统一身份认证平台之SSO建设

前言

上篇说道Passwordless无密码技术，也提到了数字时代密码管理的难度，其实在日常的生活中，很多用户也会因为忘记某些网站的登录密码而烦恼。为了方便记忆，很多人都在不同的站点使用相同的用户名和密码，虽然也可以减少负但是同时也降低了安全性，而且使用不同的站点同样要进行多次登录。
另外，随着信息化飞速发展，大型企业和政府部门等都开始使用电子系统进行办公，而且整个办公系统由多个不同的子系统构成，如办公自动化(OA)系统，财务管理系统，档案管理系统，信息查询系统等。IT管理员不仅要管理众多的应用系统，另一方面还要为企业员工用户提供良好的使用体验。应用系统数目的不断增多，其所带来的访问权限管理的威胁同样与日俱增。
因此，对于有多个业务系统应用需求企业，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少整个系统的成本是非常有必要的。

什么是单点登录？

单点登录（SSO）的概念非常简单，即仅给予员工用户一套单一的凭证（如账号密码），就可以使其访问多个权限内的应用系统，也就是说员工只需要输入一套用户名和密码，就可以访问OA、邮箱、HR、CRM等所有工作相关的应用系统。

单点登录的认证过程就是在员工输入用户名和密码点击登录后，单点登录认证机制会自动代理所有的授权应用系统对员工进行身份认证，从而省去员工每切换到一个新的应用系统就需要重新输入用户名和密码进行验证的麻烦。

SSO建设对企业的价值？

1.中小型企业对于开发成本和集成压力有较高的敏感度。这类企业一般没有大规模的IT团队，无法支撑复杂的系统集成，传统IAM建设势必增加成本以及集成的压力。
2.总集项目分包，这类项目常见于超大型企业或国企项目，项目预算充足，但需求众多，涉及多个不同领域。供应总集为了满足项目交付，降低项目风险，会将项目拆分，分割成多个子项目，分包给专业的供应商。使用传统的IAM产品直接对接，会出现各类问题：
客户根本不知道自己采购的项目里，有一个独立的IAM产品，IAM里绝大部分功能属于浪费。
因为产品本身功能多且全，反而在专门的领域表现欠佳。资源占用高，客户不理解。
3. 针对合作伙伴，我们可以跟其他行业toB的厂商合作，建立合作伙伴关系。针对SSO能力赋，形成1 + 1 > 1的产品竞争力。专业的事情交给专业的团队。

SSO建设思路

SSO建设的核心在于“一点登录、多点漫游、即插即用、应用无关"。

1. 统一连接：通过整合多个应用系统，在跨业务系统访问中，对上游系统身份信息格式转化，匹配现有源中身份信息，并转化成下游系统所需的数据格式，完成单点登录，实现用户只需登录一次，认证通过后就可以访问权限内的其他所有业务系统。
2. 即插即用：内置标准协议，如CAS、OAUTH2、SAML以及OIDC等，通过简单的配置，无须用户修改任何现有B/S、C/S应用系统，即可使用。解决了当前其他SSO解决方案实施困难的难题。
3. MFA多因子认证  ：实现MFA，在单点登录门户上添加动态口令、验证码、扫码等二次认证过程，加强登录入口账号安全，降低因弱密码问题引发的安全。

总结

通过实施统一身份管理解决方案，能够简化用户管理、降本增效、并加强安全性。对于员工来说，只需要一套账号密码就可以访问权限内的所有业务系统，体验很好；对于管理员来说，用户配置变得非常自动化，整体流程得到了简化，运维效率提高。

审核编辑 黄宇