记住多个用户名和密码来访问不同网站和应用程序很麻烦。单点登录 （SSO） 允许用户使用一组凭证访问多个资源，从而消除了对多个用户 ID 和密码的需求。

没有 SSO 的世界
在没有 SSO 的情况下，组织必须维护包含所有已批准用户的凭据的数据库，每个数据库对应用户需要访问的每个应用程序或资源。当用户输入其用户名和密码时，会将凭据与数据库中的信息进行比较。如果匹配，则向用户授予对该应用程序的访问权限。

有SSO 的世界
要了解 SSO 的工作原理，必须了解身份提供商 （IdP） 的角色，前者是执行用户身份验证的系统，后者是服务提供商 （SP），即用户要访问的企业应用程序或网站。只有在 SP 和 IdP 之间建立信任关系时，才能在它们之间启用 SSO。

一、SSO 工作原理

用户导航到他们想要访问的 SP。
SP 向 IdP 发送包含用户信息的令牌，请求用户身份验证。
如果用户之前已经过身份验证，则 IdP 将授予对应用程序的访问权限。
如果用户之前未经过身份验证，则需要输入其 IdP 凭证。
IdP 验证用户的身份并将身份验证数据传递给 SP，确认身份验证成功。
身份验证数据通过用户的浏览器作为令牌传递给 SP，验证成功后将授予用户访问权限。
登录后，用户的身份验证验证数据将作为令牌沿 SP 中的页面传递，因此他们不需要重复进行身份验证。
当同一用户尝试访问不同的可信资源时，新资源仅使用 IdP 检查用户的身份。无需额外登录，因为用户已经过身份验证，并且 IdP 会验证用户的身份。

二、SSO 的优势

（1）减少不良的密码管理习惯
当用户不必记住多个密码时，他们不太可能创建弱密码以便于记忆。他们也不太可能写下密码或花费大量时间浏览密码列表以访问不同的应用程序。

（2）减少用户对 IT 管理员的依赖
只需使用一组凭证即可访问大量应用程序，这使得员工不太可能频繁地敲 IT 管理员的门以重置他们忘记的密码。用户也不必等待 IT 管理员对他们的请求采取行动。

（3）管理员的工作量更小
各种调查显示，IT 管理员收到的大量电话与忘记密码有关。借助 SSO，IT 管理员可以专注于更重要的任务，而不是处理员工频繁提出的密码重置工单。

（4）减少密码疲劳
用户不必记住多个凭证即可访问不同的网站、应用程序和资源。他们只需要记住一组凭证。

（5）提高安全性
具有多重身份验证 （MFA） 等功能的 SSO 解决方案可以提供额外的安全层，并确保访问资源的用户是他们声称的身份。添加强密码策略将进一步增强安全性。

三、使用ADSelfService Plus轻松实现SSO

ADSelfService Plus是一个集成的Active Directory自助密码管理和SSO解决方案。它通过 SSO 简化并增强了用户的登录体验，并使用 MFA 提供更高的安全性。

启用 SSO 后，在使用 Windows Active Directory 域凭据对自己进行身份验证时，用户还必须执行管理员设置的其他身份验证步骤。这些因素可以是基于短信或电子邮件的验证码，也可以是第三方身份验证提供商，如 Yubikey、Google 和 Microsoft 身份验证器。

使用ADSelfService Plus，管理员无需为每个用户创建单独的身份。Active Directory 中已存在的用户身份可用于身份验证。借助 Active Directory 基于 OU 和组的结构，可以创建策略来确定谁可以访问各种云应用程序。对某些应用程序的访问可以限制为属于特定组的用户。