單點(diǎn)登錄 (SSO) 可減少弱密碼風(fēng)險(xiǎn)和賬戶訪問管理開銷。頂級(jí)單點(diǎn)登錄解決方案值得您加以考慮。

[[271630]]

單點(diǎn)登錄 (SSO) 集中了會(huì)話和用戶身份驗(yàn)證服務(wù)，僅需一組憑證即可登錄多個(gè)應(yīng)用。用戶體驗(yàn)、IT 管理效率和安全程度都有所提升。密碼丟失或弱密碼風(fēng)險(xiǎn)也可藉由 SSO 加以緩解，與賬戶訪問管理有關(guān)的開銷更是能得到大幅降低。

如果您尚未實(shí)現(xiàn)任何 SSO 或身份管理工具，亦或正在尋求升級(jí)，下面的 SSO 工具大盤點(diǎn)可帶領(lǐng)您對 SSO 市場有個(gè)初步了解。今天的威脅環(huán)境中，密碼管理的分量越來越重，有必要讓用戶拋棄重復(fù)使用老舊密碼的惡劣習(xí)慣。

SSO 五大基本策略

1. 企業(yè)密碼管理器

如果開銷和 IT 支持都成問題，1Password 或 Lastpass(如今歸屬 LogMeln)這樣的企業(yè)密碼管理器是個(gè)不錯(cuò)的開始。此類產(chǎn)品很適合集中保存所有密碼，便于在需要時(shí)插入登錄進(jìn)程中。而且各種應(yīng)用場景都適用，比如瀏覽器和智能手機(jī)登錄。但除了訪問密碼庫，這種產(chǎn)品一般不支持多因子身份驗(yàn)證 (MFA)。費(fèi)率大約在每月每用戶 8 美元左右。

2. 全方位 SSO 解決方案

該方案比使用靜態(tài)密碼要好一些。如果員工數(shù)量超 100 人，IT 支持水平也過得去，上述密碼管理工具的局限性就很明顯了。此時(shí)你需要全方位的 SSO 解決方案(本 SSO 工具大盤點(diǎn)的重點(diǎn))——可提供更靈活的身份驗(yàn)證策略、訪問規(guī)則、MFA和移動(dòng)身份驗(yàn)證應(yīng)用。有趣的是，大多數(shù) SSO 產(chǎn)品的價(jià)格也是每月每用戶約 8 美元，但實(shí)現(xiàn)上需要更多 IT 人員支持。(Ping 的解決方案甚至提供低至每月 3 美元的價(jià)位。)

關(guān)于 MFA，我們需要多說兩句，因?yàn)檫@是走上 SSO 之路的重要驅(qū)動(dòng)力。此前只有相當(dāng)多疑的人才會(huì)采用 MFA。如今，MFA 已成企業(yè)安全的底線，尤其是考慮到魚叉式網(wǎng)絡(luò)釣魚攻擊數(shù)量和復(fù)雜度雙增長的情況下。但不幸的是，MFA 的部署還遠(yuǎn)未到普遍的程度：賽門鐵克最近的調(diào)查《適應(yīng)云威脅新現(xiàn)實(shí)》表明，2/3 的受訪者依然未部署任何 MFA 工具以保護(hù)其云基礎(chǔ)設(shè)施。很顯然，部署 SSO 有助緩解網(wǎng)絡(luò)釣魚之殤，并朝著擴(kuò)大 MFA 接受度的方向前進(jìn)。

除了 MFA，還有另外一個(gè)原因促使企業(yè)升級(jí)身份驗(yàn)證機(jī)制：自適應(yīng)身份驗(yàn)證(也稱基于風(fēng)險(xiǎn)的身份驗(yàn)證)的必要性。這意味著轉(zhuǎn)變觀念，摒棄給用戶分發(fā) “永久訪問憑證” 的老舊觀念。這種觀念如今已然過時(shí)，多個(gè)驗(yàn)證因子或多或少持續(xù)起效的細(xì)粒度身份驗(yàn)證策略取而代之。這些策略采用各種技術(shù)檢測網(wǎng)絡(luò)釣魚、賬戶接管和其他試圖假冒或盜取用戶身份的威脅。

雖說大多數(shù) SSO 供應(yīng)商都有全面的 MFA 支持，其對自適應(yīng)身份驗(yàn)證的支持卻不充分，遠(yuǎn)未到成熟的程度。這幾家供應(yīng)商的產(chǎn)品值得一看：思科/Duo、Idaptive、ManageEngine、MicroFocus/NetIQ、Okta、OneLogin、PerfectCloud、Ping Identity 和 RSA。

3. Open-source SSO

如果公司技術(shù)和人手都?jí)颍狈Y金支持，那可以走開源路線，將 MFA 添加到自己的登錄選項(xiàng)中。Authy.com MFA 工具是當(dāng)今開源 MFA 市場領(lǐng)導(dǎo)者。Authy 的應(yīng)用適用多種平臺(tái)，包括桌面電腦。

4. 云提供商的 SSO

第四種策略是全盤接納主要云提供商的 SSO 功能，并將之?dāng)U展進(jìn)所支持的其他軟件即服務(wù) (SaaS)應(yīng)用中。Salesforce 和微軟 Azure 就是此路線的典范。這兩家都有 SSO 服務(wù)擴(kuò)展，或多或少能提供基本的身份驗(yàn)證功能。不過，畢竟沒有提供商無關(guān)的真正 SSO 工具那么有用。最好是要么選擇專業(yè) SSO 供應(yīng)商，要么直接轉(zhuǎn)向身份治理解決方案。

5. 身份治理解決方案

身份治理解決方案提供商很多，產(chǎn)品包括 OneSpan、Saviynt、HID、CA 和 Sailpoint 等。此類產(chǎn)品功能強(qiáng)大，可對入職/離職管理施加更多控制，管理聯(lián)合身份及應(yīng)用編排，與云應(yīng)用進(jìn)一步集成等等。當(dāng)然，附加功能總是要加錢購買的，但想擁有完整的身份治理軟件包，這些工具終歸是需要的。此處不對這些產(chǎn)品做評(píng)測。

無論是通過并購其他公司 (RSA、Duo 和 Ping Identity 為其中典型代表)，還是通過往自身 SSO 產(chǎn)品線中增添新成員 (Okta、OneLogin、Idaptive)，本文列出的許多 SSO 供應(yīng)商都已進(jìn)軍身份管理領(lǐng)域。

SSO 趨勢

1. 應(yīng)用決勝

SSO 的有效性在于能不能自動(dòng)登錄盡可能多的應(yīng)用。這一點(diǎn)很明顯，過去幾年中，SSO 供應(yīng)商無不在瘋狂增加其應(yīng)用支持率。Okta 和 OneLogin 如今支持?jǐn)?shù)千種應(yīng)用。Idaptive 和 NetIQ 也擁有可方便配置不支持應(yīng)用的功能。

2. 智能手機(jī)身份驗(yàn)證應(yīng)用激增

由于短信 MFA 存在漏洞，采用能在手機(jī)上生成一次性密碼的應(yīng)用，就成了更安全的身份驗(yàn)證方法。此類應(yīng)用數(shù)量持續(xù)增長，谷歌 Authenticator 和 Duo 擁有對云和 SaaS 提供商的最大支持。Authy、OneSpan、HID Approve、微軟、SafeNetMobilePass 和 Sophos 也出品此類應(yīng)用，另外還有密碼管理器和 SSO 供應(yīng)商自己開發(fā)的應(yīng)用。

下表列出了一些常見的 SaaS 和基礎(chǔ)設(shè)施即服務(wù) (IaaS) 提供商，以及他們支持的 MFA 方法和智能手機(jī)應(yīng)用。如果你打算支持不止一種應(yīng)用，不妨看看對 Google Play 上主流 MFA 應(yīng)用的評(píng)測。

典型 SaaS 應(yīng)用身份驗(yàn)證應(yīng)用支持

3. 自適應(yīng) MFA 實(shí)現(xiàn)方式多樣

大多數(shù) SSO 工具都支持 MFA。問題是這種支持程度有多高，尤其是對使用特定 MFA 手機(jī)應(yīng)用而言。多數(shù)工具以手機(jī)上的身份驗(yàn)證應(yīng)用開始，你得在 SSO Web 門戶管理主頁面上配置一番。所有 SSO 供應(yīng)商都采用 ManageEngine 和 PerfectCloud 擴(kuò)展對此加以支持。

4. FIDO 市場尚在成長中

谷歌 G Suite 和 微軟 Window 登錄如今都支持 FIDO 身份驗(yàn)證硬件密鑰了，這或許會(huì)給人一種 FIDO 已經(jīng)很普及的感覺。但事實(shí)上，只有少數(shù)供應(yīng)商支持某些版本的身份驗(yàn)證密鑰，F(xiàn)IDO 還遠(yuǎn)未到普及的程度。

5. 移動(dòng)設(shè)備管理工具熱潮消退

幾年前似乎 SSO 供應(yīng)商紛紛轉(zhuǎn)向移動(dòng)設(shè)備管理功能，Centrify(如今的 Idaptive)就是當(dāng)時(shí)的帶頭大哥?，F(xiàn)在則沒什么客戶關(guān)心這個(gè)問題了，他們將智能手機(jī)身份驗(yàn)證應(yīng)用當(dāng)成了抵御賬戶竊取的主要堡壘。Idaptive 和 Duo 是這方面的領(lǐng)頭羊。

頂級(jí) SSO 工具

1. Dou/思科 SSO

身為 SSO 領(lǐng)域新參者的 Duo 迅速崛起，被思科看中收入旗下就是明證。這家公司擁有基于強(qiáng)力移動(dòng)身份驗(yàn)證器的全功能智能手機(jī)應(yīng)用，相當(dāng)于很多競爭者的移動(dòng)管理應(yīng)用。支持多種自適應(yīng)身份驗(yàn)證方法，甚至能與其競爭公司(包括 Okta、Ping 和 OneLogin)的 SSO 工具協(xié)作。Duo 的智能手機(jī)身份驗(yàn)證器應(yīng)用也是很多 SaaS 產(chǎn)品中頗為流行的 MFA 機(jī)制之一。

其定價(jià)清晰透明，按功能分為四檔：10 用戶以下免費(fèi)，超過10 用戶從每用戶每月 3 美元起，直到 每用戶每月 9 美元止。價(jià)格最高的兩檔包含自適應(yīng)身份驗(yàn)證和策略實(shí)施工具。最高檔不僅保護(hù)內(nèi)部應(yīng)用，還護(hù)衛(wèi) SaaS 應(yīng)用。

2. Idaptive SSO

該產(chǎn)品令人驚艷。今年年初，Centrify 釋出其身份業(yè)務(wù)部門，成立 Idaptive。Centrify 繼續(xù)售賣其特權(quán)訪問管理工具。Idaptive 有兩個(gè)版本：標(biāo)準(zhǔn)版 SSO 和自適應(yīng)版 SSO (Adaptive SSO)，后者增添了上下文相關(guān)身份驗(yàn)證(需加錢購買)。MFA 支持也有兩套，標(biāo)準(zhǔn)版每用戶每月 2 美元，帶設(shè)備及用戶上下文和實(shí)時(shí)報(bào)告功能的自適應(yīng)版每用戶每月 4 美元。MFA 方法種類繁多，比如電子郵件、FIDO U2F 密鑰、谷歌 Authenticator 及其自有身份驗(yàn)證器應(yīng)用，還有短信。

該 SSO 產(chǎn)品支持?jǐn)?shù)千種應(yīng)用，還具備能夠發(fā)現(xiàn)其安全聲明標(biāo)記語言 (SAML) 配置的“無限應(yīng)用” (Infinite Apps) 功能。這些產(chǎn)品支持的協(xié)議有 SAML、WS-Fed、OAuth 等。Idaptive Web 儀表板已完全改版，但所提供的功能與原來的 Centrify 基本相同。Idaptive 還有完整的身份管理及供應(yīng)工具產(chǎn)品線，以及一款健壯的移動(dòng)設(shè)備管理產(chǎn)品。該公司定價(jià)頁面明晰，且提供免費(fèi)試用。

3. ManageEngine/Zoho Identity Manager Plus

ManageEngine 的云應(yīng)用超過 12 種，其 SSO 工具名為 Identity Manager Plus。如果你是他家服務(wù)(包括 Zoho 套裝)的大客戶，那這款工具會(huì)是滿足你 SSO 需求的良好起點(diǎn)。如果不是，那再看看別家。該工具是其他 ManageEngine AD 相關(guān)工具的補(bǔ)充。Identity Manager Plus 支持 400 種應(yīng)用，還支持自定義 SAML 配置。

如果你想要 MFA 或移動(dòng)設(shè)備支持，那你必須使用 ADSelfService Plus 工具。該工具內(nèi)含無數(shù)方法，比如來自谷歌、Duo 和微軟的各種身份驗(yàn)證器應(yīng)用，還支持 RSA SecurID 令牌。(500 用戶會(huì)另加每月 100 美元的費(fèi)用。)Identity Manager Plus 軟件支持多家身份提供商，包括 AD、Okta、OneLogin、Ping Identity 和其他基于 SAML 的提供商。該產(chǎn)品有在線演示，并與他家其他很多產(chǎn)品一樣有免費(fèi)試用。

4. MicroFocus/NetIQ Access Manager

MicroFocus 如今接過了 NetIQ 的火炬。其解決方案包含 3 個(gè)獨(dú)立產(chǎn)品：主 SSO 工具 Access Manager;一款 MFA 產(chǎn)品;移動(dòng)設(shè)備管理產(chǎn)品 Zenworks Configuration Management。每個(gè)產(chǎn)品都獨(dú)立定價(jià)，每用戶每月 0.49 美元起(500 用戶規(guī)模)，另加 47 美元安裝費(fèi)。MFA 工具每用戶每月 0.92 美元起(同樣是 500 用戶規(guī)模)。其應(yīng)用門類涵蓋 500 多種，但與 Idaptive 一樣，也提供簡易的應(yīng)用集成功能。NetIQ 支持多種連接協(xié)議，包括 FIDO、SAML、OAuth、 Open ID Connect 和 WS-Fed。

5. Okta SSO

Okta 一直以來都是 SSO 領(lǐng)域的龍頭老大，售賣的旗艦工具有兩個(gè)版本：基礎(chǔ)版和自適應(yīng)版，后者可感知位置、設(shè)備和網(wǎng)絡(luò)參數(shù)以防止欺騙攻擊。除了 SSO 產(chǎn)品，Okta 還擁有一系列補(bǔ)充產(chǎn)品，正朝著集成與身份治理領(lǐng)域發(fā)展。包括其 Lifecycle Management服務(wù)(處理 Office 365 活動(dòng)目錄 [AD] 同步、與 AD 或 LDAP 的目錄集成，以及自動(dòng)配置)、云目錄(每用戶每月 2 美元)、支持混合云/現(xiàn)場部署的服務(wù)，以及入站聯(lián)合(年費(fèi) 8,000 美元起)。

Okta 的系統(tǒng)狀態(tài)主面板，可以看到全部服務(wù)運(yùn)行時(shí)間的細(xì)節(jié)和上一個(gè)月的歷史。

Okta 兩個(gè)版本的 SSO 均有對應(yīng)版本的 MFA 應(yīng)用匹配。分別是基礎(chǔ)版 MFA 和自適應(yīng)版的。每款產(chǎn)品都有兩部分獨(dú)立的費(fèi)用。首先是接入費(fèi)，基礎(chǔ)版每年 8,000 美元，自適應(yīng)版每年 16,000 美元。然后是每用戶的使用費(fèi)，每月 3-5 美元。自適應(yīng)版 MFA 軟件有 30 天免費(fèi)試用期。所有產(chǎn)品均有明晰的報(bào)價(jià)頁面。

6. OneLogin SSO

OneLogin 入行 SSO 已久，如今提供完整的身份管理產(chǎn)品套裝。其 SSO 服務(wù)分三檔：起步版每用戶每月 2 美元，支持單 AD 實(shí)例;企業(yè)版每用戶每月 4 美元，添加 MFA、支持多個(gè)身份提供商、與 SIEM 和 VPN 集成;無限版每用戶每月 8 美元，增加用戶配置和額外的集成。所有產(chǎn)品均有 30 天免費(fèi)試用期。OneLogin 產(chǎn)品深度堪稱業(yè)界典范，其應(yīng)用涵蓋 2,700 種不同應(yīng)用的簡單密碼完成，覆蓋 1,500 多種 SAML 應(yīng)用。

OneLogin 的 SAML 配置參數(shù)，可設(shè)定該身份驗(yàn)證協(xié)議使用的應(yīng)用和連接資源的 URL 路徑。

OneLogin 還提供基于其自有 Protect 移動(dòng)軟件身份驗(yàn)證工具的自適應(yīng)身份驗(yàn)證產(chǎn)品，支持包含谷歌 Authenticator 和 Duo 在內(nèi)多種其他身份驗(yàn)證器應(yīng)用。OneLogin 以統(tǒng)一訪問工具橋接現(xiàn)場應(yīng)用及云應(yīng)用，并有實(shí)時(shí)用戶配置工具供快速處理入職和離職用戶身份管理事務(wù)。

7. PerfectCloud SmartSignIn

PerfectCloud SmartSignIn 一直都是相當(dāng)基礎(chǔ)的 SSO 解決方案。單用戶免費(fèi)版可用于管理最多 4 個(gè)應(yīng)用。PerfectCloud 是首批增添第二因子密碼登錄的 SSO 解決方案，但因?yàn)椴恢С秩魏我苿?dòng)身份驗(yàn)證器應(yīng)用而落后了。該第二因子密碼在設(shè)備上加密，但并不存儲(chǔ)，是個(gè)非常獨(dú)特的功能。該產(chǎn)品中小企業(yè)版每用戶每月 6 美元起。其中不包含 AD 集成、訪問與組管理和策略規(guī)則等附加功能。

8. Ping Identity PingOne

Ping 也是一家老牌 SSO 供應(yīng)商，其 Ping Federate 產(chǎn)品開創(chuàng)了聯(lián)合身份配置的先河。除了其自身智能手機(jī)應(yīng)用，該工具也可用于實(shí)現(xiàn)其他 MFA 應(yīng)用。

Ping 的基礎(chǔ) SSO 應(yīng)用定價(jià)因銷售渠道而異，直接購買和通過渠道合作伙伴購買價(jià)格不一。包含 MFA 和 SSO 的基礎(chǔ)定價(jià)是每用戶每月 3 美元，性價(jià)比相當(dāng)有競爭力。而且同樣提供 30 天免費(fèi)試用期。

支持 1,650 個(gè)預(yù)配置應(yīng)用。PingOne 除了自家 MFA 應(yīng)用，還支持 RSA、賽門鐵克、Duo 和 Gemalto 等競爭對手的 MFA 應(yīng)用和各種驗(yàn)證方法，包括蘋果的 FaceID、指紋和聲紋身份驗(yàn)證，及多種 FIDO 身份驗(yàn)證方法和其他硬件令牌。Ping 還能與多種移動(dòng)管理工具協(xié)同工作，包括 MobileIron、Airwatch 及 InTune 和一系列其他身份提供商，比如 AD、Azure AD、谷歌和 Open ID Connect 和 SAML。

9. RSA SecurID Access Suite

RSA 自發(fā)布 SecurID 硬件密鑰令牌以來一直是身份驗(yàn)證領(lǐng)域的市場領(lǐng)導(dǎo)者，多年收購與集成之后，其產(chǎn)品鏈已在全身份治理市場舉足輕重。RSA 的 SSO 產(chǎn)品已足夠堅(jiān)實(shí)，但明顯希望客戶實(shí)現(xiàn)其成熟的身份治理解決方案。SecurId Access 產(chǎn)品通過分銷商發(fā)售，價(jià)位不一。

RSA 訪問細(xì)節(jié)，可設(shè)置風(fēng)險(xiǎn)配置，確定驗(yàn)證特定行為的頻率。

RSA 500 用戶套餐報(bào)價(jià)每月 1,830 美元，包含用戶許可、MFA 身份驗(yàn)證、生物特征識(shí)別和 FIDO 支持。該產(chǎn)品有 3 種定價(jià)檔次：基礎(chǔ)版只有 SSO 功能。企業(yè)版和增值版包含額外的身份功能。

SSO 供應(yīng)商總結(jié)

• 賽門鐵克《適應(yīng)云威脅新現(xiàn)實(shí)》：https://resource.elq.symantec.com/LP=7326
• Authy.com MFA：https://authy.com/features/multiple-devices/
• Google Play 上主流 MFA 應(yīng)用的評(píng)測：https://www.protectimus.com/blog/10-most-popular-2fa-apps-on-google-play/
• Ping Identity 在線演示：https://identitymanager.manageengine.com/demo
• FIDO 身份驗(yàn)證：https://fidoalliance.org/what-is-fido/
• Okta 所有產(chǎn)品完整報(bào)價(jià)：https://www.okta.com/pricing/#it-multi-factor-authentication

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文