一些IT安全管理人员担心这样一个事实，即一个执行不好的单点登录（SSO）将削弱整体安全性，并可能允许未经授权的访问与之相关的每个系统。SSO提供了对许多资源的访问，一旦用户最初通过身份验证（"城堡的钥匙"），这增加了负面影响，以防凭据对其他人可用和误用。

事实上，这是真的，但谢天谢地，它很容易添加额外的安全性。SSO必须使用强加密和身份验证方法来防止这种情况发生。作为一项基本原则，SSO机制不能弱于身份验证方法本身。由于本博客是关于SAP安全的，我想向您解释一下，在您的环境中使用SAP的单点登录解决方案时，有哪些选项可以降低这种潜在风险。

在今天的IT中，品高云，密码可以被视为我们信息的关键，因此，应安全选择并小心处理。它们伴随着我们的日常生活，经常在访问操作系统或登录企业应用程序时使用。SAP就是其中之一。由于其多系统环境和糟糕的分散式密码管理，SAP环境是使用单点登录（SSO）来明显减少多个应用程序和系统所需密码总数的最佳选择。

用户ID和密码的简单组合已不足以保护我们的系统最易受攻击的信息，例如您的银行帐户、比特币钱包、iCloud帐户或其他敏感系统。在很多情况下，除了你"知道"的东西之外，你还必须提供第二种身份验证来保护你的账户免受网络钓鱼攻击。这时我们开始讨论多因素身份验证（multi-factor authentication，MFA）。

SSO和MFA都处理身份验证。虽然前者易于使用，而且对用户来说大多是透明的，手游返利，但后者当然不舒服，但更安全。如何调和两者，使之有可能实现所需的安全和信任？

什么是多因素认证（MFA）

MFA使用几种不同的因素来验证您的身份。通常需要：

你知道的东西（密码、个人识别号或登录名）

你拥有的东西（安全令牌、生成一次性密码的智能手机应用程序、短信或其他身份验证程序）

你是的东西（指纹或人脸检测等生物特征安全因素）

此外，根据您的IP地理位置，某些服务还会发送电子邮件，要求您进行额外的登录确认（双重选择）。优点是，MFA非常安全。把你所知道的东西和你现在或拥有的东西结合起来，可以大大降低账户被泄露的风险。最重要的缺点是它的不便，你必须做一些需要时间的事情，这往往会造成负面的用户体验。

什么是单点登录（SSO）

首先，大数据可视化平台，你必须知道，SSO不等于SSO。有不同的风格和术语没有明确的解决办法。

企业单一登录（E-SSO）：被视为一个客户端软件，自动填充出现的登录屏幕与正确的用户名和密码，因此用户不再需要键入密码。例如与许多现代浏览器集成的"密码管理器"，以及许多商业产品。凭据存储在PC或智能卡以及网络上的服务器、目录服务或数据库中。E-SSO解决方案通常用于应用程序不支持真正的SSO机制的情况？？安全性弱，经常涉及可用性问题。

单密码/单C雷迪恩：总是在这里相同的密码将用于对许多服务进行身份验证。这通常与E-SSO结合使用。通常，中央密码通过同步的方式分发给所有服务（在SAP中，这需要连接器），而登录方法保持不变？？单一登录：真正的单点登录的概念是基于这样一个想法，即用户可以通过第一次登录访问所有应用程序，主要是在Windows登录期间。这被视为主要身份验证。它使用诸如Kerberos、X.509或saml2.0之类的行业标准，并用安全令牌替换密码。它将用户所需的密码数量减少到绝对最小。从概念上讲，应用服务器只验证受信任的安全令牌，而不是验证用户。SSO并不意味着在所有系统上都有相同的密码，但在最好的情况下，不再有密码。这是一种简化，但应考虑高安全性要求和限制？？一个用户只需记住一个密码在任何时候和额外的安全性可以添加时，结合强身份验证或多功能验证。SSO对最终用户来说既快捷又方便，因此，向服务台打电话重置密码的次数更少，从而降低了IT支持成本。从技术上讲，与前两种方法一样，不会多次重新传输密码。

在高安全性环境中使用SSO并强制执行强身份验证

高安全性环境（如美国政府）要求遵守FIPS 140-2标准，并将智能卡身份验证用作主要身份验证访问IT系统的方法。智能卡包含一个受PIN保护的私钥。因此，实现了双因素安全。从读卡器中取出智能卡将立即锁定计算机。这种类型的主身份验证（强身份验证）被认为是高度安全的，并且被一些有此类要求的公司使用。

通常与楼宇接入、时间记录或支付系统相结合是最有意义的。在这种情况下，如果员工正在享用午餐，则（公司）卡不会留在读卡器中？。当然，大数据研发，可以将此与您的SAP访问控制结合起来，甚至可以对您组织中的所有（或部分）SAP用户/系统实施此强身份验证方法。

但是，如果您没有智能卡、读卡器和带有连接卡管理系统的PKI，则考虑此方法没有什么意义。同样，返利是什么，这被认为是一个高安全性要求。

使用MFA对最关键的系统进行安全身份验证