网络安全 | 什么是单点登录SSO?

news2024/11/18 0:42:14

SSO

关注WX:CodingTechWork

SSO-概念

  1. 单点登录 (SSO) 是一种身份认证方法,用户一次可通过一组登录凭证登入会话,在该次会话期间无需再次登录,即可安全访问多个相关的应用和服务。
  2. SSO 通常用于管理一些环境中的身份验证,包括企业内部网或外部网、学生门户网站、公有云服务以及用户需要使用多个应用以完成工作的其他环境。
  3. SSO可用于面向客户的网站和应用(如银行和电子商务网站),将第三方供应商提供的应用打造成无缝、不间断的用户体验。

SSO-优势

  1. 便捷登录:SSO 显然可以为用户节省时间,带来便利。 以企业用户为例:使用 SSO,他们通常只需登录一次公司内部网或外部网,之后全天都可以访问需要使用的每个应用,无需每天在多个应用中进行多次登录。
  2. 安全态势:通过大幅减少用户需要记住的密码数量和管理员需要管理的用户帐户数,SSO 还可以增强组织的安全态势。
  3. 强密码:用一个高强度密码代替多次填写造成的密码疲劳。 需要管理大量密码的用户经常会为每个应用设定相同的安全性弱的短密码,或者只是稍有不同的密码。 黑客破解其中一个密码之后,就可以轻松访问多个应用。 SSO 通常可以将数十个长度短、安全性弱的密码缩减为一个复杂且安全性强的长密码,这样用户更容易记住,黑客更难以破解。
  4. 减少密码存储:帮助预防不安全的密码存储习惯。 SSO 可以减少或消除对密码管理器、在电子表格中存储密码、使用便笺等其他记忆辅助工具来记录密码的需求,这些方式都更容易导致密码被其他人窃取或偶然看到。
  5. 减少帮助电话:大幅减少帮助中心的电话。 行业分析组织 Gartner 称,20% 到 50% 的 IT 帮助中心的来电都与忘记密码或密码重置有关。 大多数 SSO 解决方案可以让用户在帮助中心协助下轻松地自行重置密码。
  6. 降低攻击概率:降低被黑客攻击的概率,密码更少意味着潜在攻击媒介更少。
  7. 简化账户管理:简化用户帐户的管理、配置和停用。借助 SSO,管理员可以更集中地控制身份验证要求和访问权限。 在用户离开组织时,管理员删除权限以及停用用户帐户的步骤减少。
  8. 简化监管合规:帮助简化监管合规过程。 SSO 有助于符合或更容易符合一些法规要求:关于个人身份信息保护 (PII) 和数据访问控制以及某些法规(如 HIPAA)中有关会话超时的特定要求。

SSO-原理

介绍

  1. 单点登录基于一组有关联的、可信的应用、网站和服务(称为 服务提供商 与 SSO 解决方案(称为 身份提供商)之间的数字信任关系。 SSO 解决方案通常属于更大范围的 IAM(身份和访问管理) 解决方案。
  2. 在特定时间段内空闲着的用户在尝试访问其他应用时可能需要登录。 或者,如果经过身份验证的用户尝试使用处理特别敏感信息的应用或服务,系统可能会提示用户使用其他身份验证因素进行验证,例如向用户的手机或电子邮件发送代码

流程

  1. 用户使用 SSO 登录凭证登录到一个可信的应用或连接所有可信应用的中央门户网站(如员工门户网站或学生网站)。
  2. 用户成功通过身份验证后,SSO 解决方案将生成一个会话身份验证令牌,其中包含关于用户身份(用户名、电子邮件地址等)的特定信息。该令牌会存储在用户的 Web 浏览器或者 SSO 或 IAM 服务器上。
  3. 用户尝试访问其他可信的应用时,该应用会向 SSO 或 IAM 服务器核实,确定用户是否通过会话身份验证。若通过,SSO 解决方案会使用由数字证书签署的身份验证令牌来验证用户,并为用户提供该应用的访问权限。若未通过,则会提示用户重新输入登录凭证。

SSO-技术

SAML/SAML 2.0

  1. SAML(安全性断言标记语言)是使用时间最长的开放标准协议,用于在身份提供程序和多个服务提供程序之间交换加密的身份验证和授权数据。
  2. SAML 比其他协议更能控制安全性,因此通常用于在企业或政府应用域内部和二者之间实施 SSO。

OAuth/OAuth 2.0

  1. OAuth/OAuth 2.0(开放授权)是一个开放的标准协议,用于交换应用之间的授权数据,而不会暴露用户的密码。
  2. OAuth支持使用单点登录来简化通常需要分别登录的应用之间的交互。

OpenID Connect(OIDC)

  1. OICD 也是一个开放标准协议,使用 REST API 和 JSON 身份验证令牌,允许网站或应用通过另一个服务提供商对用户进行身份验证,以此授予用户访问权限。
  2. OICD 位于 OAuth 上层,主要用于实现对第三方应用、购物车等的社交登录。 OAuth/OIDC 是一种轻量级的实现,通常由 SAML 用于跨 SaaS(软件即服务)和云应用、移动应用和物联网 (IoT) 设备实施 SSO。

LDAP

  1. LDAP(轻量级目录访问协议)定义一个用于存储和更新用户凭证的目录,以及一个针对该目录对用户进行身份验证的过程。
  2. LDAP 于 1993 年推出,LDAP 支持对目录访问的细粒度控制,如hadoop集群中kerberos认证,可以针对hdfs等组件进行细粒度管控,如上传文件、创建目录等权限的控制。

ADFS

  1. ADFS(Active Directory 联合服务)在 Microsoft Windows 服务器上运行,以启用本地和外部应用与服务的联合身份管理(包括单点登录)。
  2. ADFS 使用 Active Directory 域服务 (ADDS) 来提供身份。

SSO-风险

  1. SSO 的主要风险:如果用户的凭证泄露,这些凭证就可以为攻击者提供网络上所有或大部分应用和资源的访问权限。
  2. 预防措施:要求用户创建复杂的长密码,谨慎加密并保护存储位置,或实施带有多因子身份验证 (MFA) 的 SSO,或用户提供除密码之外的至少一个身份验证因素,例如,发送到手机的代码、指纹或身份证件。

SSO-分类

简单/纯SSO

  单点登录和一组提供对多个相关应用的会话访问权限的用户凭证

自适应SSO

  需要在一开始登录时输入用户名和密码,但随后如出现其他风险,例如,当用户从新设备登录或尝试访问特别敏感的数据或功能时,就需要额外的身份验证因子或重新登录。

联合SSO

  1. 更准确的名称是联合身份管理 (FIM),是 SSO 的扩展。
  2. SSO 基于单个组织域内应用之间的数字信任关系,而 FIM 会将这种关系扩展到组织外部的可信第三方、供应商和其他服务提供商。 例如,FIM 允许已登录的员工访问第三方 Web 应用程序(如 Slack 或 WebEx),无需额外登录,或者仅使用用户名来登录。

社交登录SSO

  1. 允许用户使用他们访问流行社交媒体网站的凭证来访问第三方应用。
  2. 社交登录简化了用户的生活。对于第三方应用提供商,它可以阻止不良行为(例如,错误登录和购物车遗弃),并为改进其应用提供有价值的信息。

SSO & 零信任方法

  1. “零信任”概念:采取“从不信任,始终验证”的安全方法:任何用户、应用或设备,无论是在网络外部,还是已经通过身份验证并位于网络内部,都必须在访问所需的下一个网络资源之前验证其身份。
  2. “零信任”影响:随着网络变得更加分散,跨越的本地基础架构以及私有云和公有云数量更多,零信任方法对于防止渗透网络的威胁获得更多访问权限并造成最大的损害至关重要。
  3. SSO和零信任关系:SSO 被广泛视为实施零信任方法的基础技术,尤其是作为 IAM 解决方案一部分的 SSO。零信任的基本挑战是创建一个安全架构,打击渗透网络的攻击者,而不会阻碍获得授权的最终用户在网络中自由行动并完成工作或业务。与多因子身份验证、访问和权限控制、网络微分段等技术和最佳实践相结合后,SSO 可以帮助组织实现这种平衡。

参考:https://developer.ibm.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1567705.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

obs直播推流 + ffmpeg参数

OBS 启动参数设为 --startstreaming , 可以让它启动后自动开始直播 对应ffmpeg参数: echo off :loop ffmpeg -re -i a.mp4 -r 24 -c:v libx264 -preset ultrafast -profile:v baseline -g 24 -keyint_min 24 -x264-params nal-hrdcbr -b:v 2500k -minr…

线上研讨会 | 应对汽车毫米波雷达设计中的电磁挑战

智能汽车、新能源汽车最近几年一直是汽车行业关注的热点,随着5G技术越来越普及,汽车智能化发展将越来越迅速。从传统汽车到智能汽车,不是简单功能的增强,而是从单一功能的交通工具变成可移动的办公和娱乐空间,成为物联…

蓝桥杯python组真题练习1

目录 1.单词分析 2.成绩统计 3.门牌制作 4.卡片 5.跑步训练 6.蛇形填数 7.时间显示 1.单词分析 1.单词分析 - 蓝桥云课 (lanqiao.cn) s list(input()) maxx 0 for i in s:num s.count(i)if num>maxx:sm imaxx numif num maxx:if ord(sm)>ord(i):sm i print…

AcWing-孤独的照片

4261. 孤独的照片 - AcWing题库 所需知识:贡献法 整体思路:首先想到暴力枚举所有区间,判断每个区间内是否有一种牛的数量是一只(提前用前缀和存放每个位置及以前的牛的数量) C代码:(过不了&a…

【科研笔记】知识星球不可选择内容爬虫

知识星球不可选择内容爬虫 1 背景2 实现3 拓展遗留问题1 背景 针对与知识星球中,电脑打开网页不可选择复制粘贴的问题,进行爬虫处理,获取网页的内容,并保存在本地 2 实现 需要下载python,和爬虫的第三方库selenium,可以查看博客中有关selenium的内容进行回顾。当前使用…

安装Pillow库的方法最终解答!_Python第三方库

安装Python第三方库Pillow 我的环境:Window10,Python3.7,Anaconda3,Pycharm2023.1.3 pillow库 Pillow库是一个非常强大的图像处理库。它提供了广泛的图像处理功能,让我们可以轻松地读取和保存图像、创建缩略图和合并到…

开源软件技术社区方案

开源软件技术社区是一个由开发者、贡献者、用户和维护者组成的共享平台,主要目的是打造技术、软件产品良性互动、开源技术安全可控的软件生态环境,实现可复用应用或服务的快速部署与使用、完成资源与能力的高度共享、促进社区成员的共建共赢,…

利用Python和Selenium实现定时任务爬虫

网络爬虫在信息获取、数据分析等领域发挥着重要作用,而定时爬虫则可以实现定期获取网站数据的功能,为用户提供持续更新的信息。在Python中,结合Selenium技术可以实现定时爬虫的功能,但如何设置和优化定时爬虫的执行时间是一个关键…

4.7 数组的读取和写入,type指令和一些杂项

4.7 数组的读取和写入,type指令和一些杂项 可以通过word ptr将db转为dw,然后按照dw的方式去存储数据 1. 段名也可以把其地址赋给变量 assume cs:codesg,ds:data,ss:stack data segmentdb 12,34dw 12,34db hello world data ends stack segmentdb 10 dup…

Android JNI基础

目录 一、JNI简介1.1 什么是JNI1.2 用途1.3 优点 二、初探JNI2.1 新建cpp\cmake2.2 build.gradle配置2.3 java层配置2.4 cmake和c 三、API详解3.1 JNI API3.1.1 数据类型3.1.2 方法 3.2 CMake脚本 四、再探JNI 一、JNI简介 1.1 什么是JNI JNI(Java Native Interfa…

医疗器械网络安全 | 美国FDA审批程序和欧盟合格评定程序的区别

要进入美国与欧洲市场,均需要通过评定程序审批。 两者的审批流程核心区别在于:所有在美国上市流通的医疗器械产品必须经过FDA的审核认证,才能投放市场。而欧盟市场,医疗器械制造商只需要自证设备合规性,并有指定机构干…

5.2 通用代码,数组求和,拷贝数组,si配合di翻转数组

5.2 通用代码,数组求和,拷贝数组,si配合di翻转数组 1. 通用代码 通用代码类似于一个用汇编语言写程序的一个框架,也类似于c语言的头文件编写 assume cs:code,ds:data,ss:stack data segmentdata endsstack segmentstack endsco…

超文本传输协议HTTP

HTTP协议 在网络通信中,我们可以自己进行定制协议,但是也有许多已经十分成熟的应用层协议,比如我们下面说的HTTP协议。 HTTP协议简介 HTTP(Hyper Text Transfer Protocol)协议又叫做超文本传输协议,是一…

前端html+css+js常用总结快速入门

🔥博客主页: A_SHOWY🎥系列专栏:力扣刷题总结录 数据结构 云计算 数字图像处理 力扣每日一题_ 学习前端全套所有技术性价比低下且容易忘记,先入门学会所有基础的语法(cssjsheml)&#xff…

LabVIEW太赫兹波扫描成像系统

LabVIEW太赫兹波扫描成像系统 随着科技的不断发展,太赫兹波成像技术因其非电离性、高穿透性和高分辨率等特点,在生物医学、材料质量无损检测以及公共安全等领域得到了广泛的应用。然而,在实际操作中,封闭性较高的信号采集软件限制…

使用ffmpeg将视频解码为帧时,图像质量很差

当使用ffmpeg库自带的ffmpeg.exe对对视频进行解帧或合并时,结果质量很差。导致这种原因的是在使用ffmpeg.exe指令进行解帧或合并时使用的是默认的视频码率:200kb/s。 如解帧指令: ffmpeg.exe -i 600600pixels.avi -r 2 -f image2 img/%03d.…

AI绘图:Stable Diffusion WEB UI 详细操作介绍:进阶-面部修复和调参

结合两篇文章完成了本地部署和基础操作,现在我们来介绍下进阶内容:面部修复,高清修复和调参区。 一:脸部修复 面部修复的适用在画真人、三次元的场景,特别是在画全身的时候 一般在画全身,由于脸部占比的空间比较小,那么绘制出来的效果就会比较差 1.面部修复 SD 支持…

日志服务 HarmonyOS NEXT 日志采集最佳实践

作者:高玉龙(元泊) 背景信息 随着数字化新时代的全面展开以及 5G 与物联网(IoT)技术的迅速普及,操作系统正面临前所未有的变革需求。在这个背景下,华为公司自主研发的鸿蒙操作系统&#xff08…

Linux Shell:`cat`命令

Linux Shell:cat命令 Linux 系统中的 cat 命令是一种多用途的工具,主要用于查看、创建、连接和追加文件内容。其名称来源于 concatenate 的缩写,意味着它可以用来连接文件内容到标准输出(屏幕)。在日常使用中&#xf…

算法基础--二分

😀前言 二分查找是一种常见的算法技巧,通过不断缩小搜索范围,快速找到目标值的算法。在实际应用中,二分查找可以应用于有序数组中的查找、求上界、求下界等问题,具有较高的效率和广泛的应用价值。 🏠个人主…