Web应用单点登录（SSO）是整个身份访问管理（IAM）行业中众所周知且受欢迎的版块。随着许多新老供应商的涌入，IT管理员在SSO方面需要考虑很多问题。不仅有各种SSO厂商可供选择，还要权衡SSO的优缺点。

一些企业正在考虑Web应用SSO的专业工具（如国外厂商Okta和OneLogin的产品），也有一些组织在进行更全面的SSO研究，包括整体优势和风险的分析，然后将SSO与更全面的IAM解决方案的比较。为此，我们总结出下表，详细介绍了SSO的优缺点，帮助企业更快决定是否采用SSO。

一、什么是SSO？

在深入了解SSO的优缺点之前，首先应了解SSO的广义概念。Web应用SSO也被业内分析师归类为第一代身份即服务 （IDaaS），通常使用SAML（安全断言标记语言）协议通过核心的身份提供程序（目录服务）验证对服务提供程序（Web应用）的访问。这些服务提供程序通常是作为服务从Web交付的应用。

简单而言，传统的SSO模型允许用户使用同一组凭据连接所有Web应用，而如今还有其他覆盖更广的单点登录和IAM现代集成解决方案。

二、SSO的优点

Web应用SSO在企业中主要用于用户与Web应用的高效连接，从而减轻IT部门和终端用户的负担。企业使用SSO的原因有很多，其全部优势如下所列：

1. 简化密码管理

Web应用SSO的第一个核心优势在于减少了管理用户密码的大部分繁琐工作。实际上，对于大多数Web应用SSO解决方案，终端用户甚至不用密码就能登录应用。实施SSO后，IT管理员只要利用核心目录服务在标识提供程序（IdP）级管理用户即可。该核心标识就是SSO解决方案要验证并向第三方Web应用证明的内容。

2. 加强管理员控制

IT管理员可以借助SSO更好地了解其终端用户的应用访问权限，这意味着影子IT和其他潜在风险因素更难隐藏。最重要的是，管理员可以在必要时移除用户对某些应用的访问权限，减少现有的攻击媒介。多年来，SSO解决方案的一项重要改进就是用户生命周期管理，其中现代SSO工具可以通过SCIM和SAML JIT等协议对用户自动预配/取消预配。

3. 提高关键登录流程效率

据统计，企业中每人每月在密码输入和密码重置上花费的平均时间为48分钟，看似微不足道，但当密码输入阻碍了一些领域（如高科技、制造业和金融行业）需要的瞬时操作时，这一时间就很重要。而采用SSO后，用户可以在任何情况下即时访问所需应用。换句话说，未采用SSO的企业实际需要面临的年均生产力损失成本约为百万元。

4. 提升安全性

SSO减少了对多个密码的需求，这意味着不法分子可用的攻击媒介整体减少了，关联企业（合作伙伴和客户）以及本企业的风险也降低了，这一点在SSO结合多因素身份验证（MFA）后尤其明显。此外，管理员还可以轻松查看、更改访问级别，防止心怀不满的离职员工损害企业。与此同时，许多复杂的SSO工具都具备推送MFA和条件访问等功能，这些功能可以提供逐步验证，进一步提升安全性。

5. 减少密码疲劳

密码疲劳可能会让最警惕的员工产生松懈。当个人被迫创建太多新凭证时，就会产生密码疲劳，为了更容易记住就写下密码然后重复使用旧密码。SSO将凭证核验浓缩到SAML协议和流程中，既可以替代基于密码的登录方法，又解决了密码疲劳的核心问题。

6. 减少技术服务需求

据统计，密码请求的平均运维成本达445元。而采用SSO则极大地简化了密码管理，大幅减轻IT运维的负担，节省大量时间和费用。

三、SSO的缺点

尽管Web应用SSO有其优点，但自身也存在一定漏洞和风险。Web应用SSO的缺点如下所列：

1. 规模越小，成本越高

简单而言，SSO的成本可能会在短时间内飙升。对于小型公司，SSO虽然优势巨大，但也可能耗费较高预算。许多SSO厂商按功能单独收费，大多数核心功能都是叠加费用，因此整体费用增长较快。

2. 需要IdP

任何SSO解决方案的主干都是企业的IdP/目录服务。SSO解决方案通常架构于目录之上，企业为了达到理想效果，不得不为不同的解决方案单独付费。当然，目录的解决方案可能与SSO一样成本高昂，包括设置实施的费用以及继续使用的经常性成本。

3. 以网络应用为主

IAM领域较为宽泛，覆盖了IT中的大部分职责。使用SSO管理对Web应用的访问只是IAM的冰山一角，IT管理员为了创建完整的IAM解决方案需要将Web应用SSO与大量其他方案结合使用。与此同时，用户仍需访问设备（Mac，Windows，Linux）、服务器基础架构、VPN、WiFi网络、文件服务器、本地应用等，而SSO并不能管理对这些IT资源的访问。

4. 需要超强密码

虽然终端用户只需记住SSO这一个密码，但要让SSO发挥最大效用，需要使用高度复杂性和保密性较好的长密码。高强度密码通常有利于整体的身份安全，但也可能被用户忘记或泄露，所以功过相抵。

5. 一损俱损

一方面，由于SSO与许多关键资源打通，如果SSO提供程序沦为攻击目标，整个用户群都将会遭到影响。另一方面，如果终端用户的SSO门户受到威胁，且未启用MFA，那么用户对应用的访问也将面临风险。

6. 需要实施和配置

SSO与许多IT工具一样，少有“即插即用”的，这意味着IT管理员必须投入时间和精力来集成和定制企业的SSO服务。不仅需要配置应用程序，而且在使用第三方IdP时，SSO集成可能会很复杂，难以实施。

7. 多用途计算机风险增加

对于共享计算机（如会议室电脑），如果用户忘记注销，使用SSO解决方案可能会增加攻击媒介，而这种风险本可以避免。

四、如何弥补SSO的缺点

显然，Web应用SSO解决方案为组织带来了诸多好处的同时也确实带来了一些问题。这主要是因为SSO工具是单点解决方案，需部署在现有目录之上，解决用户与Web应用之间的连接问题。由于这一根本原因，SSO工具在中小型企业中往往过大于功。此外，在现代IT环境中，用户需要无缝连接到各种 IT 资源，SSO的缺点也会被放大。

因此，要满足企业的SSO和IAM需求需要更好的解决方案，借助宁盾SSO解决方案，企业可以扬长避短，更好地部署单点登录：

密码方面，宁盾SSO借助宁盾多因素认证让用户可通过动态密码、推送认证、企业微信/钉钉扫码认证等多种方式提升登录认证安全，减少对登录密码的依赖。

成本方面，宁盾SSO提供灵活的用户自助服务，员工规模较大时，自助服务可大大降低账号管理压力，从而节省相关的运维成本。

效率方面，宁盾SSO支持自动化账号生命周期管理，根据不同的业务逻辑、角色、分工和条件，设计不同的身份管理工作标准及审批流程，大幅提高登录效率，加强管理员控制。

需求定制方面，宁盾单点登录门户页面还支持自定义设计（logo、布局等），也可以和企业自建的OA系统或企业已经采购的第三方SSO门户网站进行整合，满足组织的个性化需求。