統(tǒng)一身份認(rèn)證平臺(tái)之SSO建設(shè)

前言

上篇說道Passwordless無密碼技術(shù)，也提到了數(shù)字時(shí)代密碼管理的難度，其實(shí)在日常的生活中，很多用戶也會(huì)因?yàn)橥浤承┚W(wǎng)站的登錄密碼而煩惱。為了方便記憶，很多人都在不同的站點(diǎn)使用相同的用戶名和密碼，雖然也可以減少負(fù)但是同時(shí)也降低了安全性，而且使用不同的站點(diǎn)同樣要進(jìn)行多次登錄。
另外，隨著信息化飛速發(fā)展，大型企業(yè)和政府部門等都開始使用電子系統(tǒng)進(jìn)行辦公，而且整個(gè)辦公系統(tǒng)由多個(gè)不同的子系統(tǒng)構(gòu)成，如辦公自動(dòng)化(OA)系統(tǒng)，財(cái)務(wù)管理系統(tǒng)，檔案管理系統(tǒng)，信息查詢系統(tǒng)等。IT管理員不僅要管理眾多的應(yīng)用系統(tǒng)，另一方面還要為企業(yè)員工用戶提供良好的使用體驗(yàn)。應(yīng)用系統(tǒng)數(shù)目的不斷增多，其所帶來的訪問權(quán)限管理的威脅同樣與日俱增。
因此，對(duì)于有多個(gè)業(yè)務(wù)系統(tǒng)應(yīng)用需求企業(yè)，需要配置一套統(tǒng)一的身份認(rèn)證系統(tǒng)，以實(shí)現(xiàn)集中統(tǒng)一的身份認(rèn)證，并減少整個(gè)系統(tǒng)的成本是非常有必要的。

什么是單點(diǎn)登錄？

單點(diǎn)登錄（SSO）的概念非常簡(jiǎn)單，即僅給予員工用戶一套單一的憑證（如賬號(hào)密碼），就可以使其訪問多個(gè)權(quán)限內(nèi)的應(yīng)用系統(tǒng)，也就是說員工只需要輸入一套用戶名和密碼，就可以訪問OA、郵箱、HR、CRM等所有工作相關(guān)的應(yīng)用系統(tǒng)。

單點(diǎn)登錄的認(rèn)證過程就是在員工輸入用戶名和密碼點(diǎn)擊登錄后，單點(diǎn)登錄認(rèn)證機(jī)制會(huì)自動(dòng)代理所有的授權(quán)應(yīng)用系統(tǒng)對(duì)員工進(jìn)行身份認(rèn)證，從而省去員工每切換到一個(gè)新的應(yīng)用系統(tǒng)就需要重新輸入用戶名和密碼進(jìn)行驗(yàn)證的麻煩。

SSO建設(shè)對(duì)企業(yè)的價(jià)值？

1.中小型企業(yè)對(duì)于開發(fā)成本和集成壓力有較高的敏感度。這類企業(yè)一般沒有大規(guī)模的IT團(tuán)隊(duì)，無法支撐復(fù)雜的系統(tǒng)集成，傳統(tǒng)IAM建設(shè)勢(shì)必增加成本以及集成的壓力。
2.總集項(xiàng)目分包，這類項(xiàng)目常見于超大型企業(yè)或國(guó)企項(xiàng)目，項(xiàng)目預(yù)算充足，但需求眾多，涉及多個(gè)不同領(lǐng)域。供應(yīng)總集為了滿足項(xiàng)目交付，降低項(xiàng)目風(fēng)險(xiǎn)，會(huì)將項(xiàng)目拆分，分割成多個(gè)子項(xiàng)目，分包給專業(yè)的供應(yīng)商。使用傳統(tǒng)的IAM產(chǎn)品直接對(duì)接，會(huì)出現(xiàn)各類問題：
客戶根本不知道自己采購(gòu)的項(xiàng)目里，有一個(gè)獨(dú)立的IAM產(chǎn)品，IAM里絕大部分功能屬于浪費(fèi)。
因?yàn)楫a(chǎn)品本身功能多且全，反而在專門的領(lǐng)域表現(xiàn)欠佳。資源占用高，客戶不理解。
3. 針對(duì)合作伙伴，我們可以跟其他行業(yè)toB的廠商合作，建立合作伙伴關(guān)系。針對(duì)SSO能力賦，形成1 + 1 > 1的產(chǎn)品競(jìng)爭(zhēng)力。專業(yè)的事情交給專業(yè)的團(tuán)隊(duì)。

SSO建設(shè)思路

SSO建設(shè)的核心在于“一點(diǎn)登錄、多點(diǎn)漫游、即插即用、應(yīng)用無關(guān)"。

1. 統(tǒng)一連接：通過整合多個(gè)應(yīng)用系統(tǒng)，在跨業(yè)務(wù)系統(tǒng)訪問中，對(duì)上游系統(tǒng)身份信息格式轉(zhuǎn)化，匹配現(xiàn)有源中身份信息，并轉(zhuǎn)化成下游系統(tǒng)所需的數(shù)據(jù)格式，完成單點(diǎn)登錄，實(shí)現(xiàn)用戶只需登錄一次，認(rèn)證通過后就可以訪問權(quán)限內(nèi)的其他所有業(yè)務(wù)系統(tǒng)。
2. 即插即用：內(nèi)置標(biāo)準(zhǔn)協(xié)議，如CAS、OAUTH2、SAML以及OIDC等，通過簡(jiǎn)單的配置，無須用戶修改任何現(xiàn)有B/S、C/S應(yīng)用系統(tǒng)，即可使用。解決了當(dāng)前其他SSO解決方案實(shí)施困難的難題。
3. MFA多因子認(rèn)證 ：實(shí)現(xiàn)MFA，在單點(diǎn)登錄門戶上添加動(dòng)態(tài)口令、驗(yàn)證碼、掃碼等二次認(rèn)證過程，加強(qiáng)登錄入口賬號(hào)安全，降低因弱密碼問題引發(fā)的安全。

總結(jié)

通過實(shí)施統(tǒng)一身份管理解決方案，能夠簡(jiǎn)化用戶管理、降本增效、并加強(qiáng)安全性。對(duì)于員工來說，只需要一套賬號(hào)密碼就可以訪問權(quán)限內(nèi)的所有業(yè)務(wù)系統(tǒng)，體驗(yàn)很好；對(duì)于管理員來說，用戶配置變得非常自動(dòng)化，整體流程得到了簡(jiǎn)化，運(yùn)維效率提高。

審核編輯 黃宇