单点登录还是单点故障？

2024年6月20日 - 作者：Anthony Trummer

没有人能否认单点登录（SSO）为用户带来的便利，以及组织从降低管理开销中获得的安全性和效率提升。跨多个服务单独管理多个用户帐户的日子已经一去不复返了。话虽如此，我们是否只是将所有的鸡蛋放在了一个众所周知的篮子里，即我们的SSO实现？我们最新研究的结果提醒我们为什么谚语告诫不要这样做。

身份提供商（IdP）入侵的威胁建模

为了帮助组织评估在IdP被入侵的情况下的暴露风险，我们发布了一份白皮书，详细介绍了这些潜在影响。它研究了这些影响如何根据入侵所涉及的特权而有所不同。这包括即使是未经授权的IdP帐户也可能产生的令人惊讶的影响，一直到完全入侵的IdP造成的完全灾难。

作为我们与Teleport持续合作的一部分，我们的Francesco Lacerenza（@lacerenza_fra）探讨了这些场景以及它们如何具体应用于Teleport。如果您不熟悉它，“Teleport访问平台是一套软件和托管服务，基于加密身份和零信任基础，提供按需、最小特权的基础设施访问……”，从而在整个基础设施中集成强大的身份验证和授权。

防御与检测

由于我们的座右铭是“安全构建”，我们帮助组织构建更安全的环境，因此我们不会让您对SSO实现可能出错的情况感到噩梦。作为这一理念的一部分，我们白皮书的研究包括创建一系列Teleport加固建议，以保护您的组织并限制潜在影响，即使在最坏的情况下也是如此。我们还提供了详细信息，说明在尝试检测各种类型的攻击时应在日志中查找什么。对于那些寻求TL;DR（太长不看）的人，我们还发布了一个方便的加固清单，其中涵盖了我们的建议，并可用于快速与您繁忙的团队沟通。

其他相关文章：

SCIM Hunting - Beyond SSO - 2025年5月8日
Product Security Audits vs. Bug Bounty - 2024年5月2日
Testing Zero Touch Production Platforms and Safe Proxies - 2023年5月4日
Tampering User Attributes In AWS Cognito User Pools - 2023年1月24日
The Danger of Falling to System Role in AWS SDK Client - 2022年10月18日
2019 Gravitational Security Audit Results - 2020年3月2日