一、什么是单点登录（SSO）

对于所有大量采用云应用程序的组织来说，有效的身份管理是一个巨大的挑战，如果每个 SaaS 应用程序的用户身份都是独立管理的，则用户必须记住多个密码，技术支持技术人员在混合环境中管理多个应用程序的密码重置也很困难。

单点登录（SSO）是作为此问题的解决方案而引入的，它是一种身份验证方案，允许用户使用一组凭据登录多个应用程序。因此，用户不必在每次需要访问其应用程序时都输入其凭据，如果跨应用程序和平台启用了 SSO，则用户对一个应用程序或平台的成功身份验证将用于访问其他连接的应用程序。

二、单点登录（SSO）的优点

SSO 对任何公司的用户和 IT 管理员都非常有益。

减少不良的密码管理习惯：当用户不必记住多个密码时，他们不太可能创建弱密码以便于记忆，他们也不太可能写下密码或花费大量时间搜索密码列表以访问不同的应用程序。

减少用户对 IT 管理员的依赖：只需使用一组凭据即可访问大量应用程序，因此员工不太可能频繁敲 IT 管理员的门来重置他们忘记的密码，用户也不必等待 IT 管理员对他们的请求采取行动。

为管理员提供更小的工作量：各种调查显示，IT 管理员接到的大量电话都与忘记密码有关，借助 SSO，IT 管理员可以专注于更重要的任务，而不是处理员工频繁提出的密码重置票证。

减少密码疲劳：用户无需记住多个凭据即可访问不同的网站、应用程序和资源，他们只需要记住一组凭据。

提高安全性：具有多重身份验证（MFA）等功能的 SSO 解决方案可以提供额外的安全层，并确保访问资源的用户是他们声称的身份，添加强密码策略将进一步增强安全性。

三、 单点登录（SSO）解决方案

ADSelfService Plus是一个全面的AD自助服务， 密码管理和SSO解决方案，支持各种应用程序的SSO，包括G Suite，Microsoft 365（以前称为Office 365），Zendesk和Salesforce。管理员可以为这些应用程序实施SSO，让用户一键访问，而无需他们记住多个密码或多次登录。

支持以上这些SSO应用程序，除此之外，它还提供了添加任何其他应用程序或管理员自己的自定义应用程序以进行 SSO 的灵活性。

四、为基于 SAML 的企业应用程序启用 SSO 的步骤

先决条件：

登录到要为其启用 SSO 的企业应用程序。

从企业应用程序获取元数据或实体 ID/SAML 重定向 URL 和 ACS URL。

添加自定义应用程序：
登录到ADSefService Plus管理控制台。

转到自定义应用程序→配置→密码同步/单一登录→自助服务。

在“分配策略”字段中选择所需的策略。属于所选策略的用户将应用更改。

注意：若要创建策略，请转到“配置”>“自助服务”>“策略配置”>“添加新策略”。

输入应用程序名称和描述。

在域名字段中输入电子邮件地址的域名。

上传两种尺寸的应用图标图像。

为支持的 SSO 流提供合适的选项。

自动配置：如果已下载元数据，请在此处上传。

手动配置：根据选择的 SSO 流，输入所需的详细信息：

a） SP流量：
在 SAML 重定向 URL 字段中，输入应用程序服务提供商提供的 SAML 重定向 URL，可以在应用程序的默认登录页或 SSO 配置页上找到 URL 值。

在 ACS URL 字段中，输入应用程序服务提供商提供的断言使用者服务（ACS）URL，可以在应用程序的 SSO 配置页上找到此值。

b） IdP 流程：

在 ACS URL 字段中，输入应用程序服务提供商提供的断言使用者服务（ACS）URL，可以在应用程序的 SSO 配置页上找到此值。

在实体 ID 字段中，输入应用程序服务提供商提供的实体 ID，可以在应用程序的 SSO 配置页上找到此值。

在“提供程序设置”下：

选择 RSA-SHA1 或 RSA-SHA256 算法，具体取决于应用程序支持的加密。

选择 SAML 响应（已签名/未签名）。

单击“创建自定义应用程序”。

注意：SSO解决方案赋予管理员为应用程序访问和MFA/ 双因素身份验证（2FA）设置的权限。要启用基于上下文的反向代理，请导航到“管理”>“产品设置”>“连接”>“代理设置”。若要为应用程序启用 MFA/2FA，请导航到“配置”>“多重身份验证”>“MFA/2FA 设置”。

ADSelfService Plus

ADSelfService Plus 是集成的Active Directory自助密码管理和SSO解决方案，它通过 SSO 简化并增强了用户的登录体验，并使用 MFA 来提供更高的安全性，使用户只需一组凭据即可无缝、一键访问所有支持SAML、OAuth和OIDC的云应用程序。