问：我希望在我们银行中配置单点登录（SSO）。这样的配置存在哪些常见的障碍？在企业中、Web上或者处理系统中配置SSO的最佳实践是什么？

　　答：SSO开发的最重要的部分是策划。实施SSO有很多种选择，这取决于你公司的规模和配置SSO的范围。银行还需要考虑法规，例如萨班斯法案（SOX）和FFIEC。

　　由于SSO开发可能横跨多个不同的系统和平台，你先应该决定哪些系统需要注册。这样的选择应该基于你的员工使用最多的系统，例如邮件或者企业内网，看它是否需要登录。其次，决定适合企业的IT结构和基础架构的产品类型。

　　最大的障碍是计划那些系统因该包括到安装中，以及如何同时把它们和SSO技术同步。SSO只是可以快速完成的简单开发。应该慎重策划，并在企业用户的不同小组中分布实施。

　　另外重要的一点是确保SSO系统和企业现有的IT架构向吻合。SSO可以以硬件或者软件的方式实施。在这种情况下，都是对成员应用的网关认证。换句话说，用户认证到SSO网关，然后它就转向，并代表用户进行认证。SSO系统是应用登录信任状的主数据存储。

　　软件SSO系统由模块组成，通常位于专门的服务器上。这些模块要求一些配置和调整，而在把它们和自己的应用相连接的时候还需要额外的开发努力。这类的产品包括IBM的Tivoli Access Manager、Citrix Password Manager和Entrust GetAccess。由于对专门硬件和配置的要求，这些系统通常是用于大型企业。

　　对于硬件SSO，要求较少配置的一个产品是Imprivata的 OneSign Single Sign On。这种工具在员工应用的简单注册中存在基于Web的front end。Imprivata是服务于中型企业以及没有员工或者广泛的软件配置专业技术的企业的。还有，因为它自己的服务器设备齐全，小型公司就不需要在专门的SSO上投资了，就像软件SSO模块所要求的。
 
　　对于Web Sso产品，Microsoft Passport Network允许用户在多个网站访问上只注册一次。在这种情况下，Passport的作用就相当于在线SSO网关。

　　因为SSO可能成为认证失败的单独的一点，SSO系统的所有的部分都需要在企业内部保护。如果恶意用户获得了SSO登录信任状，系统上所有注册的应用都会有风险。

　　因为SSO一个访问的集中点，它可以被用于严密地监控用户访问。萨班斯法案（SOX）等法规要求这样严密的观察。另外，因为SSO安装很复杂，他们需要存储大量的认证。这也是审计员和法规执行人员需要查看的资料。