一家公司不应该单独登录的原因是什么？

Question

我工作的一家公司正在倡导为他们的电子商务网站和一个包含敏感病人信息的在线临床测试平台进行单一注册。

我担心的是病人检测现场的敏感信息。电子商务站点的用户并不总是使用测试平台，反之亦然，但也有一些用户同时使用测试平台。

Answer 1

除非问题是关于一个特定的SSO提供者，答案是相当简单的。如果SSO是为您的电子商务(EC)和在线临床测试(OCT)实现的，这只意味着两个应用程序使用相同的标识机制来识别用户。这并不意味着默认情况下用户可以访问这两个站点。您应该拥有限制用户访问系统的授权控件。

Answer 2

SSO的主要缺点是，如果身份提供者中的帐户被破坏(或者IdP本身被破坏)，它授予访问权的任何服务提供者帐户也会被破坏。拥有不同的强密码和不同的2FA的多个帐户将意味着妥协一个帐户不会损害另一个帐户。当然，这不是事实，在现实中，用户选择一个密码(希望强大)并将其用于两个帐户，并为两个帐户选择相同、最方便的2FA选项。对于几乎所有的实际目的，您最好将您的用户的注意力集中在保护一件事情而不是很多事情上，要求他们选择一个强密码和一个好的2FA选项，比如移动身份验证器或智能卡。

公司也可能选择不实施SSO，因为在内部很好地实现(不仅仅是设置服务器，而且保护服务器)成本太高，而且他们不信任任何第三方提供者。然而，在OP的情况下，听起来管理层已经确定了成本是可以接受的。