聯網死水的某個地方,用戶也可以放心。 谷歌仍然是主要的信任點,它允許用戶無所畏懼地嘗試新事物。

為您的企業帶來的好處

這對您的用戶來說是個好消息,但對於您,網站所有者來說,這有什麼好處呢?

  • 更多用戶註冊。 SSO 提供了較低的進入門檻,因此新客戶可以依靠知名品牌輕鬆安全地註冊。 Facebook 正在管理這個過程,所以他們不用擔心你未知的系統和品牌。 信任度增加,從而增加了轉化率。
  • 後端的工作更少。 這意味著,您不必為密碼而煩惱。 雖然降低黑客風險很重要,但更重要的是不必每五分鐘重置一次密碼。 所有的身份驗證和密碼繁重都由受信任的身份驗證器管理。
  • 數據採集。 您還可以以 Google 或 Facebook 或任何提供信息的方式訪問更多信息。 這是數據收集的所有好處,沒有與之相關的所有麻煩。
  • 降低風險。 最後,你要把那個誘人的餡餅從窗台上移開。 如果您不託管大量登錄詳細信息,黑客攻擊您的網站的動機就會減少。 您也不太可能有一群密碼非常弱的用戶在您的網站的整體安全性中留下漏洞。

簡而言之,採用 SSO 解決方案可以讓您和您的客戶的生活更輕鬆。

SSO + MFA:方便而不犧牲安全

SSO 很方便,但也有缺陷。 也就是說,如果 SSO 帳戶被黑客入侵,同一身份驗證系統下的其他人也可能成為攻擊目標。 應對這種風險的一種方法是實施多因素身份驗證 (MFA)。

多因素身份驗證

一種用戶身份驗證方法,要求用戶提供兩個或多個驗證因素。

SSO 與 MFA 相結合在保護用戶帳戶方面比單獨使用 SSO 做得更好。 此外,為用戶提供 MFA 和 SSO 提供的效率和便利性意味著降低密碼重置或幫助台呼叫的機會。

入門

如果您的企業有技術傾向——也就是說,您僱傭了一些不同的軟件工程師——您還可以查看 OAuth 協議,它是市場上許多商業解決方案的基礎。

如果您正在尋找可以與當前技術堆棧集成的工具,您可以瀏覽 Capterra 的身份管理目錄以獲取 SSO 提供商的完整列表,您可以在其中使用過濾工具(屏幕左側)瀏覽 MFA-具體產品。 我們的身份驗證軟件和單點登錄目錄都是查找 SSO 和 MFA 工具的好地方。