什麼是 SSO?

Single Sign-On (SSO) 是一種身分驗證解決方案,允許使用者透過一次性使用者身分驗證登入多個應用程式和網站。鑑於現今使用者經常直接從其瀏覽器存取應用程式,因此組織將優先採用可提高安全性和使用者體驗的存取管理策略。SSO 提供了這兩個方面,因為一旦使用者的身分通過驗證,則其可以存取所有受密碼保護的資源,且無需重複登入。

為什麼 SSO 很重要?

使用 SSO 簡化使用者登入,進而透過多種方式讓使用者和組織受益。

強化密碼安全性

當人們不使用 SSO 時,他們必須記住不同網站的多個密碼。這樣一來,可能會造成不推薦的安全實務,例如對不同帳戶使用簡單或重複的密碼。此外,使用者在登入服務時,可能會忘記或輸入錯誤的憑證。SSO 可防止密碼疲勞,並鼓勵使用者建立可用於多個網站的強密碼。

提高生產力

員工經常使用多個需要獨立身分驗證的企業應用程式。手動輸入每個應用程式的使用者名稱和密碼既費時又效率低下。SSO 簡化了企業應用程式的使用者驗證過程,並且更容易存取受保護的資源。

降低成本

在嘗試記住大量密碼時,企業使用者可能會忘記他們的登入憑證。這樣一來,將會導致頻繁請求擷取或重設其密碼,進而增加了內部 IT 團隊的工作量。實施 SSO 可減少忘記密碼的情況發生,從而最大限度地減少處理密碼重置請求的支援資源。

提升安全狀態

透過最大限度地減少每個使用者的密碼數量,SSO 可促進使用者存取稽核,並為所有類型的資料提供了強大的訪問控制。這樣,可降低針對密碼的安全事件的風險,同時幫助組織遵守資料安全法規。

提供更好的客戶體驗

雲端應用程式供應商使用 SSO 為最終使用者提供無縫登入體驗和憑證管理。使用者管理的密碼較少,並且仍然可以安全地存取完成其日常工作所需的資訊和應用程式。

SSO 如何運作?

SSO 在應用程式或服務與外部服務供應商 (亦稱為身分提供者 (IdP)) 之間建立信任。這是透過在應用程式和集中式 SSO 服務之間執行的一系列身分驗證、驗證和通訊步驟來實現的。SSO 解決方案中的重要組成部分如下所示。

SSO 服務

SSO 服務是使用者登入時,應用程式依賴的中央服務。如果未經身分驗證的使用者請求存取應用程式,則應用程式會將他們重定向到 SSO 服務。然後,該服務會對使用者進行身分驗證,並將使用者重定向回原始應用程式。該服務通常在專用的 SSO 策略伺服器上運行。

SSO 字符

SSO 字符是包含使用者識別資訊的數位檔案,例如使用者名稱或電子郵件地址。當使用者請求存取應用程式時,應用程式會與 SSO 服務交換 SSO 字符,以對使用者進行身分驗證。 

 

SSO 程序

SSO 程序如下:

  1. 當使用者登入應用程式時,應用程式會產生 SSO 字符,並向 SSO 服務傳送身分驗證請求。 
  2. 該服務會檢查使用者之前是否在系統中進行了身分驗證。如果是,它會向應用程式傳送一個身分驗證確認回應,以授予使用者存取權限。 
  3. 如果使用者沒有經過驗證的憑證,SSO 服務會將使用者重定向到中央登入系統,並提示使用者提交其使用者名稱和密碼。
  4. 提交後,服務會驗證使用者憑證,並將肯定回應傳送到應用程式。 
  5. 否則,使用者會收到錯誤訊息且必須重新輸入憑證。多次失敗的登入嘗試可能會導致服務在固定的時間段內阻止使用者進一步嘗試。 

SSO 的類型有哪些?

SSO 解決方案使用不同的標準和協定來驗證使用者憑證。

SAML

SAML (安全聲明標記語言) 是應用程式用來與 SSO 服務交換身分驗證資訊的通訊協定或規則集。SAML 使用 XML (一種瀏覽器友好型標記語言) 來交換使用者識別資料。基於 SAML 的 SSO 服務可提供更好的安全性和靈活性,因為應用程式不需要在其系統上儲存使用者憑證。

OAuth

OAuth (開放授權) 是一種開放標準,它允許應用程式安全地從其他網站存取使用者資訊,而無需提供密碼。應用程式並非請求使用者密碼,而是使用 OAuth 來獲得使用者存取受密碼保護的資料的權限。OAuth 透過 API 建立應用程式之間的信任,允許應用程式在已建立的架構中傳送和回應身分驗證請求。

OIDC

OpenID 是一種使用一組使用者憑證存取多個網站的方法。它允許服務供應商承擔驗證使用者憑證的角色。Web 應用程式並非將身分驗證字符傳遞給第三方身分提供者,而是使用 OIDC 來請求附加資訊及驗證使用者的真實性。

Kerberos

Kerberos 是一種基於票證的身分驗證系統,可讓兩方或多方在網路上相互驗證其身分。它使用了安全加密,以防止未經授權存取在伺服器、用戶端和金鑰分發中心之間傳輸的識別資訊。

SSO 是否安全無虞?

是的,SSO 是一種理想的進階身分存取管理解決方案。部署後,Single Sign-On 解決方案可幫助組織對企業應用程式和資源進行使用者存取管理。藉助 SSO 解決方案,應用程式使用者可更輕鬆地設定和記住強密碼。此外,IT 團隊可以使用 SSO 工具監控使用者行為,提高系統彈性,以及降低安全風險。 

SSO 與其他存取管理解決方案相比有何差異?

根據您的要求,您可以選擇多種身分和存取管理解決方案

聯合身分管理

聯合身分管理 (FIM) 是一個數位架構,它允許來自不同廠商的多個應用程式共享、管理和驗證使用者身分。例如,FIM 允許您的員工登入到一個應用程式,然後無需再次登入即可存取其他幾個企業應用程式。FIM 使用可信的身分提供者對服務供應商提交的憑證進行身分驗證。 

SSO 與聯合身分管理

聯合身分管理是針對跨域應用程式的綜合身分認證和管理解決方案。同時,Single Sign-On (SSO) 是 FIM 模型中的一項特定功能。雖然 FIM 允許使用者透過一次登入存取來自不同廠商的服務,但 SSO 僅限於由單一供應商託管的服務或應用程式。

Same Sign-On 

縮寫同樣為 SSO 的 Same Sign-On 是一種數位解決方案,可在使用者存取的裝置上儲存和同步使用者憑證。它類似於密碼文件庫或密碼管理器,允許使用者登入不同裝置上的多個應用程式,而且無需記住憑證。 

Single Sign-On 與 Same Sign-On

Single Sign-On 系統需要使用者進行一次性身分驗證。登入後,使用者無需重新進行身分驗證即可存取其他 Web 應用程式和服務。此外,Same Sign-On 要求使用者每次使用相同的身分驗證憑證重複登入程序。

多重要素驗證 

多重要素驗證是一種使用者身分驗證架構,其使用了兩種或多種技術來驗證使用者的身分。例如,使用者在網頁上輸入他們的電子郵件地址和密碼,然後鍵入傳送到他們行動電話的一次性密碼 (OTP),以實現安全存取。 

SSO 與多重要素驗證

SSO 允許組織透過一次登入即可存取所有連接的服務,從而簡化和加強密碼安全性。多重要素驗證提供了額外的安全層,可減少透過被盜憑證進行未經授權存取的可能性。可以整合 SSO 和多重要素驗證,來改善 Web 應用程式的安全狀況。

AWS 如何在 SSO 方面提供協助?

AWS IAM Identity Center 是一種雲端身分驗證解決方案,可讓組織安全地建立或連線其員工身分,並跨 AWS 帳戶和應用程式集中管理其存取權。您可以建立使用者身分或從 Okta Universal Directory 或 Azure 等外部身分提供者匯入使用者身分。AWS IAM Identity Center 的一些優勢包括:

  • 用於管理 AWS 帳戶或商業應用程式身分的中央儀表板。
  • 多重要素驗證支援,為使用者提供高度安全的身分驗證體驗。 
  • 與其他 AWS 應用程式的整合支援,以實現零組態身分驗證和授權。

立即建立免費的 AWS 帳戶,開始使用 SSO on AWS。

AWS SSO 後續步驟

查看額外的產品相關資源
進一步了解安全服務 
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
開始在主控台進行建置

開始在 AWS 管理主控台進行建置。

登入