单点登录五大方案及较佳工具推荐（国际版）

单点登录 (SSO) 可减少弱密码风险和账户访问管理开销。顶级单点登录解决方案值得您加以考虑。

单点登录 (SSO) 集中了会话和用户身份验证服务，仅需一组凭证即可登录多个应用。用户体验、IT 管理效率和安全程度都有所提升。密码丢失或弱密码风险也可藉由 SSO 加以缓解，与账户访问管理有关的开销更是能得到大幅降低。

如果您尚未实现任何 SSO 或身份管理工具，亦或正在寻求升级，下面的 SSO 工具大盘点可带领您对 SSO 市场有个初步了解。今天的威胁环境中，密码管理的分量越来越重，有必要让用户抛弃重复使用老旧密码的恶劣习惯。

SSO 五大基本策略

1. 企业密码管理器

如果开销和 IT 支持都成问题，1Password 或 Lastpass(如今归属 LogMeln)这样的企业密码管理器是个不错的开始。此类产品很适合集中保存所有密码，便于在需要时插入登录进程中。而且各种应用场景都适用，比如浏览器和智能手机登录。但除了访问密码库，这种产品一般不支持多因子身份验证 (MFA)。费率大约在每月每用户 8 美元左右。

2. 全方位 SSO 解决方案

该方案比使用静态密码要好一些。如果员工数量超 100 人，IT 支持水平也过得去，上述密码管理工具的局限性就很明显了。此时你需要全方位的 SSO 解决方案(本 SSO 工具大盘点的重点)——可提供更灵活的身份验证策略、访问规则、MFA和移动身份验证应用。有趣的是，大多数 SSO 产品的价格也是每月每用户约 8 美元，但实现上需要更多 IT 人员支持。(Ping 的解决方案甚至提供低至每月 3 美元的价位。)

关于 MFA，我们需要多说两句，因为这是走上 SSO 之路的重要驱动力。此前只有相当多疑的人才会采用 MFA。如今，MFA 已成企业安全的底线，尤其是考虑到鱼叉式网络钓鱼攻击数量和复杂度双增长的情况下。但不幸的是，MFA 的部署还远未到普遍的程度：赛门铁克最近的调查《适应云威胁新现实》表明，2/3 的受访者依然未部署任何 MFA 工具以保护其云基础设施。很显然，部署 SSO 有助缓解网络钓鱼之殇，并朝着扩大 MFA 接受度的方向前进。

除了 MFA，还有另外一个原因促使企业升级身份验证机制：自适应身份验证(也称基于风险的身份验证)的必要性。这意味着转变观念，摒弃给用户分发 “永久访问凭证” 的老旧观念。这种观念如今已然过时，多个验证因子或多或少持续起效的细粒度身份验证策略取而代之。这些策略采用各种技术检测网络钓鱼、账户接管和其他试图假冒或盗取用户身份的威胁。

虽说大多数 SSO 供应商都有全面的 MFA 支持，其对自适应身份验证的支持却不充分，远未到成熟的程度。这几家供应商的产品值得一看：思科/Duo、Idaptive、ManageEngine、MicroFocus/NetIQ、Okta、OneLogin、PerfectCloud、Ping Identity 和 RSA。

3. Open-source SSO

如果公司技术和人手都够，但缺乏资金支持，那可以走开源路线，将 MFA 添加到自己的登录选项中。Authy.com MFA 工具是当今开源 MFA 市场领导者。Authy 的应用适用多种平台，包括桌面电脑。

4. 云提供商的 SSO

第四种策略是全盘接纳主要云提供商的 SSO 功能，并将之扩展进所支持的其他软件即服务 (SaaS)应用中。Salesforce 和微软 Azure 就是此路线的典范。这两家都有 SSO 服务扩展，或多或少能提供基本的身份验证功能。不过，毕竟没有提供商无关的真正 SSO 工具那么有用。最好是要么选择专业 SSO 供应商，要么直接转向身份治理解决方案。

5. 身份治理解决方案

身份治理解决方案提供商很多，产品包括 OneSpan、Saviynt、HID、CA 和 Sailpoint 等。此类产品功能强大，可对入职/离职管理施加更多控制，管理联合身份及应用编排，与云应用进一步集成等等。当然，附加功能总是要加钱购买的，但想拥有完整的身份治理软件包，这些工具终归是需要的。此处不对这些产品做评测。

无论是通过并购其他公司 (RSA、Duo 和 Ping Identity 为其中典型代表)，还是通过往自身 SSO 产品线中增添新成员 (Okta、OneLogin、Idaptive)，本文列出的许多 SSO 供应商都已进军身份管理领域。

SSO 趋势

1. 应用决胜

SSO 的有效性在于能不能自动登录尽可能多的应用。这一点很明显，过去几年中，SSO 供应商无不在疯狂增加其应用支持率。Okta 和 OneLogin 如今支持数千种应用。Idaptive 和 NetIQ 也拥有可方便配置不支持应用的功能。

2. 智能手机身份验证应用激增