单点登录是否足以保护您的SaaS应用程序？

如果说所有优秀的SaaS平台都有一个共同点的话，那就是它们专注于简化最终用户的生活。以安全的方式消除用户之间的摩擦是单点登录（SSO）提供商的任务。

有了SSO掌舵，用户不必记住每个应用程序的单独密码，也不必将凭证的数字副本隐藏在显而易见的地方。

SSO还将IT带宽从处理重复的密码重置请求中释放出来，同时提高组织中每个人的工作效率。然而，SSO功能也存在一定程度的风险。

如何防止SSO故障

SSO涉及的现实风险

虽然SSO在很大程度上方便了访问，但它也带来了一些迫在眉睫的风险。SSO是提高效率的一个很好的方法，但它并不是一个最终安全解决方案，它本身存在允许绕过的缺陷。

NCC组的Adam Roberts在几个SSO服务中检测到了一类特定的漏洞。他发现该漏洞特别影响了安全断言标记语言（SAML）的实现。

安全研究人员Roberts说：“该漏洞可能允许攻击者修改身份提供者生成的SAML响应，从而获得对任意用户帐户的未经授权的访问权限，或升级应用程序中的权限。”。

2019年，Micro Focus Fortify的安全研究人员展示了与微软认证机制中SSO漏洞相关的危险。这些漏洞使恶意参与者能够执行拒绝服务或冒充其他用户，以利用其用户权限。同年7月，Microsoft修复了SSO身份验证中的漏洞。

此外还有令人不安的帐户接管（ATO）攻击的兴起，在这种攻击中，坏人能够绕过SSO。根据信用评级巨头益百利（对破坏性欺诈攻击并不陌生）的数据，57%的机构表示，他们在2020年期间成为了ATOs的受害者。

SSO，MFA，我的天啊！

按照设计，SSO不能提供100%的保护。此外，许多组织将启用多因素身份验证（MFA），然而，仍然存在所有这些预防措施都可能失败的情况。下面是一个常见的场景：

超级管理员—；SaaS安全态势中最强大的用户—；通常会绕过SSO和IAM参数，而不会出现任何问题。出于许多原因，这种能力可能会被忽略，原因是为了方便访问和满足需要。在IdP中断的情况下，对于某些SaaS平台，超级管理员直接针对平台进行身份验证，以确保连接性。在任何情况下，都存在允许管理员绕过强制使用的遗留协议。

防止SSO失败

单靠SSO工具还不足以防止未经授权进入组织的SaaS资产。您可以采取某些步骤来避免SSO带来的风险。

• 运行审计并确定可以绕过SSO并部署特定于应用程序的MFA的用户和平台，以确保为用户正确配置密码策略。
• 识别不支持MFA且正在使用的旧身份验证协议，例如电子邮件客户端的IMAP和POP3。
• 然后，减少使用这些协议的用户数量，然后创建第二个因素，例如可以使用这些遗留协议的特定设备集。
• 查看独特的折衷指标，例如电子邮件应用程序中配置的转发规则、批量操作等。SaaS平台之间的此类指标可能不同，因此需要对每个平台有深入了解。

一个强大的SaaS安全态势管理（SSPM）工具，如Adaptive Shield，可以自动执行这些步骤，以帮助防止可能的泄漏或攻击。

除了审查SaaS生态系统中的每个用户外，Adaptive Shield将使您能够通过每个设置、用户角色和访问权限，查看整个SaaS资产（包括SSO域）中的配置弱点。

Adaptive Shield为您的安全团队提供了漏洞的完整背景及其对您的组织的风险，并为您提供正确的指示，直到威胁得到解决。

如何充分利用SaaS安全性。