信息安全工程师教程：单点登录（SSO，Single Sign-On）技术概述

2．单点登录（SSO，Single Sign-On）技术
（1）概述
随着信息化的迅猛发展，用户每天需要登录到许多不同的信息系统，如网络、邮件、数据库、各种应用服务器等。每个系统都要求用户遵循一定的安全策略，比如要求输入用户 ID和口令。随着用户需要登录系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。而如果用户忘记了口令，不能执行任务，就需要请求管理员的帮助，并只能在重新获得口令之前等待，造成了系统和安全管理资源的开销，降低了生产效率。特别是新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题：
①如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并延缓开发进度；
②多个身份认证系统会增加整个系统的管理工作成本；
③用户需要记忆多个账户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨；
④无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化；
⑤无法统一分析用户的应用行为；因此，对于有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少整个系统的成本。

单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游”的目标，方便用户使用。广义的“单点登录”包含的范围很广，用户可能访问的系统包括主机系统、Windows程序、Unix系统、Web应用等等。在这些不同范围的应用程序对安全的实现都有不同的侧重点。
单点登录系统采用基于数字证书的加密和数字签名技术，基于统一的策略的用户身份认证和授权控制功能，对用户实行集中统一的管理和身份认证，以区别不同的用户和信息访问者，并作为各应用系统的统一登录入口，同时为通过身份认证的合法用户签发针对各个应用系统的登录票据，从而实现“一点登录、多点漫游”。必要时，单点登录系统能够与统一权限管理系统实现无缝结合，签发合法用户的权限票据，从而能够使合法用户进入其权限范围内的各应用系统，并完成符合其权限的操作。

2016版信息安全工程师教程和考试大纲