單點登錄 (SSO) 可減少弱密碼風險和賬戶訪問管理開銷。頂級單點登錄解決方案值得您加以考慮。

[[271630]]

單點登錄 (SSO) 集中了會話和用戶身份驗證服務，僅需一組憑證即可登錄多個應用。用戶體驗、IT 管理效率和安全程度都有所提升。密碼丟失或弱密碼風險也可藉由 SSO 加以緩解，與賬戶訪問管理有關的開銷更是能得到大幅降低。

如果您尚未實現(xiàn)任何 SSO 或身份管理工具，亦或正在尋求升級，下面的 SSO 工具大盤點可帶領您對 SSO 市場有個初步了解。今天的威脅環(huán)境中，密碼管理的分量越來越重，有必要讓用戶拋棄重復使用老舊密碼的惡劣習慣。

SSO 五大基本策略

1. 企業(yè)密碼管理器

如果開銷和 IT 支持都成問題，1Password 或 Lastpass(如今歸屬 LogMeln)這樣的企業(yè)密碼管理器是個不錯的開始。此類產(chǎn)品很適合集中保存所有密碼，便于在需要時插入登錄進程中。而且各種應用場景都適用，比如瀏覽器和智能手機登錄。但除了訪問密碼庫，這種產(chǎn)品一般不支持多因子身份驗證 (MFA)。費率大約在每月每用戶 8 美元左右。

2. 全方位 SSO 解決方案

該方案比使用靜態(tài)密碼要好一些。如果員工數(shù)量超 100 人，IT 支持水平也過得去，上述密碼管理工具的局限性就很明顯了。此時你需要全方位的 SSO 解決方案(本 SSO 工具大盤點的重點)——可提供更靈活的身份驗證策略、訪問規(guī)則、MFA和移動身份驗證應用。有趣的是，大多數(shù) SSO 產(chǎn)品的價格也是每月每用戶約 8 美元，但實現(xiàn)上需要更多 IT 人員支持。(Ping 的解決方案甚至提供低至每月 3 美元的價位。)

關于 MFA，我們需要多說兩句，因為這是走上 SSO 之路的重要驅(qū)動力。此前只有相當多疑的人才會采用 MFA。如今，MFA 已成企業(yè)安全的底線，尤其是考慮到魚叉式網(wǎng)絡釣魚攻擊數(shù)量和復雜度雙增長的情況下。但不幸的是，MFA 的部署還遠未到普遍的程度：賽門鐵克最近的調(diào)查《適應云威脅新現(xiàn)實》表明，2/3 的受訪者依然未部署任何 MFA 工具以保護其云基礎設施。很顯然，部署 SSO 有助緩解網(wǎng)絡釣魚之殤，并朝著擴大 MFA 接受度的方向前進。

除了 MFA，還有另外一個原因促使企業(yè)升級身份驗證機制：自適應身份驗證(也稱基于風險的身份驗證)的必要性。這意味著轉(zhuǎn)變觀念，摒棄給用戶分發(fā) “永久訪問憑證” 的老舊觀念。這種觀念如今已然過時，多個驗證因子或多或少持續(xù)起效的細粒度身份驗證策略取而代之。這些策略采用各種技術(shù)檢測網(wǎng)絡釣魚、賬戶接管和其他試圖假冒或盜取用戶身份的威脅。

雖說大多數(shù) SSO 供應商都有全面的 MFA 支持，其對自適應身份驗證的支持卻不充分，遠未到成熟的程度。這幾家供應商的產(chǎn)品值得一看：思科/Duo、Idaptive、ManageEngine、MicroFocus/NetIQ、Okta、OneLogin、PerfectCloud、Ping Identity 和 RSA。

3. Open-source SSO

如果公司技術(shù)和人手都夠，但缺乏資金支持，那可以走開源路線，將 MFA 添加到自己的登錄選項中。Authy.com MFA 工具是當今開源 MFA 市場領導者。Authy 的應用適用多種平臺，包括桌面電腦。

4. 云提供商的 SSO

第四種策略是全盤接納主要云提供商的 SSO 功能，并將之擴展進所支持的其他軟件即服務 (SaaS)應用中。Salesforce 和微軟 Azure 就是此路線的典范。這兩家都有 SSO 服務擴展，或多或少能提供基本的身份驗證功能。不過，畢竟沒有提供商無關的真正 SSO 工具那么有用。最好是要么選擇專業(yè) SSO 供應商，要么直接轉(zhuǎn)向身份治理解決方案。

5. 身份治理解決方案

身份治理解決方案提供商很多，產(chǎn)品包括 OneSpan、Saviynt、HID、CA 和 Sailpoint 等。此類產(chǎn)品功能強大，可對入職/離職管理施加更多控制，管理聯(lián)合身份及應用編排，與云應用進一步集成等等。當然，附加功能總是要加錢購買的，但想擁有完整的身份治理軟件包，這些工具終歸是需要的。此處不對這些產(chǎn)品做評測。

無論是通過并購其他公司 (RSA、Duo 和 Ping Identity 為其中典型代表)，還是通過往自身 SSO 產(chǎn)品線中增添新成員 (Okta、OneLogin、Idaptive)，本文列出的許多 SSO 供應商都已進軍身份管理領域。

SSO 趨勢

1. 應用決勝

SSO 的有效性在于能不能自動登錄盡可能多的應用。這一點很明顯，過去幾年中，SSO 供應商無不在瘋狂增加其應用支持率。Okta 和 OneLogin 如今支持數(shù)千種應用。Idaptive 和 NetIQ 也擁有可方便配置不支持應用的功能。

2. 智能手機身份驗證應用激增

由于短信 MFA 存在漏洞，采用能在手機上生成一次性密碼的應用，就成了更安全的身份驗證方法。此類應用數(shù)量持續(xù)增長，谷歌 Authenticator 和 Duo 擁有對云和 SaaS 提供商的最大支持。Authy、OneSpan、HID Approve、微軟、SafeNetMobilePass 和 Sophos 也出品此類應用，另外還有密碼管理器和 SSO 供應商自己開發(fā)的應用。

下表列出了一些常見的 SaaS 和基礎設施即服務 (IaaS) 提供商，以及他們支持的 MFA 方法和智能手機應用。如果你打算支持不止一種應用，不妨看看對 Google Play 上主流 MFA 應用的評測。

典型 SaaS 應用身份驗證應用支持

3. 自適應 MFA 實現(xiàn)方式多樣

大多數(shù) SSO 工具都支持 MFA。問題是這種支持程度有多高，尤其是對使用特定 MFA 手機應用而言。多數(shù)工具以手機上的身份驗證應用開始，你得在 SSO Web 門戶管理主頁面上配置一番。所有 SSO 供應商都采用 ManageEngine 和 PerfectCloud 擴展對此加以支持。

4. FIDO 市場尚在成長中

谷歌 G Suite 和 微軟 Window 登錄如今都支持 FIDO 身份驗證硬件密鑰了，這或許會給人一種 FIDO 已經(jīng)很普及的感覺。但事實上，只有少數(shù)供應商支持某些版本的身份驗證密鑰，F(xiàn)IDO 還遠未到普及的程度。

5. 移動設備管理工具熱潮消退

幾年前似乎 SSO 供應商紛紛轉(zhuǎn)向移動設備管理功能，Centrify(如今的 Idaptive)就是當時的帶頭大哥。現(xiàn)在則沒什么客戶關心這個問題了，他們將智能手機身份驗證應用當成了抵御賬戶竊取的主要堡壘。Idaptive 和 Duo 是這方面的領頭羊。

頂級 SSO 工具

1. Dou/思科 SSO

身為 SSO 領域新參者的 Duo 迅速崛起，被思科看中收入旗下就是明證。這家公司擁有基于強力移動身份驗證器的全功能智能手機應用，相當于很多競爭者的移動管理應用。支持多種自適應身份驗證方法，甚至能與其競爭公司(包括 Okta、Ping 和 OneLogin)的 SSO 工具協(xié)作。Duo 的智能手機身份驗證器應用也是很多 SaaS 產(chǎn)品中頗為流行的 MFA 機制之一。

其定價清晰透明，按功能分為四檔：10 用戶以下免費，超過10 用戶從每用戶每月 3 美元起，直到 每用戶每月 9 美元止。價格最高的兩檔包含自適應身份驗證和策略實施工具。最高檔不僅保護內(nèi)部應用，還護衛(wèi) SaaS 應用。

2. Idaptive SSO

該產(chǎn)品令人驚艷。今年年初，Centrify 釋出其身份業(yè)務部門，成立 Idaptive。Centrify 繼續(xù)售賣其特權(quán)訪問管理工具。Idaptive 有兩個版本：標準版 SSO 和自適應版 SSO (Adaptive SSO)，后者增添了上下文相關身份驗證(需加錢購買)。MFA 支持也有兩套，標準版每用戶每月 2 美元，帶設備及用戶上下文和實時報告功能的自適應版每用戶每月 4 美元。MFA 方法種類繁多，比如電子郵件、FIDO U2F 密鑰、谷歌 Authenticator 及其自有身份驗證器應用，還有短信。

該 SSO 產(chǎn)品支持數(shù)千種應用，還具備能夠發(fā)現(xiàn)其安全聲明標記語言 (SAML) 配置的“無限應用” (Infinite Apps) 功能。這些產(chǎn)品支持的協(xié)議有 SAML、WS-Fed、OAuth 等。Idaptive Web 儀表板已完全改版，但所提供的功能與原來的 Centrify 基本相同。Idaptive 還有完整的身份管理及供應工具產(chǎn)品線，以及一款健壯的移動設備管理產(chǎn)品。該公司定價頁面明晰，且提供免費試用。

3. ManageEngine/Zoho Identity Manager Plus

ManageEngine 的云應用超過 12 種，其 SSO 工具名為 Identity Manager Plus。如果你是他家服務(包括 Zoho 套裝)的大客戶，那這款工具會是滿足你 SSO 需求的良好起點。如果不是，那再看看別家。該工具是其他 ManageEngine AD 相關工具的補充。Identity Manager Plus 支持 400 種應用，還支持自定義 SAML 配置。

如果你想要 MFA 或移動設備支持，那你必須使用 ADSelfService Plus 工具。該工具內(nèi)含無數(shù)方法，比如來自谷歌、Duo 和微軟的各種身份驗證器應用，還支持 RSA SecurID 令牌。(500 用戶會另加每月 100 美元的費用。)Identity Manager Plus 軟件支持多家身份提供商，包括 AD、Okta、OneLogin、Ping Identity 和其他基于 SAML 的提供商。該產(chǎn)品有在線演示，并與他家其他很多產(chǎn)品一樣有免費試用。

4. MicroFocus/NetIQ Access Manager

MicroFocus 如今接過了 NetIQ 的火炬。其解決方案包含 3 個獨立產(chǎn)品：主 SSO 工具 Access Manager;一款 MFA 產(chǎn)品;移動設備管理產(chǎn)品 Zenworks Configuration Management。每個產(chǎn)品都獨立定價，每用戶每月 0.49 美元起(500 用戶規(guī)模)，另加 47 美元安裝費。MFA 工具每用戶每月 0.92 美元起(同樣是 500 用戶規(guī)模)。其應用門類涵蓋 500 多種，但與 Idaptive 一樣，也提供簡易的應用集成功能。NetIQ 支持多種連接協(xié)議，包括 FIDO、SAML、OAuth、 Open ID Connect 和 WS-Fed。

5. Okta SSO

Okta 一直以來都是 SSO 領域的龍頭老大，售賣的旗艦工具有兩個版本：基礎版和自適應版，后者可感知位置、設備和網(wǎng)絡參數(shù)以防止欺騙攻擊。除了 SSO 產(chǎn)品，Okta 還擁有一系列補充產(chǎn)品，正朝著集成與身份治理領域發(fā)展。包括其 Lifecycle Management服務(處理 Office 365 活動目錄 [AD] 同步、與 AD 或 LDAP 的目錄集成，以及自動配置)、云目錄(每用戶每月 2 美元)、支持混合云/現(xiàn)場部署的服務，以及入站聯(lián)合(年費 8,000 美元起)。

Okta 的系統(tǒng)狀態(tài)主面板，可以看到全部服務運行時間的細節(jié)和上一個月的歷史。

Okta 兩個版本的 SSO 均有對應版本的 MFA 應用匹配。分別是基礎版 MFA 和自適應版的。每款產(chǎn)品都有兩部分獨立的費用。首先是接入費，基礎版每年 8,000 美元，自適應版每年 16,000 美元。然后是每用戶的使用費，每月 3-5 美元。自適應版 MFA 軟件有 30 天免費試用期。所有產(chǎn)品均有明晰的報價頁面。

6. OneLogin SSO

OneLogin 入行 SSO 已久，如今提供完整的身份管理產(chǎn)品套裝。其 SSO 服務分三檔：起步版每用戶每月 2 美元，支持單 AD 實例;企業(yè)版每用戶每月 4 美元，添加 MFA、支持多個身份提供商、與 SIEM 和 VPN 集成;無限版每用戶每月 8 美元，增加用戶配置和額外的集成。所有產(chǎn)品均有 30 天免費試用期。OneLogin 產(chǎn)品深度堪稱業(yè)界典范，其應用涵蓋 2,700 種不同應用的簡單密碼完成，覆蓋 1,500 多種 SAML 應用。

OneLogin 的 SAML 配置參數(shù)，可設定該身份驗證協(xié)議使用的應用和連接資源的 URL 路徑。

OneLogin 還提供基于其自有 Protect 移動軟件身份驗證工具的自適應身份驗證產(chǎn)品，支持包含谷歌 Authenticator 和 Duo 在內(nèi)多種其他身份驗證器應用。OneLogin 以統(tǒng)一訪問工具橋接現(xiàn)場應用及云應用，并有實時用戶配置工具供快速處理入職和離職用戶身份管理事務。

7. PerfectCloud SmartSignIn

PerfectCloud SmartSignIn 一直都是相當基礎的 SSO 解決方案。單用戶免費版可用于管理最多 4 個應用。PerfectCloud 是首批增添第二因子密碼登錄的 SSO 解決方案，但因為不支持任何移動身份驗證器應用而落后了。該第二因子密碼在設備上加密，但并不存儲，是個非常獨特的功能。該產(chǎn)品中小企業(yè)版每用戶每月 6 美元起。其中不包含 AD 集成、訪問與組管理和策略規(guī)則等附加功能。

8. Ping Identity PingOne

Ping 也是一家老牌 SSO 供應商，其 Ping Federate 產(chǎn)品開創(chuàng)了聯(lián)合身份配置的先河。除了其自身智能手機應用，該工具也可用于實現(xiàn)其他 MFA 應用。

Ping 的基礎 SSO 應用定價因銷售渠道而異，直接購買和通過渠道合作伙伴購買價格不一。包含 MFA 和 SSO 的基礎定價是每用戶每月 3 美元，性價比相當有競爭力。而且同樣提供 30 天免費試用期。

支持 1,650 個預配置應用。PingOne 除了自家 MFA 應用，還支持 RSA、賽門鐵克、Duo 和 Gemalto 等競爭對手的 MFA 應用和各種驗證方法，包括蘋果的 FaceID、指紋和聲紋身份驗證，及多種 FIDO 身份驗證方法和其他硬件令牌。Ping 還能與多種移動管理工具協(xié)同工作，包括 MobileIron、Airwatch 及 InTune 和一系列其他身份提供商，比如 AD、Azure AD、谷歌和 Open ID Connect 和 SAML。

9. RSA SecurID Access Suite

RSA 自發(fā)布 SecurID 硬件密鑰令牌以來一直是身份驗證領域的市場領導者，多年收購與集成之后，其產(chǎn)品鏈已在全身份治理市場舉足輕重。RSA 的 SSO 產(chǎn)品已足夠堅實，但明顯希望客戶實現(xiàn)其成熟的身份治理解決方案。SecurId Access 產(chǎn)品通過分銷商發(fā)售，價位不一。

RSA 訪問細節(jié)，可設置風險配置，確定驗證特定行為的頻率。

RSA 500 用戶套餐報價每月 1,830 美元，包含用戶許可、MFA 身份驗證、生物特征識別和 FIDO 支持。該產(chǎn)品有 3 種定價檔次：基礎版只有 SSO 功能。企業(yè)版和增值版包含額外的身份功能。

SSO 供應商總結(jié)

• 賽門鐵克《適應云威脅新現(xiàn)實》：https://resource.elq.symantec.com/LP=7326
• Authy.com MFA：https://authy.com/features/multiple-devices/
• Google Play 上主流 MFA 應用的評測：https://www.protectimus.com/blog/10-most-popular-2fa-apps-on-google-play/
• Ping Identity 在線演示：https://identitymanager.manageengine.com/demo
• FIDO 身份驗證：https://fidoalliance.org/what-is-fido/
• Okta 所有產(chǎn)品完整報價：https://www.okta.com/pricing/#it-multi-factor-authentication

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文