单点登录五大方案及较佳工具推荐（国际版）

单点登录 (SSO) 可减少弱密码风险和账户访问管理开销。顶级单点登录解决方案值得您加以考虑。

单点登录 (SSO) 集中了会话和用户身份验证服务，仅需一组凭证即可登录多个应用。用户体验、IT 管理效率和安全程度都有所提升。密码丢失或弱密码风险也可藉由 SSO 加以缓解，与账户访问管理有关的开销更是能得到大幅降低。

如果您尚未实现任何 SSO 或身份管理工具，亦或正在寻求升级，下面的 SSO 工具大盘点可带领您对 SSO 市场有个初步了解。今天的威胁环境中，密码管理的分量越来越重，有必要让用户抛弃重复使用老旧密码的恶劣习惯。

SSO 五大基本策略

1. 企业密码管理器

如果开销和 IT 支持都成问题，1Password 或 Lastpass(如今归属 LogMeln)这样的企业密码管理器是个不错的开始。此类产品很适合集中保存所有密码，便于在需要时插入登录进程中。而且各种应用场景都适用，比如浏览器和智能手机登录。但除了访问密码库，这种产品一般不支持多因子身份验证 (MFA)。费率大约在每月每用户 8 美元左右。

2. 全方位 SSO 解决方案

该方案比使用静态密码要好一些。如果员工数量超 100 人，IT 支持水平也过得去，上述密码管理工具的局限性就很明显了。此时你需要全方位的 SSO 解决方案(本 SSO 工具大盘点的重点)——可提供更灵活的身份验证策略、访问规则、MFA和移动身份验证应用。有趣的是，大多数 SSO 产品的价格也是每月每用户约 8 美元，但实现上需要更多 IT 人员支持。(Ping 的解决方案甚至提供低至每月 3 美元的价位。)

关于 MFA，我们需要多说两句，因为这是走上 SSO 之路的重要驱动力。此前只有相当多疑的人才会采用 MFA。如今，MFA 已成企业安全的底线，尤其是考虑到鱼叉式网络钓鱼攻击数量和复杂度双增长的情况下。但不幸的是，MFA 的部署还远未到普遍的程度：赛门铁克最近的调查《适应云威胁新现实》表明，2/3 的受访者依然未部署任何 MFA 工具以保护其云基础设施。很显然，部署 SSO 有助缓解网络钓鱼之殇，并朝着扩大 MFA 接受度的方向前进。

除了 MFA，还有另外一个原因促使企业升级身份验证机制：自适应身份验证(也称基于风险的身份验证)的必要性。这意味着转变观念，摒弃给用户分发 “永久访问凭证” 的老旧观念。这种观念如今已然过时，多个验证因子或多或少持续起效的细粒度身份验证策略取而代之。这些策略采用各种技术检测网络钓鱼、账户接管和其他试图假冒或盗取用户身份的威胁。

虽说大多数 SSO 供应商都有全面的 MFA 支持，其对自适应身份验证的支持却不充分，远未到成熟的程度。这几家供应商的产品值得一看：思科/Duo、Idaptive、ManageEngine、MicroFocus/NetIQ、Okta、OneLogin、PerfectCloud、Ping Identity 和 RSA。

3. Open-source SSO

如果公司技术和人手都够，但缺乏资金支持，那可以走开源路线，将 MFA 添加到自己的登录选项中。Authy.com MFA 工具是当今开源 MFA 市场领导者。Authy 的应用适用多种平台，包括桌面电脑。

4. 云提供商的 SSO

第四种策略是全盘接纳主要云提供商的 SSO 功能，并将之扩展进所支持的其他软件即服务 (SaaS)应用中。Salesforce 和微软 Azure 就是此路线的典范。这两家都有 SSO 服务扩展，或多或少能提供基本的身份验证功能。不过，毕竟没有提供商无关的真正 SSO 工具那么有用。最好是要么选择专业 SSO 供应商，要么直接转向身份治理解决方案。

5. 身份治理解决方案

身份治理解决方案提供商很多，产品包括 OneSpan、Saviynt、HID、CA 和 Sailpoint 等。此类产品功能强大，可对入职/离职管理施加更多控制，管理联合身份及应用编排，与云应用进一步集成等等。当然，附加功能总是要加钱购买的，但想拥有完整的身份治理软件包，这些工具终归是需要的。此处不对这些产品做评测。

无论是通过并购其他公司 (RSA、Duo 和 Ping Identity 为其中典型代表)，还是通过往自身 SSO 产品线中增添新成员 (Okta、OneLogin、Idaptive)，本文列出的许多 SSO 供应商都已进军身份管理领域。

SSO 趋势

1. 应用决胜

SSO 的有效性在于能不能自动登录尽可能多的应用。这一点很明显，过去几年中，SSO 供应商无不在疯狂增加其应用支持率。Okta 和 OneLogin 如今支持数千种应用。Idaptive 和 NetIQ 也拥有可方便配置不支持应用的功能。

2. 智能手机身份验证应用激增

由于短信 MFA 存在漏洞，采用能在手机上生成一次性密码的应用，就成了更安全的身份验证方法。此类应用数量持续增长，谷歌 Authenticator 和 Duo 拥有对云和 SaaS 提供商的最大支持。Authy、OneSpan、HID Approve、微软、SafeNetMobilePass 和 Sophos 也出品此类应用，另外还有密码管理器和 SSO 供应商自己开发的应用。

下表列出了一些常见的 SaaS 和基础设施即服务 (IaaS) 提供商，以及他们支持的 MFA 方法和智能手机应用。如果你打算支持不止一种应用，不妨看看对 Google Play 上主流 MFA 应用的评测。

典型 SaaS 应用身份验证应用支持

3. 自适应 MFA 实现方式多样

大多数 SSO 工具都支持 MFA。问题是这种支持程度有多高，尤其是对使用特定 MFA 手机应用而言。多数工具以手机上的身份验证应用开始，你得在 SSO Web 门户管理主页面上配置一番。所有 SSO 供应商都采用 ManageEngine 和 PerfectCloud 扩展对此加以支持。

4. FIDO 市场尚在成长中

谷歌 G Suite 和 微软 Window 登录如今都支持 FIDO 身份验证硬件密钥了，这或许会给人一种 FIDO 已经很普及的感觉。但事实上，只有少数供应商支持某些版本的身份验证密钥，FIDO 还远未到普及的程度。

5. 移动设备管理工具热潮消退

几年前似乎 SSO 供应商纷纷转向移动设备管理功能，Centrify(如今的 Idaptive)就是当时的带头大哥。现在则没什么客户关心这个问题了，他们将智能手机身份验证应用当成了抵御账户窃取的主要堡垒。Idaptive 和 Duo 是这方面的领头羊。

顶级 SSO 工具

1. Dou/思科 SSO

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!