今天來聊聊單點(diǎn)登錄（Single Sign On）。

1.單點(diǎn)登錄的主要參與者

• 用戶 - 申請(qǐng)?jiān)L問應(yīng)用程序的個(gè)人
• 身份供應(yīng)商（IDP）- 對(duì)用戶進(jìn)行身份驗(yàn)證（如谷歌、Facebook）
• 應(yīng)用程序 - 用戶希望訪問的軟件或服務(wù)

2. SSO 的優(yōu)勢(shì)

(1) 增強(qiáng)用戶體驗(yàn)

用戶只需記住一套憑證，簡(jiǎn)化了對(duì)多個(gè)服務(wù)或應(yīng)用程序的訪問，減少了登錄多個(gè)系統(tǒng)所花費(fèi)的時(shí)間。

用戶可以在應(yīng)用程序或服務(wù)之間進(jìn)行更無縫的切換，這在用戶需要訪問各種工具來執(zhí)行任務(wù)的環(huán)境中尤為有利。

(2) 集中安全性和訪問管理

SSO 允許集中管理用戶訪問和身份驗(yàn)證策略，從而更容易實(shí)施強(qiáng)大的安全措施，如多因子身份驗(yàn)證（MFA）和密碼復(fù)雜性要求。

(3) 提高安全性

當(dāng)員工離開組織或改變角色時(shí)，SSO 可簡(jiǎn)化一次性撤銷或修改其對(duì)所有連接系統(tǒng)的訪問權(quán)限的過程。

(4) 減少密碼疲勞

只需記住一套憑證，用戶就不太可能采用不安全的做法，如使用簡(jiǎn)單、容易猜到的密碼或?qū)懴旅艽a。

(5) 簡(jiǎn)化合規(guī)報(bào)告

SSO 解決方案通常提供全面的日志和報(bào)告功能，使監(jiān)控訪問模式、調(diào)查安全事件和證明符合監(jiān)管要求變得更容易。

(6) 提高數(shù)據(jù)準(zhǔn)確性

統(tǒng)一身份：SSO 有助于在所有系統(tǒng)中為每個(gè)用戶保持單一、一致的身份，從而提高用戶數(shù)據(jù)的準(zhǔn)確性并減少不一致。

3.SSO 如何工作

• 用戶嘗試登錄應(yīng)用程序
• 應(yīng)用程序?qū)⒂脩糁囟ㄏ虻?SSO/IDP
• IDP 驗(yàn)證用戶
• IDP 發(fā)出經(jīng)過驗(yàn)證的令牌
• 令牌發(fā)回瀏覽器
• 瀏覽器向應(yīng)用程序出示令牌
• 應(yīng)用程序授予訪問權(quán)，無需重新輸入憑證

通過這種簡(jiǎn)化流程，用戶只需一次登錄即可訪問多個(gè)應(yīng)用程序，從而提高了便利性和安全性。