单点登录:它是什么,它如何工作,以及你为什么需要它

分享这篇文章

0 0 0 0

你可能在上周通过单点登录登录了某样东西,但是你了解它是如何工作的吗?为什么你的企业应该使用它?

你的网站中最有价值的部分是什么?

压缩视频文件的甜蜜算法?你不断增加的原创IP收藏?或者,也许你的用户在穿越一个基本上属于中土世界的地方时获得的游戏体验——出于法律原因——是这样的肯定不是中土世界吗?

从黑客的角度来看,没有那么重要。黑客正在寻找个人数据。关于用户身份的名称,地址,电子邮件和密码详细信息,可以稍后用于网络钓鱼诈骗,勒索软件攻击和身份盗窃。

如今,密码和其他登录信息可能高居榜首。Houzz家居设计公司去年丢失了超过4800万个密码。据估计,以《Words with Friends》和《Draw Something》闻名的游戏开发商Zynga也遭到了安全攻击2.18亿用户凭证被盗

不幸的是,当涉及到安全漏洞时,预防永远不是100%可能的。然而,有一些方法可以减少用户密码被窃取的几率。欢迎来到单点登录,一个身份管理结构,解决了大量常见的业务问题。

什么是单点登录(SSO)?

单点登录(SSO)是一种身份识别系统,允许网站使用其他可信站点来验证用户。这使企业无需在数据库中保存密码,减少了登录故障排除,并减少了黑客可能造成的损害。

SSO系统作为身份提供者的工作,就像身份证一样。例如,如果你被拉出超速,警察不必个人地了解你;他们只能查看您的许可证,并查看您的状态为您的身份担保。

同样,使用SSO,您的网站不会让您通过在其内部检查来证明您的身份。相反,它会与SSO提供者(如LinkedIn、Microsoft或谷歌)进行检查,看它是否可以验证您的身份。如果可以的话,网站会相信他们的话。

从技术上讲,很多所谓的单点登录实际上是纯SSO和委派或联合。所有平台之间都有一种混乱,特别是当身份服务提供商加入其中时。

我们将在这里使用SSO,并在区别真正重要时使用标注。

SSO如何工作?

大致地解释这个系统很简单,但是解释实现SSO的过程需要更多的背景知识。通常,当您登录一个系统时,服务提供者或域(本例中为website.com)将自己验证您的身份。像这样:

1.作为一个用户,你会时不时地在网站上点击一个页面,看看你是否已经登录了。如果是,那么SSO身份验证就完成了,系统将把您发送到您真正想要的任何地方(例如,您的Gmail收件箱)。

2.如果您还没有登录,将显示一个登录屏幕。

3.你在表单中丢弃你的登录凭证(电子邮件和密码),website.com根据它的数据库检查这些凭证,然后你要么登录要么被拒绝。

4.如果你登录了,website.com会发出某种跟踪器。它可以在服务器上,也可以作为令牌发送给您。

现在,无论何时您在站点上移动,系统都会检查以确保跟踪器(以及您的身份验证)是最新的。

如果你想在SSO上做同样的事情,它看起来会像这样:

1.作为用户,您会在website.com上访问一个断断续续的页面(SSO门户),该页面会检查您是否已经登录。如果你是,它会把你带到你真正想要的地方——比如你的Gmail收件箱。

2.如果你还没有登录,website.com会为你提供通过第三方身份提供者(谷歌,Amazon, Facebook等)进行身份验证的选项。你选择你的提供商,然后登录到这个提供商,比如说谷歌。

3.谷歌会检查你是否就是你,检查website.com是否就是它声称的那个网站,然后根据谷歌密码数据库对你进行身份验证,并向website.com发出令牌。

4.Website.com从谷歌获取token,验证您的身份。它现在将您与用户数据的其余部分——首选项、历史记录、购物车等等——关联起来,一切都准备好了。

  • 在真正的SSO系统,您可以从一个站点游遍到另一个站点,完全访问。
  • 在一个委托制度,谷歌将返回身份验证和授权使用集。例如,Website.com可能会被允许访问你的姓名和电子邮件,但不会显示你的位置和年龄。(参见下面的示例。)


使用Auth0 (Auth0)的SSO时的重定向流示例)

太棒了!但为什么有人要这么做呢?

对用户的好处

与SSO交互的用户有几个主要好处。

  • 方便。用户只需要记住一组登录详细信息。通过将你的站点连接到他们在谷歌的登录,你可以确保即使是零星的用户也能记住如何登录;他们只是登陆谷歌。
  • 透明度。用户知道从一个系统到另一个系统正在共享什么——至少在一个委托系统中是这样。这就像你在手机上安装了一个新的应用程序,它会请求访问你的照片、联系人和银行账户。如果你对这些选项不满意,你可以选择退出。
  • 速度。使用SSO,用户不必经历冗长的注册和授权过程。谷歌已经完成了所有的邮件验证和数据收集,新用户可以像登录谷歌一样快速注册。
  • 安全。用户也得到了内心的平静,因为知道网站所有者马龙·兰多没有明文存储他们的密码在互联网回水的某处。谷歌仍然是主要的信任点,它允许用户毫无畏惧地尝试新事物。

对你的生意的好处

这对你的用户来说是个好消息,但是对你这个网站所有者来说有什么好处呢?

  • 更多的用户注册。SSO提供了较低的准入门槛,因此新客户可以通过依赖知名品牌轻松安全地注册。Facebook正在管理这个过程,所以他们不会担心你未知的系统和品牌。信任增加了,这就增加了转换。
  • 减少后端工作。也就是说,你不用再摆弄密码了。虽然降低你的黑客风险很重要,但更重要的是不用每五分钟重置一次密码。所有的身份验证和密码重载都由受信任的身份验证者管理。
  • 数据收集。你也可以通过谷歌或Facebook或任何提供这些信息的网站获取更多信息。这是数据收集的所有好处,而没有与之相关的所有麻烦。
  • 降低风险。最后,你把诱人的馅饼从窗台上拿下来了。如果你的网站上没有大量的登录信息,黑客就不会有太多动机攻击你的网站。你也不太可能有一群用户的可怕的弱密码戳你的网站的整体安全漏洞。

简而言之,采用SSO解决方案可以使您和您的客户生活得更轻松。

SSO + MFA:既方便又不牺牲安全性

SSO方便,但它有陷阱。即,如果SSO帐户被黑了攻击,则也可以针对同一身份验证系统下的其他人。一种方法可以通过实现多因素身份验证(MFA)来抵消这种风险。

多因素身份验证

一种用户身份验证方法,它要求用户提供两个或多个验证因素。

与单点登录相比,单点登录结合MFA在保护用户账户方面做得更好。此外,为用户提供MFA和SSO提供的效率和方便性意味着降低密码重置或求助台呼叫的机会。

开始

如果你的业务倾向于技术——也就是说,你雇佣了某种类型的软件工程师——你也可以检查OAuth协议,它支撑着市场上的许多商业解决方案。

如果您正在寻找可以与当前技术堆栈集成的工具,您可以浏览Capterra的身份管理目录获取完整的SSO提供程序列表,您可以使用过滤工具(屏幕左侧)浏览特定于mfa的产品。我们的身份验证软件单点登录的目录是寻找SSO和MFA工具的好地方。

分享这篇文章

关于作者

塞拉罗杰斯

塞拉罗杰斯

继续下去

Capterra的内容作者,涉及人力资源和学习管理行业。BBA,贝勒大学。在德克萨斯州奥斯汀,你可以找到我和我的狗徒步旅行或收集复古设计师服装。

评论

《阿凡达》

嘿,安德鲁,我认为单点登录让客户访问数字属性是一回事,但让他们识别品牌并与之互动是另一回事。无论是通过传统的注册(用户名和密码)还是社会登录,访客的范围从匿名到已知。

对本文的评论:


评论指南:
所有的评论在发表之前被审核,必须符合我们的指导方针。评论必须是实质性的,专业的,避免自我推销。版主在批准评论时使用自由裁量权。

例如,注释可能不会:
•包含个人信息,如电话号码或电子邮件地址
•自我推销或链接到其他网站
•包含仇恨或蔑视的语言
•使用假名字或垃圾内容

你的隐私对我们很重要。看看我们隐私政策