什么是 SSO（单点登录）？

**SSO（单点登录）**是一种高级的用户身份验证机制，旨在提升用户体验和增强安全性。其核心在于，SSO 允许用户使用一组凭据（通常是用户名和密码）访问多个应用程序或平台。这不仅消除了记住多个密码的需要，还简化了各种服务的登录过程。随着时间的推移，SSO 的概念不断发展，分支出不同的配置和应用，使其成为数字身份验证领域的基石。

---

SSO 主要通过联合身份管理系统运行，通常称为身份联合。OAuth 是该领域著名的框架之一，它充当中间人。OAuth 不会共享用户的密码，而是向第三方服务授予访问令牌，从而保护用户的敏感登录信息。当用户尝试访问特定应用程序时，服务提供商会与身份提供商协作验证用户的凭据。一旦通过身份验证，用户就可以自由访问应用程序，无需任何进一步提示。

各种协议支撑着 SSO 服务。Kerberos 例如，采用票据授予票据（TGT）机制，确保用户不会被反复要求输入凭据。另一方面，安全断言标记语言（SAML）是一种不同的协议，用于在平台之间安全地交换用户身份验证和授权数据。此外，基于智能卡的 SSO 配置使用嵌入登录数据的卡片，进一步简化了登录过程。

---

**SAML（安全断言标记语言）**是一种强大的身份验证协议，在企业环境中被广泛采用，通过单点登录（SSO）流程简化用户对各种应用程序（如 CRM 系统）的访问。在此处阅读更多关于 SAML 的信息：此处。

SSO 和密码管理器都旨在简化用户身份验证过程。然而，SSO 提供了一种统一的方法，允许用户使用一组凭据访问多个应用程序。相比之下，密码管理器存储各种服务的单独密码，并在需要时自动输入。

虽然 SSO 提升了用户便利性，但它确实引入了潜在的安全漏洞。如果恶意行为者获取了用户的 SSO 凭据，他们就可以侵入所有关联的应用程序。因此，通过额外的安全层（例如双因素身份验证（2FA））或多因素身份验证来增强 SSO 至关重要。

Facebook、Google 和 LinkedIn 等平台提供社交 SSO，允许用户使用其社交媒体凭据登录第三方平台。虽然这提供了无缝的登录体验，但确实存在潜在的安全风险，因为一个平台的泄露可能会危及其他平台。

将通行密钥与 SSO 集成提供了一种现代、安全的身份验证方法。通过结合两者，用户可以受益于 SSO 的简化登录和通行密钥增强的安全性。Corbado 等平台无缝集成了这些功能，确保用户享受便捷而安全的数字体验。

IdP 发起意味着登录过程始于身份提供商（IdP），向服务提供商（SP）发送 SAML 断言。相比之下，SP 发起的 SSO 始于用户尝试直接在 SP 站点访问服务时，将其重定向到 IdP 进行登录。