身份与访问
单点登录 (SSO)
别称: SSO, 统一身份认证
定义
一种认证方式,用户在可信的身份提供方完成一次登录后,即可访问多个应用而无需再次输入凭据。
单点登录 (SSO) 将认证集中在身份提供方 (IdP);被称为依赖方的应用接受由该 IdP 签发的断言或令牌,不再直接收集凭据。常用协议包括 SAML 2.0、基于 OAuth 2.0 的 OpenID Connect 以及 Windows 环境下的 Kerberos。SSO 改善用户体验,减少密码重复使用,便于集中实施 MFA 与条件访问策略,也简化离职流程。其代价是风险的集中:一旦 SSO 账户或 IdP 被攻破,所有接入应用都可能受到影响,因此抗钓鱼 MFA、异常检测和会话监控不可或缺。
示例
- 登录一次 Google Workspace 后,通过 OIDC/SAML 访问 Slack、Notion 和 Jira。
- Active Directory 账户通过 Kerberos 无感登录内部 Web 应用。
相关术语
联合身份
一种架构,不同组织或安全域通过共同信任的身份提供方,让用户使用同一份身份跨域访问各种系统。
SAML
基于 XML 的开放标准,用于在身份提供方与服务提供方之间交换认证与授权断言。
OpenID Connect (OIDC)
构建在 OAuth 2.0 之上的身份层,允许客户端通过签名的 ID 令牌验证用户身份并获取基本资料。
OAuth 2.0
开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。
Kerberos
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。