什么是 Single Sign-On (SSO)？

Single Sign-On (SSO) 是一种身份验证方法，允许用户使用一组凭据登录一次，即可访问多个应用程序或服务，无需再次单独登录。它通过消除为每项服务分别记忆和输入不同密码的需求，简化了登录流程。

SSO 是如何工作的？

SSO 通过中央身份提供商（IdP）运作——IdP 对用户进行一次身份验证后，颁发一个令牌或会话凭据，供其他关联应用程序信任和使用。当你访问新的应用程序时，该应用程序会向身份提供商验证你的令牌，而不是再次要求你输入密码。

当 SSO 与多因素身份验证（MFA）等强验证措施结合使用时，其安全性可以非常高——因为它集中管理访问控制，并降低了弱密码或重复使用密码的风险。然而，一旦 SSO 凭据遭到入侵，攻击者可能同时获得对所有关联服务的访问权限。

VPN 通过加密网络流量并隐藏你的 IP 地址来保护网络连接，而 SSO 是一种管理你如何登录多个应用程序的身份验证方法。两者用途不同，但在企业环境中常被结合使用，以同时实现安全访问和简化身份验证。

记住每个应用、工具和服务的不同密码既令人疲惫，又存在安全隐患。Single Sign-On（简称 SSO）通过让你只需验证一次身份，即可访问所有授权服务，从而解决了这一问题。可以把它想象成一把万能钥匙，能打开大楼里的每一扇门，而不是为每个房间单独携带一把钥匙。

SSO 是一种将登录流程集中管理的身份验证框架。你无需为电子邮件、项目管理工具、云存储、HR 平台和 VPN 客户端分别维护独立的用户名和密码，只需登录一次——通常通过受信任的身份提供商——这一次会话便可授予你访问所有关联服务的权限。

你几乎肯定在不知不觉中使用过 SSO。当某个网站提供"使用 Google 登录"或"使用 Apple 继续"时，这就是 SSO 的实际应用。

SSO 依赖于两个关键方之间的信任关系：

身份提供商（IdP）： 负责验证你身份的中央权威机构。常见示例包括 Okta、Microsoft Azure Active Directory 和 Google Workspace。
服务提供商（SP）： 你尝试访问的具体应用程序或工具（例如你的 VPN 控制面板、SaaS 应用、公司内网等）。

以下是登录时发生事项的简化流程：

驱动 SSO 运行的最常见协议包括 SAML（安全断言标记语言）、OAuth 2.0 和 OpenID Connect（OIDC）。每种协议在身份提供商与服务提供商之间的通信处理方式上略有不同，但最终目标相同：实现安全、无缝的访问体验。

对于使用个人 VPN 的用户而言，SSO 看似是企业层面的问题。但它在以下几个重要方面直接影响着你的安全。

在企业 VPN 部署中，SSO 已日益成为标准配置。员工在获得 VPN 访问权限之前，需通过公司的身份提供商进行身份验证。这意味着 IT 团队只需一个操作，即可立即撤销离职员工在所有系统（包括 VPN）中的访问权限——这是一项显著的安全优势。

在减少密码疲劳方面，SSO 是切实有效的安全改进。当用户无需管理数十个密码时，他们复用弱密码的可能性就会降低。密码复用是撞库攻击得逞的主要原因之一——攻击者将某次数据泄露中获取的凭据，用于尝试登录数百个其他服务。

在零信任安全模型中，SSO 是不可或缺的基础组件。零信任架构要求在授予任何资源访问权限之前，对每位用户和每台设备进行验证。SSO 与多因素身份验证相结合，使这种持续验证切实可行，而不会成为令人不断抓狂的负担。

SSO 引入了单点故障风险。如果你的身份提供商账户遭到入侵，或 IdP 服务发生中断，你将失去对所有关联服务的访问权限。这正是为什么将 SSO 与强大的多因素身份验证配合使用，并选择信誉良好、安全性高的身份提供商，是不可妥协的基本要求。

正确使用 SSO，是在现代数字生活中平衡安全性与易用性最切实有效的手段之一。