一文搞懂单点登录(SSO)的优缺点
作者: 日期:2022年02月22日 阅:1,784

Web应用单点登录(SSO)是整个身份访问管理(IAM)行业中众所周知且受欢迎的版块。随着许多新老供应商的涌入,IT管理员在SSO方面需要考虑很多问题。不仅有各种SSO厂商可供选择,还要权衡SSO的优缺点。

一些企业正在考虑Web应用SSO的专业工具(如国外厂商Okta和OneLogin的产品),也有一些组织在进行更全面的SSO研究,包括整体优势和风险的分析,然后将SSO与更全面的IAM解决方案的比较。为此,我们总结出下表,详细介绍了SSO的优缺点,帮助企业更快决定是否采用SSO。

一、什么是SSO?

在深入了解SSO的优缺点之前,首先应了解SSO的广义概念。Web应用SSO也被业内分析师归类为第一代身份即服务 (IDaaS),通常使用SAML(安全断言标记语言)协议通过核心的身份提供程序(目录服务)验证对服务提供程序(Web应用)的访问。这些服务提供程序通常是作为服务从Web交付的应用。

简单而言,传统的SSO模型允许用户使用同一组凭据连接所有Web应用,而如今还有其他覆盖更广的单点登录和IAM现代集成解决方案。

二、SSO的优点

Web应用SSO在企业中主要用于用户与Web应用的高效连接,从而减轻IT部门和终端用户的负担。企业使用SSO的原因有很多,其全部优势如下所列:

1. 简化密码管理

Web应用SSO的第一个核心优势在于减少了管理用户密码的大部分繁琐工作。实际上,对于大多数Web应用SSO解决方案,终端用户甚至不用密码就能登录应用。实施SSO后,IT管理员只要利用核心目录服务在标识提供程序(IdP)级管理用户即可。该核心标识就是SSO解决方案要验证并向第三方Web应用证明的内容。

2. 加强管理员控制

IT管理员可以借助SSO更好地了解其终端用户的应用访问权限,这意味着影子IT和其他潜在风险因素更难隐藏。最重要的是,管理员可以在必要时移除用户对某些应用的访问权限,减少现有的攻击媒介。多年来,SSO解决方案的一项重要改进就是用户生命周期管理,其中现代SSO工具可以通过SCIM和SAML JIT等协议对用户自动预配/取消预配。

3. 提高关键登录流程效率

据统计,企业中每人每月在密码输入和密码重置上花费的平均时间为48分钟,看似微不足道,但当密码输入阻碍了一些领域(如高科技、制造业和金融行业)需要的瞬时操作时,这一时间就很重要。而采用SSO后,用户可以在任何情况下即时访问所需应用。换句话说,未采用SSO的企业实际需要面临的年均生产力损失成本约为百万元。

4. 提升安全性

SSO减少了对多个密码的需求,这意味着不法分子可用的攻击媒介整体减少了,关联企业(合作伙伴和客户)以及本企业的风险也降低了,这一点在SSO结合多因素身份验证(MFA)后尤其明显。此外,管理员还可以轻松查看、更改访问级别,防止心怀不满的离职员工损害企业。与此同时,许多复杂的SSO工具都具备推送MFA和条件访问等功能,这些功能可以提供逐步验证,进一步提升安全性。

5. 减少密码疲劳

密码疲劳可能会让最警惕的员工产生松懈。当个人被迫创建太多新凭证时,就会产生密码疲劳,为了更容易记住就写下密码然后重复使用旧密码。SSO将凭证核验浓缩到SAML协议和流程中,既可以替代基于密码的登录方法,又解决了密码疲劳的核心问题。

6. 减少技术服务需求

据统计,密码请求的平均运维成本达445元。而采用SSO则极大地简化了密码管理,大幅减轻IT运维的负担,节省大量时间和费用。

三、SSO的缺点

尽管Web应用SSO有其优点,但自身也存在一定漏洞和风险。Web应用SSO的缺点如下所列:

1. 规模越小,成本越高

简单而言,SSO的成本可能会在短时间内飙升。对于小型公司,SSO虽然优势巨大,但也可能耗费较高预算。许多SSO厂商按功能单独收费,大多数核心功能都是叠加费用,因此整体费用增长较快。

2. 需要IdP

任何SSO解决方案的主干都是企业的IdP/目录服务。SSO解决方案通常架构于目录之上,企业为了达到理想效果,不得不为不同的解决方案单独付费。当然,目录的解决方案可能与SSO一样成本高昂,包括设置实施的费用以及继续使用的经常性成本。

3. 以网络应用为主

IAM领域较为宽泛,覆盖了IT中的大部分职责。使用SSO管理对Web应用的访问只是IAM的冰山一角,IT管理员为了创建完整的IAM解决方案需要将Web应用SSO与大量其他方案结合使用。与此同时,用户仍需访问设备(Mac,Windows,Linux)、服务器基础架构、VPN、WiFi网络、文件服务器、本地应用等,而SSO并不能管理对这些IT资源的访问。

4. 需要超强密码

虽然终端用户只需记住SSO这一个密码,但要让SSO发挥最大效用,需要使用高度复杂性和保密性较好的长密码。高强度密码通常有利于整体的身份安全,但也可能被用户忘记或泄露,所以功过相抵。

5. 一损俱损

一方面,由于SSO与许多关键资源打通,如果SSO提供程序沦为攻击目标,整个用户群都将会遭到影响。另一方面,如果终端用户的SSO门户受到威胁,且未启用MFA,那么用户对应用的访问也将面临风险。

6. 需要实施和配置

SSO与许多IT工具一样,少有“即插即用”的,这意味着IT管理员必须投入时间和精力来集成和定制企业的SSO服务。不仅需要配置应用程序,而且在使用第三方IdP时,SSO集成可能会很复杂,难以实施。

7. 多用途计算机风险增加

对于共享计算机(如会议室电脑),如果用户忘记注销,使用SSO解决方案可能会增加攻击媒介,而这种风险本可以避免。

四、如何弥补SSO的缺点

显然,Web应用SSO解决方案为组织带来了诸多好处的同时也确实带来了一些问题。这主要是因为SSO工具是单点解决方案,需部署在现有目录之上,解决用户与Web应用之间的连接问题。由于这一根本原因,SSO工具在中小型企业中往往过大于功。此外,在现代IT环境中,用户需要无缝连接到各种 IT 资源,SSO的缺点也会被放大。

因此,要满足企业的SSO和IAM需求需要更好的解决方案,借助宁盾SSO解决方案,企业可以扬长避短,更好地部署单点登录:

密码方面,宁盾SSO借助宁盾多因素认证让用户可通过动态密码、推送认证、企业微信/钉钉扫码认证等多种方式提升登录认证安全,减少对登录密码的依赖。

成本方面,宁盾SSO提供灵活的用户自助服务,员工规模较大时,自助服务可大大降低账号管理压力,从而节省相关的运维成本。

效率方面,宁盾SSO支持自动化账号生命周期管理,根据不同的业务逻辑、角色、分工和条件,设计不同的身份管理工作标准及审批流程,大幅提高登录效率,加强管理员控制。

需求定制方面,宁盾单点登录门户页面还支持自定义设计(logo、布局等),也可以和企业自建的OA系统或企业已经采购的第三方SSO门户网站进行整合,满足组织的个性化需求。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章