单点登录 (SSO) 是一种身份验证方法，允许用户仅使用一组凭据来验证其在多个应用程序中的身份。从安全的角度来看，SSO 是黄金标准。它确保访问而无需强迫用户记住多个密码，并且可以使用 MFA 进一步保护。此外，估计有 61% 的攻击源于凭据被盗。通过删除用户名和密码，攻击面也减少了。SSO 不仅使企业能够保护他们的帐户，而且帮助他们证明他们已经采取了必要的步骤来满足监管要求，从而帮助公司满足严格的合规性法规。

虽然 SSO 是保护 SaaS 应用程序及其数据的重要步骤，但仅使用 SSO 来保护整个 SaaS 堆栈是不够的。SSO 本身并不能阻止威胁行为者访问 SaaS 应用程序。它也不会保护在 IT 团队不知情或未经批准的情况下启用的 SaaS 应用程序。

组织需要采取额外的步骤来保护其 SaaS 堆栈中有价值的数据。以下是 SSO 本身不足的五个用例。

公司不强制执行仅 SSO 登录

几乎每个 SaaS 应用程序都可以集成到 SSO 中，而且大多数组织都支持它。我们的研究表明，惊人的 95% 允许其员工使用 SSO 登录 Salesforce。但是，这些公司中只有不到 5% 需要 SSO 登录。他们没有使用经过验证的高度安全的访问治理工具，而是允许员工使用用户名和密码访问他们的 SaaS。

当公司取消使用本地凭据进行访问时，SSO 最为有效。通过允许使用本地凭据进行访问，具有 SSO 的公司仍然可能成为窃取凭据并通过前门登录的威胁行为者的受害者。

管理员需要非 SSO 访问

即使在需要 SSO 的组织中，管理员也需要能够直接登录到应用程序。大多数应用程序更喜欢管理员使用用户名和密码直接登录访问，以便他们可以响应 SSO 中断或其他问题。

考虑到管理员访问权限是威胁参与者最梦寐以求的访问权限，这尤其成问题。通过捕获该信息，网络犯罪分子可以完全访问整个应用程序实例，从而使他们能够创建新的用户帐户、下载数据或加密数据并将其勒索赎金。完全依赖 SSO 确保 SaaS 安全的公司可能会被 SaaS 使用用户名和密码凭据渗入管理员帐户而措手不及。

SSO 无法帮助处理过度许可或恶意的第三方应用程序

第三方应用程序与中心应用程序集成以提供附加功能或改进流程。这些集成中的大多数都是无害的，并且可以提高员工的工作效率。但是，正如 2023 年 SaaS 到 SaaS 访问报告中指出的那样，连接到 Microsoft 365 的应用程序中有 39% 请求使它们能够写入、读取和删除文件和电子邮件的范围。

有时，一些连接的应用程序可能是恶意的，并利用范围权限从应用程序内窃取或加密敏感信息。

SSO 看不到第三方应用程序、它们的权限范围或它们的功能。如果第三方应用程序将公司置于风险之中，他们无法提醒安全团队或应用程序所有者。

在最新的 SaaS 到 SaaS 访问报告中了解有关第三方应用程序风险的更多信息

SSO 应使用 SaaS 安全态势管理解决方案 (SSPM)

SaaS 安全性在与 SSO 协作时最为强大。SSO 解决方案与 SSPM 解决方案一起允许整体身份和访问治理，例如取消配置用户 - SSO 处理访问控制并且是身份和访问管理的组成部分。SaaS 安全态势管理解决方案，如 Adaptive Shield，也超越了访问控制，在 SSO 易受攻击的区域提供额外的保护层，以及识别错误配置、识别连接的第三方应用程序、识别设备问题和数据丢失管理