單一登入是一種進階的身分與存取管理技術,屬於聯合身分管理(Federated Identity Management, FIM)架構中的重要功能之一。
能讓使用者僅需進行一次驗證登入,就能無縫存取多個後續有被授權使用的應用系統,免去重複輸入多組帳號密碼的困擾。
實務應用情境
員工登入公司入口網站後,可直接存取上下班打卡的考勤系統、教育訓練平台、公文簽核等應用系統,不需重複登入每一個服務。
優點與效益
- 集中控管密碼強度與更新管制政策
- 鼓勵使用者採用更不易破解的密碼組合
- 提升安全性與操作效率
- 減少使用者記憶負擔與密碼外洩風險
- 降低支援忘記密碼處理的成本
缺點或應注意事項
- 單一驗證點風險:一旦帳號被盜用,可能同時暴露多個應用系統
- 導入成本高:需要整合多套應用系統,配置較為複雜
- 相依性高:若 SSO 主驗證伺服器故障,將影響所有後續的服務存取
- 權限控管仍需獨立設定:雖然一次登入,後續各應用系統內的授權仍須適用個別管理
- 可搭配多因素驗證(MFA),強化整體防護力
常見的SSO導入標準與協定
- SAML(Security Assertion Markup Language):驗證交換協定[XML] 。
- OAuth:常用於第三方應用的授權存取, 側重於處理認證與授權。 如: 社群登入以Google帳號登入。進階呈現方式則名為 Device Flow。
- OIDC(OpenID Connect):基於 OAuth 2.0 Device Authorization Grant的身分識別附加協定,側重於處理如何取得使用者個人資料。
- Kerberos:內部網路常用,基於票證(ticket)的身分驗證機制。
- Machine 2 Machine (M2M)。
對照其他相關議題
- Same Sign-On:使用相同的一組帳號密碼,但每個應用系統仍需單獨登入
- 聯合身分管理(FIM, Federated Identity Management):整合跨組織、跨平台的身分信任關係
- 多重要素驗證; 多因子驗證(MFA, Multi-Factor Authentication):加強登入驗證層級,如: 結合密碼與手機驗證碼、生物辨識等
知識點
Single Sign-On(SSO)納入以下分類:
- 安全治理原則(Security Governance Principles)
- 安全政策與程序(Security Policies and Procedures)
- 存取控制(Access Control)
SSO 屬於1.Security and Risk Management的以下子題:
#安全政策、標準、程序和指南: SSO 是一種存取控制政策與實作標準,通常納入企業的資訊安全政策與身分存取管理策略中。
#人員安全政策和程序: 直接影響使用者的驗證與存取流程,屬於管理使用者身分與行為的安全程序之一。
#資安原則、#安全概念、#CIA 三要素: SSO 有助於強化CIA 三要素中的「可用性」與「機密性」,透過集中認證,減少密碼外洩與社交工程攻擊的風險。
#治理、#安全治理原則: 在資訊治理架構下,導入 SSO 屬於提升身分管理一致性與資訊資產存取控管的策略之一。
