一文讀懂單點(diǎn)登錄對(duì)企業(yè)的價(jià)值

1、一文讀懂單點(diǎn)登錄對(duì)企業(yè)的價(jià)值在過(guò)去的十年中，企業(yè)的IT管理員一直在應(yīng)對(duì)企業(yè)內(nèi)部各種不同的關(guān)鍵性變革：企業(yè)上云使得云服務(wù)應(yīng)用被越來(lái)越多地被采用；企業(yè)需要為員工提供隨時(shí)隨地訪問工作相關(guān)應(yīng)用程序的便利，這意味著IT人員需要為 遠(yuǎn)程訪問用戶提供相關(guān)的技術(shù)支持；消費(fèi)類APP使用體驗(yàn)良好，員工期待在工作中也享受到相似的、簡(jiǎn)單便捷的應(yīng)用程序 使用體驗(yàn)；根據(jù)Mary Meeker of Kleiner Perkins發(fā)布的客戶數(shù)據(jù)顯示，企業(yè)內(nèi)部跨部門協(xié)作使用的云服 務(wù)應(yīng)用系統(tǒng)平均達(dá)100多個(gè)，這個(gè)數(shù)量遠(yuǎn)遠(yuǎn)大于本地部署應(yīng)用系統(tǒng)的數(shù)量。但是，這并不 意味著本地部署應(yīng)用系統(tǒng)會(huì)很快被完全取代。事實(shí)上，60%的IT決策

2、者認(rèn)為涉及關(guān)鍵業(yè)務(wù)性 數(shù)據(jù)的應(yīng)用系統(tǒng)都應(yīng)該采用本地部署的形式。如今，企業(yè)IT人員面臨十分沉重的壓力，他們一方面要在混合IT環(huán)境下管理數(shù)量眾多的應(yīng) 用系統(tǒng)，另一方面還要為用戶提供良好的使用體驗(yàn)。隨著應(yīng)用系統(tǒng)數(shù)目的不斷增多，其所帶來(lái)的威脅也與日俱增。企業(yè)為員工在不斷變化的環(huán)境 中進(jìn)行辦公提供便利雖然有助于提升員工工作效率，但是也引發(fā)了新的安全隱患，即訪問權(quán) 限管理。密碼的存在意味著安全挑戰(zhàn)傳統(tǒng)情況下，企業(yè)的員工一般通過(guò)輸入用戶名和密碼來(lái)訪問企業(yè)的應(yīng)用系統(tǒng)和相關(guān)數(shù)據(jù)，并 且采用如下兩種方法來(lái)確保密碼的安全：要求員工使用長(zhǎng)密碼，密碼中要求包含數(shù)字和符號(hào)；不能將同一套用戶名和密碼應(yīng)用于多個(gè)應(yīng)用系統(tǒng)或者網(wǎng)

3、站；這些方法理論上是可行的，但是實(shí)際操作起來(lái)卻非常困難。一方面，72%的人都存在密碼記 憶困難的問題，這導(dǎo)致59%的企業(yè)員工會(huì)給多個(gè)應(yīng)用系統(tǒng)設(shè)置相同或相似的密碼。更有甚者，50%的員工工作和生活中使用的密碼都是相同的除此之外，還有一個(gè)更嚴(yán)重的問題就是密碼分享：企業(yè)員工在工作中經(jīng)常會(huì)與忘記密碼或現(xiàn) 階段不應(yīng)該被授予訪問權(quán)限的同事分享應(yīng)用系統(tǒng)的密碼，而這會(huì)給企業(yè)帶來(lái)更大的安全隱 患。這對(duì)于負(fù)責(zé)企業(yè)敏感性業(yè)務(wù)數(shù)據(jù)安全的IT管理員來(lái)說(shuō)意味著什么？這意味著，如果一家企 業(yè)有200名員工，每個(gè)員工日常辦公所使用應(yīng)用系統(tǒng)的數(shù)量為10個(gè)，那么企業(yè)的IT管理員 日常就需要管理2萬(wàn)套用戶名和密碼，也就是說(shuō)企業(yè)有2

4、萬(wàn)個(gè)入口會(huì)暴露給網(wǎng)絡(luò)黑客。2萬(wàn)是一個(gè)非常龐大的數(shù)字。事實(shí)上，企業(yè)無(wú)法要求每個(gè)員工為每個(gè)應(yīng)用系統(tǒng)都設(shè)置獨(dú)立的用戶名和密碼，這是一個(gè)十分 不可行的確保應(yīng)用系統(tǒng)安全的解決方案。這時(shí)，企業(yè)可以考慮采用單點(diǎn)登錄的解決方案。什么是單點(diǎn)登錄？單點(diǎn)登錄（SSO）的概念非常簡(jiǎn)單，即僅給予員工一套用戶名和密碼，就可以使其訪問所有 權(quán)限內(nèi)的應(yīng)用系統(tǒng)，也就是說(shuō)員工只需要輸入一套用戶名和密碼，就可以訪問Email、OA、 ERP、CRM等所有工作相關(guān)應(yīng)用系統(tǒng)。單點(diǎn)登錄可以說(shuō)是這樣一個(gè)認(rèn)證過(guò)程：即允許員工輸入一套用戶名和密碼就可以訪問多個(gè) 應(yīng)用系統(tǒng)。在員工輸入用戶名和密碼點(diǎn)擊登錄后，單點(diǎn)登錄認(rèn)證機(jī)制會(huì)自動(dòng)代理所有的授權(quán)

5、應(yīng)用系統(tǒng)對(duì)員工進(jìn)行身份認(rèn)證，從而省去員工每切換到一個(gè)新的應(yīng)用系統(tǒng)就需要重新輸入 用戶名和密碼進(jìn)行驗(yàn)證的麻煩。單點(diǎn)登錄是一種簡(jiǎn)單且強(qiáng)大的、以標(biāo)準(zhǔn)協(xié)議為基礎(chǔ)的解決方案，可以為企業(yè)的用戶安全提供 高級(jí)別保障，是企業(yè)所采用的IAM（身份及訪問管理）解決方案中一個(gè)非?；A(chǔ)的組成部分。對(duì)于現(xiàn)代化的企業(yè)而言，身份及訪問管理解決方案也可以有效解決企業(yè)日常員工入離職IT 管理難題，同時(shí)支持企業(yè)進(jìn)行安全策略配置，并為企業(yè)提供賬號(hào)行為安全審計(jì)報(bào)告。盡管單點(diǎn)登錄在IAM解決方案中扮演著非常關(guān)鍵的角色，但是一個(gè)完整的IAM解決方案應(yīng)該包括多個(gè)方面，比如多因素認(rèn)證和賬號(hào)同步等，以此來(lái)有效確保企業(yè)應(yīng)用系統(tǒng)的整體安全單點(diǎn)登錄

6、的優(yōu)勢(shì)1、單點(diǎn)登錄可以有效提升員工工作效率最新一份調(diào)查研究表明，68%的企業(yè)員工每個(gè)小時(shí)都需要在十多個(gè)應(yīng)用系統(tǒng)中進(jìn)行切換。因 此，如果將十多個(gè)應(yīng)用系統(tǒng)的登錄簡(jiǎn)化為一次門戶登錄，就可以大幅減少員工日常工作中在 應(yīng)用系統(tǒng)切換上所花費(fèi)的時(shí)間，從而提升員工的工作效率。2、單點(diǎn)登錄為員工提供了一個(gè)應(yīng)用整合門戶單點(diǎn)登錄解決方案為企業(yè)員工提供了一個(gè)統(tǒng)一的應(yīng)用訪問門戶，員工在登錄門戶后就可以 看到授權(quán)范圍內(nèi)所有的應(yīng)用系統(tǒng)，也就是說(shuō)企業(yè)員工日常工作中沒有必要再記憶或用書簽 標(biāo)記多個(gè)應(yīng)用系統(tǒng)的訪問地址。有些廠商提供的單點(diǎn)登錄解決方案還可以與釘釘、企業(yè)微信或是其他OA工作臺(tái)進(jìn)行集成, 使企業(yè)員工通過(guò)原有的協(xié)同辦公平

7、臺(tái)就可以訪問所有應(yīng)用系統(tǒng)，十分方便快捷。3、單點(diǎn)登錄有助于減少密碼重置請(qǐng)求企業(yè)員工在日常工作中僅需記憶一套用戶名和密碼，因此即使偶爾忘記也不需要求助IT來(lái) 進(jìn)行密碼重置。單點(diǎn)登錄是如何實(shí)現(xiàn)的？在單個(gè)用戶進(jìn)行應(yīng)用系統(tǒng)登錄認(rèn)證時(shí)，單點(diǎn)登錄會(huì)自動(dòng)創(chuàng)建一個(gè)token認(rèn)證口令，并與其他 需要認(rèn)證的應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)共享，以此來(lái)實(shí)現(xiàn)只進(jìn)行一次認(rèn)證即可登錄所有應(yīng)用系統(tǒng)的 目的。瀏覽器為了保護(hù)關(guān)鍵性認(rèn)證數(shù)據(jù)會(huì)被強(qiáng)制采取同源策略”，因此當(dāng)用戶登錄訪問一個(gè)域時(shí)， 并不會(huì)被自動(dòng)登錄到其他第三方域。簡(jiǎn)單地說(shuō)就是，動(dòng)態(tài)內(nèi)容（例如,JavaScript或者VBScript） 只能讀取或者修改與之同源的HTTP應(yīng)答和Cook

8、ies，而不能讀取來(lái)自不同源的內(nèi)容。網(wǎng)址2（域2）ntltl（域1 ）試圖使用域1的cookiesCookies 存律處單點(diǎn)登錄有效地突破了瀏覽器“同源策略的安全性限制，通過(guò)在中心域進(jìn)行用戶身份認(rèn)證生 成token,并和其他域用戶共享token數(shù)據(jù)的方式，實(shí)現(xiàn)了基于token的統(tǒng)一安全身份認(rèn)證。 因此，在實(shí)現(xiàn)單點(diǎn)登錄的基礎(chǔ)上，當(dāng)用戶登錄一個(gè)需要認(rèn)證的域時(shí)，他們會(huì)被重新定位到其 已經(jīng)登錄并認(rèn)證的中，心域，然后再被定位到其目前正請(qǐng)求認(rèn)證的域。國(guó)址1認(rèn)證服務(wù)器登錄（域1 ）&用戶身的認(rèn)證網(wǎng)址2（域2）此外，不同的單點(diǎn)登錄解決方案所采用的token共享機(jī)制也是不一樣的，但是都會(huì)在確保用 戶認(rèn)證數(shù)據(jù)不被

9、破壞并安全傳輸?shù)幕A(chǔ)上進(jìn)行。其中，一些常見的單點(diǎn)登錄標(biāo)準(zhǔn)協(xié)議有 OpenlD Connects OAuth、OIDC、CAS等，也有一些企業(yè)會(huì)采用非標(biāo)準(zhǔn)的單點(diǎn)登錄協(xié)議來(lái) 進(jìn)行認(rèn)證。玉符身份管理解決方案玉符科技為客戶提供全方位的身份管理解決方案，不僅可以助力企業(yè)快速構(gòu)建所有應(yīng)用系 統(tǒng)之間的單點(diǎn)登錄連接，還為企業(yè)提供統(tǒng)一的安全策略管理平臺(tái)，同時(shí)還提供配套的賬號(hào)生 命周期管理、賬號(hào)行為安全審計(jì)、多因素認(rèn)證等服務(wù)，可以助力企業(yè)實(shí)現(xiàn)對(duì)所有應(yīng)用程序訪 問權(quán)限、賬戶名和密碼的統(tǒng)一管理，實(shí)現(xiàn)IT運(yùn)維效率和應(yīng)用系統(tǒng)安全系數(shù)的雙重提升。1、完備的單點(diǎn)登錄應(yīng)用集成方案支持快速構(gòu)建任意云服務(wù)、本地部署和移動(dòng)端應(yīng)用系統(tǒng)

10、的單點(diǎn)登錄連接；預(yù)集成數(shù)百款主流云應(yīng)用，可以與釘釘、企業(yè)微信或客戶自建。入門戶平臺(tái)快速進(jìn)行單 點(diǎn)登錄應(yīng)用集成；支持多種標(biāo)準(zhǔn)和非標(biāo)準(zhǔn)單點(diǎn)登錄協(xié)議：OAuth、SAML 2.0、OIDC、CAS、WS-Federation、 Kerberos JWT、ADFS、Radius、自定義標(biāo)準(zhǔn)協(xié)議;無(wú)接口自研系統(tǒng):提供SDK對(duì)接方案，支持多種語(yǔ)言Java、Python、C#、Ruby、Node.js、 PHP等，僅需幾行代碼，即可快速安全地進(jìn)行單點(diǎn)登錄集成；2、統(tǒng)一的安全策略管理功能密碼策略：支持自定義訪問單點(diǎn)登錄應(yīng)用門戶時(shí)所需密碼的長(zhǎng)度、復(fù)雜程度、輪換次數(shù) 和過(guò)期時(shí)限；登錄策略：支持自定義多種登錄策略，

11、有效抵御惡意訪問，可開啟二次認(rèn)證，提高相應(yīng) 安全等級(jí)系數(shù)；賬戶行為安全審計(jì)：詳細(xì)記錄和管理所有用戶登錄行為和IT操作行為，及時(shí)提示異常 登錄、預(yù)警風(fēng)險(xiǎn)行為；3、賬號(hào)生命周期管理多源集成：主動(dòng)適配OA、HR、AD/LDAP、數(shù)據(jù)庫(kù)等身份源系統(tǒng)，可以對(duì)企業(yè)的多個(gè)身 份源系統(tǒng)同時(shí)進(jìn)行賬號(hào)同步集成，將各身份源中的數(shù)據(jù)進(jìn)行匯總，存放在玉符統(tǒng)一目錄（UD）或客戶指定身份源應(yīng)用系統(tǒng)進(jìn)行集中安全存儲(chǔ)；提供靈活的同步流服務(wù)，IT管理員僅需簡(jiǎn)單拖拽，即可完成應(yīng)用系統(tǒng)間賬號(hào)同步的邏輯 和規(guī)則配置，實(shí)現(xiàn)人員賬號(hào)的自動(dòng)化開通、關(guān)停、修改、及權(quán)限再分配等操作，有效避 免離職員工賬號(hào)未及時(shí)關(guān)停所引發(fā)的安全隱患；4、多因素認(rèn)證機(jī)制提供問題驗(yàn)證、物理校驗(yàn)（如一次性驗(yàn)證碼、二維碼掃描、推送通知）、以及生物校驗(yàn) 等多種二次認(rèn)證方式，靈活適應(yīng)企業(yè)安全管理要求；提供基于用戶登錄安全場(chǎng)景（從設(shè)備、IP和地點(diǎn)等多維度因素進(jìn)行判斷）靈活設(shè)置安全 策略的機(jī)制，通過(guò)精準(zhǔn)的身份判定，有效保護(hù)企業(yè)的業(yè)務(wù)數(shù)據(jù)安全；小結(jié)如今，以云服務(wù)為基礎(chǔ)的單點(diǎn)登錄機(jī)制