前言

上篇說(shuō)道Passwordless無(wú)密碼技術(shù)，也提到了數(shù)字時(shí)代密碼管理的難度，其實(shí)在日常的生活中，很多用戶(hù)也會(huì)因?yàn)橥浤承┚W(wǎng)站的登錄密碼而煩惱。為了方便記憶，很多人都在不同的站點(diǎn)使用相同的用戶(hù)名和密碼，雖然也可以減少負(fù)但是同時(shí)也降低了安全性，而且使用不同的站點(diǎn)同樣要進(jìn)行多次登錄。
另外，隨著信息化飛速發(fā)展，大型企業(yè)和政府部門(mén)等都開(kāi)始使用電子系統(tǒng)進(jìn)行辦公，而且整個(gè)辦公系統(tǒng)由多個(gè)不同的子系統(tǒng)構(gòu)成，如辦公自動(dòng)化(OA)系統(tǒng)，財(cái)務(wù)管理系統(tǒng)，檔案管理系統(tǒng)，信息查詢(xún)系統(tǒng)等。IT管理員不僅要管理眾多的應(yīng)用系統(tǒng)，另一方面還要為企業(yè)員工用戶(hù)提供良好的使用體驗(yàn)。應(yīng)用系統(tǒng)數(shù)目的不斷增多，其所帶來(lái)的訪問(wèn)權(quán)限管理的威脅同樣與日俱增。
因此，對(duì)于有多個(gè)業(yè)務(wù)系統(tǒng)應(yīng)用需求企業(yè)，需要配置一套統(tǒng)一的身份認(rèn)證系統(tǒng)，以實(shí)現(xiàn)集中統(tǒng)一的身份認(rèn)證，并減少整個(gè)系統(tǒng)的成本是非常有必要的。

什么是單點(diǎn)登錄？

單點(diǎn)登錄（SSO）的概念非常簡(jiǎn)單，即僅給予員工用戶(hù)一套單一的憑證（如賬號(hào)密碼），就可以使其訪問(wèn)多個(gè)權(quán)限內(nèi)的應(yīng)用系統(tǒng)，也就是說(shuō)員工只需要輸入一套用戶(hù)名和密碼，就可以訪問(wèn)OA、郵箱、HR、CRM等所有工作相關(guān)的應(yīng)用系統(tǒng)。

單點(diǎn)登錄的認(rèn)證過(guò)程就是在員工輸入用戶(hù)名和密碼點(diǎn)擊登錄后，單點(diǎn)登錄認(rèn)證機(jī)制會(huì)自動(dòng)代理所有的授權(quán)應(yīng)用系統(tǒng)對(duì)員工進(jìn)行身份認(rèn)證，從而省去員工每切換到一個(gè)新的應(yīng)用系統(tǒng)就需要重新輸入用戶(hù)名和密碼進(jìn)行驗(yàn)證的麻煩。

SSO建設(shè)對(duì)企業(yè)的價(jià)值？

1.中小型企業(yè)對(duì)于開(kāi)發(fā)成本和集成壓力有較高的敏感度。這類(lèi)企業(yè)一般沒(méi)有大規(guī)模的IT團(tuán)隊(duì)，無(wú)法支撐復(fù)雜的系統(tǒng)集成，傳統(tǒng)IAM建設(shè)勢(shì)必增加成本以及集成的壓力。
2.總集項(xiàng)目分包，這類(lèi)項(xiàng)目常見(jiàn)于超大型企業(yè)或國(guó)企項(xiàng)目，項(xiàng)目預(yù)算充足，但需求眾多，涉及多個(gè)不同領(lǐng)域。供應(yīng)總集為了滿(mǎn)足項(xiàng)目交付，降低項(xiàng)目風(fēng)險(xiǎn)，會(huì)將項(xiàng)目拆分，分割成多個(gè)子項(xiàng)目，分包給專(zhuān)業(yè)的供應(yīng)商。使用傳統(tǒng)的IAM產(chǎn)品直接對(duì)接，會(huì)出現(xiàn)各類(lèi)問(wèn)題：
客戶(hù)根本不知道自己采購(gòu)的項(xiàng)目里，有一個(gè)獨(dú)立的IAM產(chǎn)品，IAM里絕大部分功能屬于浪費(fèi)。
因?yàn)楫a(chǎn)品本身功能多且全，反而在專(zhuān)門(mén)的領(lǐng)域表現(xiàn)欠佳。資源占用高，客戶(hù)不理解。
3. 針對(duì)合作伙伴，我們可以跟其他行業(yè)toB的廠商合作，建立合作伙伴關(guān)系。針對(duì)SSO能力賦，形成1 + 1 > 1的產(chǎn)品競(jìng)爭(zhēng)力。專(zhuān)業(yè)的事情交給專(zhuān)業(yè)的團(tuán)隊(duì)。

SSO建設(shè)思路

SSO建設(shè)的核心在于“一點(diǎn)登錄、多點(diǎn)漫游、即插即用、應(yīng)用無(wú)關(guān)"。

1. 統(tǒng)一連接：通過(guò)整合多個(gè)應(yīng)用系統(tǒng)，在跨業(yè)務(wù)系統(tǒng)訪問(wèn)中，對(duì)上游系統(tǒng)身份信息格式轉(zhuǎn)化，匹配現(xiàn)有源中身份信息，并轉(zhuǎn)化成下游系統(tǒng)所需的數(shù)據(jù)格式，完成單點(diǎn)登錄，實(shí)現(xiàn)用戶(hù)只需登錄一次，認(rèn)證通過(guò)后就可以訪問(wèn)權(quán)限內(nèi)的其他所有業(yè)務(wù)系統(tǒng)。
2. 即插即用：內(nèi)置標(biāo)準(zhǔn)協(xié)議，如CAS、OAUTH2、SAML以及OIDC等，通過(guò)簡(jiǎn)單的配置，無(wú)須用戶(hù)修改任何現(xiàn)有B/S、C/S應(yīng)用系統(tǒng)，即可使用。解決了當(dāng)前其他SSO解決方案實(shí)施困難的難題。
3. MFA多因子認(rèn)證 ：實(shí)現(xiàn)MFA，在單點(diǎn)登錄門(mén)戶(hù)上添加動(dòng)態(tài)口令、驗(yàn)證碼、掃碼等二次認(rèn)證過(guò)程，加強(qiáng)登錄入口賬號(hào)安全，降低因弱密碼問(wèn)題引發(fā)的安全。

總結(jié)

通過(guò)實(shí)施統(tǒng)一身份管理解決方案，能夠簡(jiǎn)化用戶(hù)管理、降本增效、并加強(qiáng)安全性。對(duì)于員工來(lái)說(shuō)，只需要一套賬號(hào)密碼就可以訪問(wèn)權(quán)限內(nèi)的所有業(yè)務(wù)系統(tǒng)，體驗(yàn)很好；對(duì)于管理員來(lái)說(shuō)，用戶(hù)配置變得非常自動(dòng)化，整體流程得到了簡(jiǎn)化，運(yùn)維效率提高。

審核編輯 黃宇