統(tǒng)一身份認證平臺之SSO建設

前言

上篇說道Passwordless無密碼技術，也提到了數(shù)字時代密碼管理的難度，其實在日常的生活中，很多用戶也會因為忘記某些網站的登錄密碼而煩惱。為了方便記憶，很多人都在不同的站點使用相同的用戶名和密碼，雖然也可以減少負但是同時也降低了安全性，而且使用不同的站點同樣要進行多次登錄。
另外，隨著信息化飛速發(fā)展，大型企業(yè)和政府部門等都開始使用電子系統(tǒng)進行辦公，而且整個辦公系統(tǒng)由多個不同的子系統(tǒng)構成，如辦公自動化(OA)系統(tǒng)，財務管理系統(tǒng)，檔案管理系統(tǒng)，信息查詢系統(tǒng)等。IT管理員不僅要管理眾多的應用系統(tǒng)，另一方面還要為企業(yè)員工用戶提供良好的使用體驗。應用系統(tǒng)數(shù)目的不斷增多，其所帶來的訪問權限管理的威脅同樣與日俱增。
因此，對于有多個業(yè)務系統(tǒng)應用需求企業(yè)，需要配置一套統(tǒng)一的身份認證系統(tǒng)，以實現(xiàn)集中統(tǒng)一的身份認證，并減少整個系統(tǒng)的成本是非常有必要的。

什么是單點登錄？

單點登錄（SSO）的概念非常簡單，即僅給予員工用戶一套單一的憑證（如賬號密碼），就可以使其訪問多個權限內的應用系統(tǒng)，也就是說員工只需要輸入一套用戶名和密碼，就可以訪問OA、郵箱、HR、CRM等所有工作相關的應用系統(tǒng)。

單點登錄的認證過程就是在員工輸入用戶名和密碼點擊登錄后，單點登錄認證機制會自動代理所有的授權應用系統(tǒng)對員工進行身份認證，從而省去員工每切換到一個新的應用系統(tǒng)就需要重新輸入用戶名和密碼進行驗證的麻煩。

SSO建設對企業(yè)的價值？

1.中小型企業(yè)對于開發(fā)成本和集成壓力有較高的敏感度。這類企業(yè)一般沒有大規(guī)模的IT團隊，無法支撐復雜的系統(tǒng)集成，傳統(tǒng)IAM建設勢必增加成本以及集成的壓力。
2.總集項目分包，這類項目常見于超大型企業(yè)或國企項目，項目預算充足，但需求眾多，涉及多個不同領域。供應總集為了滿足項目交付，降低項目風險，會將項目拆分，分割成多個子項目，分包給專業(yè)的供應商。使用傳統(tǒng)的IAM產品直接對接，會出現(xiàn)各類問題：
客戶根本不知道自己采購的項目里，有一個獨立的IAM產品，IAM里絕大部分功能屬于浪費。
因為產品本身功能多且全，反而在專門的領域表現(xiàn)欠佳。資源占用高，客戶不理解。
3. 針對合作伙伴，我們可以跟其他行業(yè)toB的廠商合作，建立合作伙伴關系。針對SSO能力賦，形成1 + 1 > 1的產品競爭力。專業(yè)的事情交給專業(yè)的團隊。

SSO建設思路

SSO建設的核心在于“一點登錄、多點漫游、即插即用、應用無關"。

1. 統(tǒng)一連接：通過整合多個應用系統(tǒng)，在跨業(yè)務系統(tǒng)訪問中，對上游系統(tǒng)身份信息格式轉化，匹配現(xiàn)有源中身份信息，并轉化成下游系統(tǒng)所需的數(shù)據格式，完成單點登錄，實現(xiàn)用戶只需登錄一次，認證通過后就可以訪問權限內的其他所有業(yè)務系統(tǒng)。
2. 即插即用：內置標準協(xié)議，如CAS、OAUTH2、SAML以及OIDC等，通過簡單的配置，無須用戶修改任何現(xiàn)有B/S、C/S應用系統(tǒng)，即可使用。解決了當前其他SSO解決方案實施困難的難題。
3. MFA多因子認證 ：實現(xiàn)MFA，在單點登錄門戶上添加動態(tài)口令、驗證碼、掃碼等二次認證過程，加強登錄入口賬號安全，降低因弱密碼問題引發(fā)的安全。

總結

通過實施統(tǒng)一身份管理解決方案，能夠簡化用戶管理、降本增效、并加強安全性。對于員工來說，只需要一套賬號密碼就可以訪問權限內的所有業(yè)務系統(tǒng)，體驗很好；對于管理員來說，用戶配置變得非常自動化，整體流程得到了簡化，運維效率提高。

審核編輯 黃宇