身份认证练就单点登录一指禅

随着在线交易和电子商务的发展，身份认证变得越来越重要。身份认证技术能够密切结合企业的业务流程，阻止对重要资源的非法访问。也可以说，身份认证是整个信息安全体系的基础。

最简单的身份认证就是密码。密码简单易用，但是，任何数字超过三到四个组合时就会变得让人生厌。在公司里，用户可能需要进入15～20个不同的应用才能完成他们的工作，在这样的条件下，密码认证不仅成了一种低级的认证方式，而且还会影响员工的工作效率。

另外，企业业务正常运营时，企业用户需要同时访问多个业务系统，并经常浏览企业内部网中的相关信息资源。由于用户在访问不同业务系统时需要独立访问该业务系统；同时，用户需要在各系统间频繁地切换，操作较复杂，无法快速地获得相关业务信息并加以分析利用，此外，用户在进行业务操作时，需要分别登录到不同的应用系统中，由于系统较多，用户账号或密码遗忘现象时有发生，或者一套简单用户名和密码多系统使用，造成保密强度降低等问题。

于是，人们开始考虑用单点登录技术（Single Sign-On，SSO）来提供最为广泛的应用范围，同时减少了基于口令的访问控制所带来的管理负担、成本及用户烦恼。提供所有这些优点的同时可以加强安全性并提高用户的生产效率。企业希望通过实施建立企业级的单点登录系统和安全防护系统，为企业用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台；通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高信息系统的易用性、安全性、稳定性；在此基础上进一步实现企业用户高速协同办公和企业知识管理功能。

在启用了SSO的环境中，每个用户的身份认证定义了他能在网络上做什么。因此，用户只需登录一次，就可以得到对网络中所有应用程序和数据的相应访问权限。实际应用中，虽然用户毫不例外地都喜欢SSO的“魔力”，但一些IT管理员担心，一次登录就能够访问多个应用程序会使攻击者对网络的破坏范围更大。事实并非如此，当用户不得不维护多个用户名和口令时，他们更倾向于选择一些容易被猜出的密码，安全性很容易受到威胁。

单点登录系统采用基于数字证书的加密和数字签名技术，对用户实行集中统一的管理和身份认证，并作为各应用系统的统一登录入口，同时为通过身份认证的合法用户签发针对各个应用系统的登录票据，从而实现“一点登录、多点漫游”。 必要时，单点登录系统能够与统一权限管理系统实现无缝结合，签发合法用户的权限票据，从而能够使合法用户进入其权限范围内的各应用系统，并完成符合其权限的操作。