引入单点登录，需要考虑哪些问题？

单点登录（single sign-on，SSO）提供了一种简单但安全的身份验证过程，不再要求员工每天输入密码。它使用户可以选择一组凭据来访问多个帐户和服务。那么，组织如何才能最好地将SSO用于其目的呢？

该身份验证方案在专用SSO策略服务器的协助下工作。当用户尝试进行身份验证时，服务器会将用户的凭据发送回应用程序上的代理模块。SSO还根据已批准的用户列表验证用户的身份。通过这种方式，该服务可以跨所有账户和应用程序对用户进行身份验证。随后，当用户再次尝试访问这些范围内的帐户和应用程序时，它将不需要验证密码。

要做到这一点，组织首先需要清楚地了解SSO。

SSO的优势和挑战

SSO为组织带来了许多好处。其中有四点尤为重要：

减少密码疲劳。 当用户需要记住多个帐户和网站的密码时，通常会出现“密码疲劳”。这种疲劳表现为用户在多个帐户间重复使用密码，从而使他们免于记住很多个不同的密码。通过这样做，他们可以自我开放，并通过扩展组织来承担密码重用攻击的风险。SSO通过减少用户需要记住的密码数量来解决此问题。因此，用户可以根据SSO策略更轻松地创建和记住强密码。
帮助管理员。 用户通过SSO不必记住那么多密码，这一事实也可以帮助管理员。当员工忘记密码时，他们会以"找回密码"的形式给管理员带来负担。但是，在SSO下，用户更有可能记住他们的密码，这使管理员可以专注于其他任务。这包括使用SSO安全地提供对托管在本地，云中或跨混合云环境中的资源的访问。
协助合规性工作。 借助SSO，组织可以更有效地控制员工对某些类型的信息的访问。当与更易于实施密码更改策略相结合时，此功能可帮助组织实现并保持对HIPAA和SOX等法规的遵从性。
防止影子IT（shadow IT）。 术语 ”影子IT”是指在IT部门的常规流程之外购买或管理的信息资产。它对组织构成了威胁。在没有IT监督的情况下，员工可能会与那些可能没有适当保护措施的资产或设备共享过多的信息。IT管理员可以使用SSO来防范这种风险，具体方法是监视白名单列出允许员工使用的应用程序。

除了上面讨论的好处外，组织在实施SSO时还面临着重要的挑战。包括以下几点：

单点故障。 如果攻击者破坏了其SSO解决方案或提供程序，组织的连接系统可能会遭受破坏。同样，如果攻击者破坏了用户的设备或用于SSO的单个密码，则他们可能会获得访问其关联帐户的权限。
实施问题。 企业的IT基础架构变得越来越复杂。不仅如此，不同的部门和团队的员工也有不同的SSO需求。他们需要访问可能不适用于其他员工或其他部门的资源和资产。这使得很难创建适用于所有员工的SSO策略。
可靠性问题。 实施后，SSO构成了经过身份验证的用户访问组织应用程序的唯一途径。当存在连接问题时，通常也是失败的因素。当发生这种情况时，复杂性可能使组织难以确定发生了什么。同时，企业可以应对停机时间，这会限制员工的工作效率并导致业务合作伙伴之间的紧张关系。
采用挑战。 组织采用SSO来增强其信息安全性并为用户提供更方便的登录过程。即便如此，SSO解决方案仍可能需要更改用户的行为方式才能成功进行身份验证。更改常规工作惯例可能会促使用户尝试绕过SSO工具。随后，这种阻力可能会更普遍地影响整个组织中SSO的集成。

需要考虑的问题

幸运的是，安全专业人员可以以一种有助于最大程度地减少上述风险的方式优化组织的SSO实施。他们需要考虑以下问题：

“如何使SSO造成的单点故障最小化？”

SSO的失败点取决于攻击者窃取员工密码的访问权限。承认在现实中，安全人员可以通过使用额外的安全控制来提供多层保护，从而消除单点故障。

他们应首先要求所有员工使用双因素身份验证或多因素身份验证方法，无论哪个账户是根据组织的SSO策略授权的。这些措施将在有人获得访问其凭据的权限时保护对员工连接账户的访问。安全人员可以通过实施最小特权原则来补充此功能。这将限制攻击者能够访问的服务、账户和信息的类型，前提是他们能够成功地在公司环境中对自己进行身份验证。为了在其端点上实施最小特权策略，自动循环密码并记录特权会话活动，组织还应该考虑投资特权帐户管理解决方案。

从那里，安全专家可以使用活动目录控件来跟踪网络中的所有外部访问会话。这将帮助他们发现可疑的连接或网络活动。

“服务中断时会受到什么影响？”

SSO解决方案有助于维护组织内部的信息安全。这些工具通过限制用户可以访问的资源类型来保护数据完整性。此外，它们通过保护负责存储数据的应用程序来确保机密性。最后，他们通过在员工忘记其凭证的情况下提供应用程序、PC和其他资产来保证可用性。

鉴于SSO的安全功能，组织需要关注停机的可能性。组织需要与服务提供商合作，以评估连接故障如何影响其系统的机密性，完整性和可用性。

不仅如此，组织还应将其SSO解决方案纳入其漏洞管理程序中。SSO工具与其他任何软件程序一样，都可能存在安全漏洞。安全团队需要关注这些问题，并相应地为其确定补丁的优先级。否则，他们可能会冒着恶意行为者滥用这些漏洞以窃取组织的敏感信息的风险。

“当SSO连接断开时我们该怎么办？”

在实施过程中，SSO解决方案可能失去连接性，从而有可能破坏业务。重要的是，安全专业人员应制定一个计划以防万一。

安全团队无需在停机期间计划SSO中断。事实上，他们应该征求不同部门的意见，创建一个将SSO考虑在内的总体灾难恢复策略。然后，他们可以使用该策略的离散步骤，使组织经历SSO中断，从而建立其针对类似事件的网络恢复能力。

“我们是否有一项计划覆盖所有员工？”

安全专业人员要解决的最后一件事是不能持续管理SSO解决方案。在缺乏直接监督的情况下，安全团队在雇用员工时可能无法将其纳入SSO策略中，从而使组织面临上述一些风险。相反，如果他们在个人离开公司后未能撤消凭据，则此人可以利用他们的详细信息在离开公司很长时间内保留对组织网络或数据的访问权限。

也就是说，安全专业人员需要确保制定一个涵盖员工整个组织时间的策略。该策略应特别包括培训员工首次使用时如何使用和注册SSO解决方案。当员工的访问要求或组织中的职位发生变化时，还应该留出空间来管理和更新员工的SSO需求。该计划应详细说明在个人离开后，从SSO解决方案中撤消其凭据的必要过程。最后，他应该撤消他们对组织的SSO部署可能未涵盖的所有其他数字资产的访问权限。

文章来源：https://securityintelligence.com/articles/sso-enrollment-questions/

关于我们

「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统，助力企业或政府拥抱 （Cloud Native First）云原生优先战略，帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施！从而实现 「数字化转型」 及 「软件行业工业化生产」 ！

主打产品：ArkOS方舟操作系统：一个企业级办公自动化操作系统 ，结合自研低代码应用开发平台，构建产业生态，专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括：ArkID 统一身份认证，ArkIDE，ArkPlatform，App Store 等产品。截至目前，公司已经获得 15个 软件著作权、2个发明专利，并与2020年11月份，获得北京海淀区中关村国家高新技术企业认定。