複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/單一登入/22753074
複製
複製成功

單一登入

鎖定
單一登錄(SSO)是多個相關但獨立的軟件系統的訪問控制的屬性。使用此屬性,用户使用單個ID和密碼登錄,以便在不使用不同用户名或密碼的情況下訪問已連接的系統,或者在某些配置中在每個系統上無縫登錄。這通常使用輕量級目錄訪問協議(LDAP)和(目錄)服務器上存儲的LDAP數據庫來完成。可以使用cookie在IP網絡上實現簡單版本的單點登錄,但前提是這些站點共享一個共同的DNS父域。
為清楚起見,最好參考需要對每個應用程序進行身份驗證的系統,但使用與目錄服務器身份驗證相同的目錄服務器憑據和單個身份驗證通過將身份驗證令牌無縫地傳遞給已配置的應用程序來訪問多個應用程序的系統登錄。
相反,單點註銷是指單一簽出操作終止對多個軟件系統的訪問的屬性。
由於不同的應用程序和資源支持不同的身份驗證機制,因此單點登錄必須在內部存儲用於初始身份驗證的憑據,並將其轉換為不同機制所需的憑據。
其他共享身份驗證方案包括OAuth,OpenID,OpenID Connect和Facebook Connect。但是,這些身份驗證方案要求用户在每次訪問其他站點或應用程序時輸入其登錄憑據,以免他們與SSO混淆。
確切地説,OAuth不是嚴格的認證方案,而是授權協議:它為用户提供了一種使用某些訪問密鑰代表自己授予其他網站或應用程序訪問權限的方法。協議的主要目的是交換授權所需的訪問憑證,而不是身份驗證本身。
中文名
單一登陸
外文名
single sign-on
本    質
軟件系統的訪問控制的屬性

目錄

  1. 1 優勢
  2. 2 評價
  3. 3 安全性
  1. 4 常見配置
  2. 基於Kerberos
  3. 智能卡為主
  4. 集成Windows身份驗證
  1. 安全斷言標記語言
  2. 5 最新配置

單一登入優勢

使用單點登錄的好處包括:
  • 降低訪問第三方站點的風險(未在外部存儲或管理的用户密碼)
  • 從不同的用户名和密碼組合減少密碼疲勞
  • 減少重新輸入相同身份的密碼所花費的時間
  • 由於關於密碼的IT服務枱呼叫數量減少,降低了IT成本
  • SSO共享所有其他應用程序和系統用於身份驗證的集中身份驗證服務器,並將其與技術相結合,以確保用户不必多次主動輸入其憑據

單一登入評價

一些人使用術語“減少登錄”(RSO)來反映單點登錄在解決企業中不同級別的安全訪問需求方面不切實際的事實,因此可能需要多個身份驗證服務器。
由於單點登錄可在用户最初進行身份驗證後提供對許多資源的訪問(“城堡密鑰”),因此在憑據可供其他人使用並被濫用時會增加負面影響。因此,單點登錄需要更加註重保護用户憑據,理想情況下應與智能卡和一次性密碼令牌等強身份驗證方法相結合。
單點登錄還使身份驗證系統非常關鍵;如果喪失可用性,則可能導致拒絕訪問SSO下統一的所有系統。可以使用會話故障轉移功能配置SSO以維持系統操作。儘管如此,系統故障的風險可能使單點登錄對於必須始終保證訪問的系統是不可取的,例如安全或工廠車間系統。
此外,使用諸如Facebook之類的社交網絡服務的單點登錄技術可能使得第三方網站在圖書館,學校或工作場所中由於生產率原因而阻止社交媒體站點無法使用。它也可能給那些擁有積極審查制度的國家帶來困難,例如中國及其“金盾計劃”,其中第三方網站可能不會被主動審查,但如果用户的社交登錄被阻止,則會被有效阻止。 [1] 

單一登入安全性

2012年3月,一篇研究論文報道了一項關於社交登錄機制安全性的廣泛研究。 作者在備受矚目的ID提供商和依賴方網站中發現了8個嚴重的邏輯缺陷,例如OpenID(包括Google ID和PayPal Access),Facebook,Janrain,Freelancer,FarmVille和Sears.com。 由於研究人員在公開發現漏洞之前通知了ID提供商和依賴方網站,因此漏洞得到了糾正,並且沒有報告任何安全漏洞。
2014年5月,披露了一個名為Covert Redirect的漏洞。它的發現者王靜是新加坡南洋理工大學的數學博士生,首次報道了“與OAuth 2.0和OpenID相關的隱蔽重定向漏洞” 。實際上,幾乎所有單點登錄協議都會受到影響。 Covert Redirect利用易受XSS或Open Redirect影響的第三方客户端。

單一登入常見配置

單一登入基於Kerberos

初始登錄會提示用户輸入憑據,並獲取Kerberos票證授予票證(TGT)。
需要認證的其他軟件應用程序,例如電子郵件客户端,維基和修訂控制系統,使用票證授予票證來獲取服務票證,向郵件服務器/維基服務器等證明用户的身份,而不提示用户重新輸入證書。
Windows環境 - Windows登錄提取TGT。 Active Directory感知應用程序獲取服務票證,因此不會提示用户重新進行身份驗證。
Unix / Linux環境 - 通過Kerberos登錄PAM模塊獲取TGT。諸如Evolution,Firefox和SVN之類的Kerberized客户端應用程序使用服務票證,因此不會提示用户重新進行身份驗證。

單一登入智能卡為主

初始登錄會提示用户輸入智能卡。其他軟件應用程序也使用智能卡,而不會提示用户重新輸入憑據。基於智能卡的單點登錄可以使用存儲在智能卡上的證書或密碼。

單一登入集成Windows身份驗證

集成Windows身份驗證是與Microsoft產品相關聯的術語,指的是與Microsoft Windows 2000一起引入的SSPI功能相關的SPNEGO,Kerberos和NTLMSSP身份驗證協議,幷包含在以後基於Windows NT的操作系統中。該術語最常用於指Microsoft Internet信息服務和Internet Explorer之間自動驗證的連接。跨平台Active Directory集成供應商已將集成Windows身份驗證範例擴展到Unix(包括Mac)和GNU / Linux系統。

單一登入安全斷言標記語言

安全斷言標記語言(SAML)是一種基於XML的解決方案,用於在SAML身份提供程序和SAML服務提供程序之間交換用户安全信息。 SAML 2.0支持W3C XML加密和服務提供商發起的Web瀏覽器單點登錄交換。使用用户代理(通常是Web瀏覽器)的用户在基於SAML的單點登錄中稱為主題。用户請求受SAML服務提供商保護的Web資源。希望瞭解用户身份的服務提供商通過用户代理向SAML身份提供者發出身份驗證請求。身份提供者是提供用户憑據的身份提供者。服務提供商信任來自身份提供商的用户信息,以提供對其服務或資源的訪問。 [2] 

單一登入最新配置

移動設備作為門禁控制器
使用移動設備作為訪問控制器開發了一種新的單點登錄認證變體。 用户的移動設備可以通過使用包括OpenID Connect和SAML 以及X.509的身份驗證方法,自動將它們登錄到多個系統,例如樓宇訪問控制系統和計算機系統。 ITU-T加密證書,用於向接入服務器標識移動設備。
參考資料
  • 1.    郭燚. 單點登陸技術的研究與實現[D]. 西北工業大學, 2007.
  • 2.    薛嵐. 單點登陸思想在權限管理軟件開發中的應用[J]. 科技資訊, 2007(28):166.