标签：SSO

概述：为什么以及怎样选择最好/最佳/最便宜的方案 在企业服务器安全体系中，将堡垒机的认证委托给sash接入的第三方身份服务，既可以统一身份源又能实现单点登录与审计集中化。对于不同规模的组织，最好的做法可能是使用企业级IdP（如Azure AD/Okta）来获得高可用与合规支持；而最便宜的方案通常是使用开源IdP（如Keycloak）在自有服务器

1.准备与前提检查 - 确认堡垒机支持“SASH”（这里指SAML/SSO类）协议或有对应插件。 - 准备IDP（如ADFS、Keycloak、Okta）管理员账号与SP（堡垒机）管理控制台访问权限。 - 预先获取域名、公网证书或自签证书，确保时间同步（NTP）。 2.生成并交换证书 - 在堡垒机上生成SP证书：openssl req -ne