轉載 | 單點登錄五大方案及最佳工具推薦（國際版）

單點登錄 (SSO) 可減少弱密碼風險和賬戶訪問管理開銷。本文介紹頂級單點登錄解決方案提供商。
另外，推薦國內 IDaaS 新秀 Authing.cn 的SSO方案：用 Authing 10 分鐘實現 SSO

單點登錄 (SSO) 集中了會話和用戶身份驗證服務，僅需一組憑證即可登錄多個應用。用戶體驗、IT 管理效率和安全程度都有所提升。密碼丟失或弱密碼風險也可藉由 SSO 加以緩解，與賬戶訪問管理有關的開銷更是能得到大幅降低。

如果您尚未實現任何 SSO 或身份管理工具，亦或正在尋求升級，下面的 SSO 工具大盤點可帶領您對 SSO 市場有個初步瞭解。今天的威脅環境中，密碼管理的分量越來越重，有必要讓用戶拋棄重複使用老舊密碼的惡劣習慣。

SSO 五大基本策略

1. 企業密碼管理器

如果開銷和 IT 支持都成問題，1Password 或 Lastpass（如今歸屬 LogMeln）這樣的企業密碼管理器是個不錯的開始。此類產品很適合集中保存所有密碼，便於在需要時插入登錄進程中。而且各種應用場景都適用，比如瀏覽器和智能手機登錄。但除了訪問密碼庫，這種產品一般不支持多因子身份驗證 (MFA)。費率大約在每月每用戶 8 美元左右。

2. 全方位 SSO 解決方案

該方案比使用靜態密碼要好一些。如果員工數量超 100 人，IT 支持水平也過得去，上述密碼管理工具的侷限性就很明顯了。此時你需要全方位的 SSO 解決方案（本 SSO 工具大盤點的重點）——可提供更靈活的身份驗證策略、訪問規則、MFA和移動身份驗證應用。有趣的是，大多數 SSO 產品的價格也是每月每用戶約 8 美元，但實現上需要更多 IT 人員支持。（Ping 的解決方案甚至提供低至每月 3 美元的價位。）

關於 MFA，我們需要多說兩句，因爲這是走上 SSO 之路的重要驅動力。此前只有相當多疑的人才會採用 MFA。如今，MFA 已成企業安全的底線，尤其是考慮到魚叉式網絡釣魚攻擊數量和複雜度雙增長的情況下。但不幸的是，MFA 的部署還遠未到普遍的程度：賽門鐵克最近的調查《適應雲威脅新現實》表明，2/3 的受訪者依然未部署任何 MFA 工具以保護其雲基礎設施。很顯然，部署 SSO 有助緩解網絡釣魚之殤，並朝着擴大 MFA 接受度的方向前進。

除了 MFA，還有另外一個原因促使企業升級身份驗證機制：自適應身份驗證（也稱基於風險的身份驗證）的必要性。這意味着轉變觀念，摒棄給用戶分發 “永久訪問憑證” 的老舊觀念。這種觀念如今已然過時，多個驗證因子或多或少持續起效的細粒度身份驗證策略取而代之。這些策略採用各種技術檢測網絡釣魚、賬戶接管和其他試圖假冒或盜取用戶身份的威脅。

雖說大多數 SSO 供應商都有全面的 MFA 支持，其對自適應身份驗證的支持卻不充分，遠未到成熟的程度。這幾家供應商的產品值得一看：思科/Duo、Idaptive、ManageEngine、MicroFocus/NetIQ、Okta、OneLogin、PerfectCloud、Ping Identity 和 RSA。

3. Open-source SSO

如果公司技術和人手都夠，但缺乏資金支持，那可以走開源路線，將 MFA 添加到自己的登錄選項中。Authy.com MFA 工具是當今開源 MFA 市場領導者。Authy 的應用適用多種平臺，包括桌面電腦。

4. 雲提供商的 SSO

第四種策略是全盤接納主要雲提供商的 SSO 功能，並將之擴展進所支持的其他軟件即服務 (SaaS)應用中。Salesforce 和微軟 Azure 就是此路線的典範。這兩家都有 SSO 服務擴展，或多或少能提供基本的身份驗證功能。不過，畢竟沒有提供商無關的真正 SSO 工具那麼有用。最好是要麼選擇專業 SSO 供應商，要麼直接轉向身份治理解決方案。

5. 身份治理解決方案

身份治理解決方案提供商很多，產品包括 OneSpan、Saviynt、HID、CA 和 Sailpoint 等。此類產品功能強大，可對入職/離職管理施加更多控制，管理聯合身份及應用編排，與雲應用進一步集成等等。當然，附加功能總是要加錢購買的，但想擁有完整的身份治理軟件包，這些工具終歸是需要的。此處不對這些產品做評測。

無論是通過併購其他公司 (RSA、Duo 和 Ping Identity 爲其中典型代表)，還是通過往自身 SSO 產品線中增添新成員 (Okta、OneLogin、Idaptive)，本文列出的許多 SSO 供應商都已進軍身份管理領域。

SSO 趨勢

1. 應用決勝

SSO 的有效性在於能不能自動登錄儘可能多的應用。這一點很明顯，過去幾年中，SSO 供應商無不在瘋狂增加其應用支持率。Okta 和 OneLogin 如今支持數千種應用。Idaptive 和 NetIQ 也擁有可方便配置不支持應用的功能。

2. 智能手機身份驗證應用激增

由於短信 MFA 存在漏洞，採用能在手機上生成一次性密碼的應用，就成了更安全的身份驗證方法。此類應用數量持續增長，谷歌 Authenticator 和 Duo 擁有對雲和 SaaS 提供商的最大支持。Authy、OneSpan、HID Approve、微軟、SafeNetMobilePass 和 Sophos 也出品此類應用，另外還有密碼管理器和 SSO 供應商自己開發的應用。

下表列出了一些常見的 SaaS 和基礎設施即服務 (IaaS) 提供商，以及他們支持的 MFA 方法和智能手機應用。如果你打算支持不止一種應用，不妨看看對 Google Play 上主流 MFA 應用的評測。

典型 SaaS 應用身份驗證應用支持

3. 自適應 MFA 實現方式多樣

大多數 SSO 工具都支持 MFA。問題是這種支持程度有多高，尤其是對使用特定 MFA 手機應用而言。多數工具以手機上的身份驗證應用開始，你得在 SSO Web 門戶管理主頁面上配置一番。所有 SSO 供應商都採用 ManageEngine 和 PerfectCloud 擴展對此加以支持。

4. FIDO 市場尚在成長中

谷歌 G Suite 和微軟 Window 登錄如今都支持 FIDO 身份驗證硬件密鑰了，這或許會給人一種 FIDO 已經很普及的感覺。但事實上，只有少數供應商支持某些版本的身份驗證密鑰，FIDO 還遠未到普及的程度。

5. 移動設備管理工具熱潮消退

幾年前似乎 SSO 供應商紛紛轉向移動設備管理功能，Centrify（如今的 Idaptive）就是當時的帶頭大哥。現在則沒什麼客戶關心這個問題了，他們將智能手機身份驗證應用當成了抵禦賬戶竊取的主要堡壘。Idaptive 和 Duo 是這方面的領頭羊。

頂級 SSO 工具供應商

Dou/思科 SSO

身爲 SSO 領域新參者的 Duo 迅速崛起，被思科看中收入旗下就是明證。這家公司擁有基於強力移動身份驗證器的全功能智能手機應用，相當於很多競爭者的移動管理應用。支持多種自適應身份驗證方法，甚至能與其競爭公司（包括 Okta、Ping 和 OneLogin）的 SSO 工具協作。Duo 的智能手機身份驗證器應用也是很多 SaaS 產品中頗爲流行的 MFA 機制之一。

其定價清晰透明，按功能分爲四檔：10 用戶以下免費，超過10 用戶從每用戶每月 3 美元起，直到每用戶每月 9 美元止。價格最高的兩檔包含自適應身份驗證和策略實施工具。最高檔不僅保護內部應用，還護衛 SaaS 應用。

Idaptive SSO

該產品令人驚豔。今年年初，Centrify 釋出其身份業務部門，成立 Idaptive。Centrify 繼續售賣其特權訪問管理工具。Idaptive 有兩個版本：標準版 SSO 和自適應版 SSO (Adaptive SSO)，後者增添了上下文相關身份驗證（需加錢購買）。MFA 支持也有兩套，標準版每用戶每月 2 美元，帶設備及用戶上下文和實時報告功能的自適應版每用戶每月 4 美元。MFA 方法種類繁多，比如電子郵件、FIDO U2F 密鑰、谷歌 Authenticator 及其自有身份驗證器應用，還有短信。

該 SSO 產品支持數千種應用，還具備能夠發現其安全聲明標記語言 (SAML) 配置的“無限應用” (Infinite Apps) 功能。這些產品支持的協議有 SAML、WS-Fed、OAuth 等。Idaptive Web 儀表板已完全改版，但所提供的功能與原來的 Centrify 基本相同。Idaptive 還有完整的身份管理及供應工具產品線，以及一款健壯的移動設備管理產品。該公司定價頁面明晰，且提供免費試用。

ManageEngine/Zoho Identity Manager Plus

ManageEngine 的雲應用超過 12 種，其 SSO 工具名爲 Identity Manager Plus。如果你是他家服務（包括 Zoho 套裝）的大客戶，那這款工具會是滿足你 SSO 需求的良好起點。如果不是，那再看看別家。該工具是其他 ManageEngine AD 相關工具的補充。Identity Manager Plus 支持 400 種應用，還支持自定義 SAML 配置。

如果你想要 MFA 或移動設備支持，那你必須使用 ADSelfService Plus 工具。該工具內含無數方法，比如來自谷歌、Duo 和微軟的各種身份驗證器應用，還支持 RSA SecurID 令牌。（500 用戶會另加每月 100 美元的費用。）Identity Manager Plus 軟件支持多家身份提供商，包括 AD、Okta、OneLogin、Ping Identity 和其他基於 SAML 的提供商。該產品有在線演示，並與他家其他很多產品一樣有免費試用。

MicroFocus/NetIQ Access Manager

MicroFocus 如今接過了 NetIQ 的火炬。其解決方案包含 3 個獨立產品：主 SSO 工具 Access Manager；一款 MFA 產品；移動設備管理產品 Zenworks Configuration Management。每個產品都獨立定價，每用戶每月 0.49 美元起（500 用戶規模），另加 47 美元安裝費。MFA 工具每用戶每月 0.92 美元起（同樣是 500 用戶規模）。其應用門類涵蓋 500 多種，但與 Idaptive 一樣，也提供簡易的應用集成功能。NetIQ 支持多種連接協議，包括 FIDO、SAML、OAuth、 Open ID Connect 和 WS-Fed。

Okta SSO

Okta 一直以來都是 SSO 領域的龍頭老大，售賣的旗艦工具有兩個版本：基礎版和自適應版，後者可感知位置、設備和網絡參數以防止欺騙攻擊。除了 SSO 產品，Okta 還擁有一系列補充產品，正朝着集成與身份治理領域發展。包括其 Lifecycle Management服務（處理 Office 365 活動目錄 [AD] 同步、與 AD 或 LDAP 的目錄集成，以及自動配置）、雲目錄（每用戶每月 2 美元）、支持混合雲/現場部署的服務，以及入站聯合（年費 8,000 美元起）。

Okta 的系統狀態主面板，可以看到全部服務運行時間的細節和上一個月的歷史。

Okta 兩個版本的 SSO 均有對應版本的 MFA 應用匹配。分別是基礎版 MFA 和自適應版的。每款產品都有兩部分獨立的費用。首先是接入費，基礎版每年 8,000 美元，自適應版每年 16,000 美元。然後是每用戶的使用費，每月 3-5 美元。自適應版 MFA 軟件有 30 天免費試用期。所有產品均有明晰的報價頁面。

OneLogin SSO

OneLogin 入行 SSO 已久，如今提供完整的身份管理產品套裝。其 SSO 服務分三檔：起步版每用戶每月 2 美元，支持單 AD 實例；企業版每用戶每月 4 美元，添加 MFA、支持多個身份提供商、與 SIEM 和 VPN 集成；無限版每用戶每月 8 美元，增加用戶配置和額外的集成。所有產品均有 30 天免費試用期。OneLogin 產品深度堪稱業界典範，其應用涵蓋 2,700 種不同應用的簡單密碼完成，覆蓋 1,500 多種 SAML 應用。

OneLogin 的 SAML 配置參數，可設定該身份驗證協議使用的應用和連接資源的 URL 路徑。

OneLogin 還提供基於其自有 Protect 移動軟件身份驗證工具的自適應身份驗證產品，支持包含谷歌 Authenticator 和 Duo 在內多種其他身份驗證器應用。OneLogin 以統一訪問工具橋接現場應用及雲應用，並有實時用戶配置工具供快速處理入職和離職用戶身份管理事務。

PerfectCloud SmartSignIn

PerfectCloud SmartSignIn 一直都是相當基礎的 SSO 解決方案。單用戶免費版可用於管理最多 4 個應用。PerfectCloud 是首批增添第二因子密碼登錄的 SSO 解決方案，但因爲不支持任何移動身份驗證器應用而落後了。該第二因子密碼在設備上加密，但並不存儲，是個非常獨特的功能。該產品中小企業版每用戶每月 6 美元起。其中不包含 AD 集成、訪問與組管理和策略規則等附加功能。

Ping Identity PingOne

Ping 也是一家老牌 SSO 供應商，其 Ping Federate 產品開創了聯合身份配置的先河。除了其自身智能手機應用，該工具也可用於實現其他 MFA 應用。

Ping 的基礎 SSO 應用定價因銷售渠道而異，直接購買和通過渠道合作伙伴購買價格不一。包含 MFA 和 SSO 的基礎定價是每用戶每月 3 美元，性價比相當有競爭力。而且同樣提供 30 天免費試用期。

支持 1,650 個預配置應用。PingOne 除了自家 MFA 應用，還支持 RSA、賽門鐵克、Duo 和 Gemalto 等競爭對手的 MFA 應用和各種驗證方法，包括蘋果的 FaceID、指紋和聲紋身份驗證，及多種 FIDO 身份驗證方法和其他硬件令牌。Ping 還能與多種移動管理工具協同工作，包括 MobileIron、Airwatch 及 InTune 和一系列其他身份提供商，比如 AD、Azure AD、谷歌和 Open ID Connect 和 SAML。

RSA SecurID Access Suite

RSA 自發布 SecurID 硬件密鑰令牌以來一直是身份驗證領域的市場領導者，多年收購與集成之後，其產品鏈已在全身份治理市場舉足輕重。RSA 的 SSO 產品已足夠堅實，但明顯希望客戶實現其成熟的身份治理解決方案。SecurId Access 產品通過分銷商發售，價位不一。

RSA 訪問細節，可設置風險配置，確定驗證特定行爲的頻率。

RSA 500 用戶套餐報價每月 1,830 美元，包含用戶許可、MFA 身份驗證、生物特徵識別和 FIDO 支持。該產品有 3 種定價檔次：基礎版只有 SSO 功能。企業版和增值版包含額外的身份功能。

SSO 供應商總結

什麼是 Authing？

Authing 提供專業的身份認證和授權服務。
我們爲開發者和企業提供用以保證應用程序安全所需的認證模塊，這讓開發人員無需成爲安全專家。
你可以將任意平臺的應用接入到 Authing（無論是新開發的應用還是老應用都可以），同時你還可以自定義應用程序的登錄方式（如：郵箱/密碼、短信/驗證碼、掃碼登錄等）。
你可以根據你使用的技術，來選擇我們的 SDK 或調用相關 API 來接入你的應用。當用戶發起授權請求時，Authing 會幫助你認證他們的身份和返回必要的用戶信息到你的應用中。

<div align=center>Authing 在應用交互中的位置</div>

官網：http://authing.cn
小登錄：https://wxapp.authing.cn/#/
倉庫： 歡迎 Star，歡迎 PR
- https://gitee.com/Authi_ng
- https://github.com/authing
Demo：
- https://sample.authing.cn
- https://github.com/Authing/qr...
文檔：https://docs.authing.cn/authing/