在 SaaS 中使用 SSO

現在有越來越多人在日常生活中使用SaaS (Software as a Service)當我們使用多個雲端服務時,就需要管理各個 SaaS 服務的帳號和密碼。
SSO (Single Sign-On/單一登入) 是這些麻煩的最佳解決方案。

什麼是 SSO (Single Sign-On/單一登入)?

SSO (Single Sign-On/單一登入) 是一種使用者帳戶身分驗證,可以使用一組帳號和密碼就登入不同的網頁和雲端服務。尤其是個人用途,大家都很習慣一個人使用多種SaaS (Software as a Service)的雲端服務例如:Gmail、LINE、Facebook、Evernote、Dropbox、Instagram和 Amazon。而且很多人會在雲端服務上儲存信用卡號碼等重要資訊。因此,為這些雲端服務 SaaS (Software as a Service)設定不易被破解的密碼是很重要的。

通常,大家都需要為每個雲端服務設定密碼。如果你為每個雲端服務都設定不同密碼,有很大的風險會忘記密碼,因此人們傾向設定簡單的密碼。即使你決定設定一個相同且困難的密碼,某些服務有時候會要求你更換密碼,因此你就會改成一個不同於其他服務的密碼,並且容易忘記。如今,在商務世界也有越來越多使用複數雲端服務的情形,如何管理員工的密碼成為一項新課題。

SSO (Single Sign-On/單一登入) 是這個問題的解決方案之一。 SSO (Single Sign-On/單一登入) 透過允許使用者以單組帳號和密碼登入複數的SaaS (Software as a Service) 只要登入一個雲端服務,就可以也登入其他服務。對使用者來說,這遠比管理單一一組的帳號和密碼好。對公司來說,管理使用者而不用管理每個人的每個SaaS (Software as a Service)也會更簡單。

SSO 中的 SAML

SAML (Security Assertion Markup Language) 是可以在多個設備之間交換認證和授權資料的標準。SAML 將允許使用者存取透過基於包含認證和授權資料XML協議的交換斷言(exchanging assertion)來存取不同種類的 SaaS (Software as a Service) 。

在SSO (Single Sign-On/單一登入) 之中有兩個角色使用SAML協議。一個是IdP(Identity Provider) :使用者可以在初次登入 SaaS (Software as a Service) 的時候取得使用者授權。另一個是SP(Service Provider): 這將允許使用者透過信任提供的授權訊息來使用雲端服務。

SSO 的好處

如果使用者必須記住複數密碼,他們就很難記住。有時候,使用者會在電腦邊用紙條寫下他們的密碼,這樣的作法將降低安全性。透過使用SSO (Single Sign-On/單一登入),使用者就可以簡單地記住帳號和密碼,因為他們只需要記憶一組的帳號和密碼。並且,即使公司因為安全理由要求變更密碼,使用者只需要變更一處,即可自動向公司使用的各個雲端服務申請。因為使用者只需要記住一組密碼,所以公司可以要求更嚴格的密碼政策,例如:超過8個字元由字母、數字和符號組成。

對公司來說,在管理使用者上SSO (Single Sign-On/單一登入)提供了更多好處。如果IT主管需要解除一個帳號,他只需要在建置SSO的管理系統上刪除。如果沒有設定SSO (Single Sign-On/單一登入),IT主管就必須在每一個雲端服務上都做刪除的動作。有時候IT主管就可能遺漏了某個雲端服務沒有刪除到。使用SSO (Single Sign-On/單一登入),不只可以簡單刪除一個帳號,也可以在有新員工加入時一次註冊完成。並且,他也可以在有員工長期停職時,暫停該帳號。

SSO 的風險

SSO (Single Sign-On/單一登入) 可讓使用者更簡單的管理複數的雲端服務。然而,因為使用者只需一組密碼就可以登入複數的雲端服務,擁有一組安全的密碼就顯得很重要。為了使密碼更加安全,基本的方法是使用字母大小寫、數字和符號組合成8個以上字元,不要設定生日等使人聯想本人的東西也很重要。而且,永遠不要讓員工共用他們的密碼。為避免暴力攻擊最好設置鎖定,以便使用者在一定次數嘗試錯誤後不能登入。

想了解其他相關主題嗎?歡迎參閱我們的白皮書。