CISSP的成长之路（二十四）（2）

CISSP的成长之路（二十四）（2）　

单点登录技术的对应是企业IT环境复杂度提升、多种平台和应用程序投入使用的对应，单点登录技术能够用于以下的场合：

　　◆一组系统和应用程序的多个入口点，包括互联网访问

　　◆对数量巨大的客户端的管理需求

　　◆同时使用多个应用程序的企业

　　◆简化企业访问控制方案的管理和控制

　　我们现在可以从越来越多的场合看到单点登录技术的使用，如Hotmail、yahoo、163等知名网站上使用的通行证(Passport)技术，开源社区中的OpenID等等，LDAP、Microsoft的活动目录等目录管理系统，也可以作为企业单点登录方案的组成部分。

　　下图是一个单点登录实现的示意图：

　　图1：单点登录实现的示意图，用户通过一个统一的验证服务器来访问一组资源。

　　单点登录技术的优点在于：

　　提供一个更为有效的用户登录流程，用户只需输入一次用户名和密码，就能访问到多个他需要的资源，降低了用户名密码的记忆难度并减少了用户验证所需的时间;

　　由于用户要记忆的密码数目减少，用户可以使用更为复杂更难破解的密码，从而提升IT环境的安全性;

　　消除了多个系统中的用户密码进行同步时的风险;

　　用户账户超时和登录尝试能够更密切的和登录入口相结合;

　　简化了管理员的账户管理流程，管理员只需要进行一次操作就可以完成用户账户的添加、修改、禁用和删除等操作。

　　但单点登录技术也有其与生俱来的3个缺点，就是：

　　当用户的用户名和密码被入侵者窃取的时候，入侵者能够访问到该用户所授权的所有系统和资源，这种危害在管理员密码被入侵者窃取的时候尤其明显。

　　在部署单点登录技术时必须严格遵守企业的安全策略，并细致的分配用户权限，否则很容易造成用户权限过大等问题。

　　使用单点登录技术后，企业要部署不支持该方案的计算机系统或应用程序会遇到相当多的问题。

　　为了降低和消除单点登录技术密码失窃导致的风险，企业在使用时还可以使用双因素或者多因素验证方法来增强单点登录技术的安全性。对于移动用户多的应用场景，企业还可以使用一次性加密的加密算法来保证用户密码传输时的安全性。