這樣的單點登入才最有效果,很多大咖牛人都不知道!
導讀:單點登入,是指在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。本文從友戶通單點登入型別、認證安全以及應用整合的角度,聊下解決複雜場景下的單點登入方案。
隨著雲端計算的飛速發展,越來越多的雲應用、雲服務充斥在日常的工作當中。人們在享受資訊化帶來的便捷的同時,也遭受著應用系統反覆登入,工作入口來回切換,資料訊息接收不及時等諸多煩惱。伴隨著業務系統數量的增加,使用者會覺得自己身陷於越來越多的使用者賬號和密碼需要記錄,以便於使用各種雲服務。
單點登入(Single Sign On),簡稱為 SSO,是指在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。隨著網際網路的發展,單點登入獲得了較為廣泛的認可和應用。
然而在企業級應用的環境中,單點登入的使用面臨著許多特有的挑戰:
(一)企業應用的複雜性也體現在登入型別和登入場景的複雜性上;
(二)與企業已有的認證服務無縫整合是個挑戰性的工作;
(三)認證能力如何達到企業級的安全要求是獲得使用者認可的關鍵。
如何讓單點登入在企業完美的落地,還請看友戶通的方案。
1.什麼是友戶通?
友戶通是社會化商業應用基礎設施和企業服務產業共享平臺,它統一了用友雲產品的使用者管理和企業管理。友戶通儲存著用友雲所有使用者資訊,是用友雲所有使用者的通行證、一卡通。
2.友戶通的單點登入方案
友戶通的統一單點登入解決方案,提供非侵入性的單點登入服務,可解決使用者日益增多的賬號和密碼的記錄問題。採用滿足行業及安全規範的最新登入行為技術,幫助雲服務提供商實現CS、BS、雲應用系統的單點登入功能。憑藉內嵌的安全場景認證模型、資料安全儲存及傳輸技術、集中審計等核心功能,幫助客戶解決在面對單點登入體系時所遇到的認證安全弱、系統改造難、客戶端系統無法接入、雲應用無法接入等問題。
1.多種登入型別和登入場景的全支援
友戶通單點登入平臺支援Web單點登入、移動單點登入、PC端應用單點登入和第三方認證中心單點登入,提供支援主流的身份協議 (如CAS、OAuth),為雲和移動應用程式提供單點登入功能。單點登入平臺使員工、消費者、客戶和合作夥伴一次登入便可實現跨多個運營平臺(包括移動裝置)訪問企業和雲的應用程式。多種單點登入相結合,可支援單點登入到Web端、非Web 端和基於雲的應用。
企業應用單點登入,支援傳統軟體基於PC端應用單點登入,支援對web、非web應用程式無縫整合,實現從Web端到PC端以及從PC端到Web端的正、反雙向單點登入。這種方法需要在使用者的桌面上安裝PC端單點登入器(如UClient、友空間PC端)。
在技術形式上,可以用Cookie作為憑證媒介,通過頁面跳轉機制實現登入,也提供了基於jsonp的登入服務,支援跨域的身份服務管理,同時,還提供了基於SDK的身份整合機制。
跨端的雙向單點登入示意圖
PC端單點登入器,可以作為應用的統一入口使用,使用者可以自助的新增多個應用到登入器中。使用者首先在登入器登入,然後再開啟內部的應用時,無需再次登入,開啟Web應用時,同樣無需登入。登入器登入時,與雲端認證伺服器建立安全連線,進行身份認證,登入成功後,登入器獲取到雲端頒發的登入令牌,儲存在記憶體中。訪問應用時,點選登入器裡的對應的應用圖示,登入器根據當前登入的使用者,嚮應用伺服器請求獲取該應用的登入票據,並對票據進行簽名,然後使用簽名的票據啟動應用客戶端,應用服務驗證簽名後即可進入到應用系統中。訪問雲端的服務時,登入器基於儲存的登入令牌,生成登入憑證,包含登入憑證的請求,可以直接實現單點登入,進入到雲端Web服務。
PC端單點伺服器服務流程示意圖
2.對多種型別的第三方認證中心的完善整合
(一)整合企業自建的使用者中心。有些企業有自己的使用者中心,如AD/LDAP型別的使用者中心,企業內的很多應用,像OA系統,連線在這些使用者中心上,這些資料中心已經存在了一段時間,所以存留了大量的使用者,企業在使用雲服務時,希望能夠使用現有的這些使用者及口令直接漫步雲端,上雲的過程對使用者無感知無影響。友戶通很好地支援了這種場景,允許使用企業現有目錄賬戶和認證服務進行認證,並且自動、自助的繫結雲端使用者,無縫地登入到雲端應用。
(二)整合第三方公有云使用者生態系統。目前消費網際網路領域的認證,已經非常普及和流行,如微信認證、QQ認證、微博認證等,很多使用者已經習慣於使用這些賬號,來作為網路身份認證的標識。友戶通支援使用行業標準技術和主流的協議進行認證,支援類OpenID的認證服務機制,支援基於OATH授權服務,支援SAML的使用者整合/被整合機制。
(三)整合非標準的使用者中心。有的企業使用了多個資訊系統,例如客戶購買了NCERP系統、U8系統、OA系統以及其它的生態應用,這些應用的使用者體系是相互隔離的,沒有統一的使用者中心,隨著體統增多,使用者賬號越來越多,管理越來越複雜。在這種場景下,友戶通可以作為一種使用者中心的閘道器,將各個系統的使用者中心連線起來,形成使用者中心的聯邦,打通各個系統的使用者賬號體系。
(四)被夥伴應用整合實現單點登入。用友雲的生態夥伴,在各自的使用者中心登入後,訪問用友雲服務時,自動實現單點登入。友戶通可以授權信任的生態夥伴應用,授權後,生態應用使用自己的登入憑證,訪問用友雲服務,友戶通會校驗夥伴的登入憑證的有效性,並頒發友戶通的登入憑證,實現單點登入。
3.包含多因子認證能力的高安全性
從技術手段上講,使用者名稱和口令這種方式,很容易被破解或竊取,而且無法追溯使用者的真實身份,更無法進行責任定位與追究。基於PKI體系的數字證書認證,特別是使用物理介質儲存的證書,使得系統的安全性得到極大的保障。但其侷限性也是明顯的:犧牲了系統的使用者體驗,首先,Ukey需要隨身攜帶,並且要妥善保管好;另外,因為需要對硬體Ukey進行識別,往往對系統環境有特定的要求,而且一般需要單獨安裝驅動,所以對客戶端的相容性是個問題。
針對企業服務還存在如下問題,在一個大型企業、公司、事業單位、政府部門中的多個資訊應用系統,並不是每個應用都需要數字證書認證的,而對身份及其敏感的業務,如資金轉賬系統,則必須使用數字證書。即使是同一個系統,對不同的角色而言,對證書的要求也是不一樣的,如醫療系統中,患者使用口令登入,而醫生使用數字證書認證身份。
多因子身份認證能力是友戶通的單點登入系統的高安全性突出體現。多因子身份認證是在傳統口令認證的基礎上,支援UKey數字證書認證、人臉登入、動態密碼等多種認證,對認證的安全性的強化,並支援針對不同應用系統,不同的使用者,設定不同的認證因子組合策略。例如,對於普通安全級別的系統,可以只用口令認證,可以保持單點會話,無需多次登入。而訪問高級別要求的系統時,則提示補充更多的認證因子。這樣,既保持了單點登入的優點,又保證了系統的安全性。支援繫結手機作為身份認證裝置,充分利用移動裝置的便攜性、邊緣計算能力和生物特徵智慧識別能力,實現安全、方便的多因子身份認證。
多因子認證流程示意圖
3.友戶通方案的技術總結
1.統一賬戶體系,一個賬號訪問所有的應用系統。單點登入,訪問其它應用時無需再次登入,顯著提高了辦公效率。
2.提供基於 Web 的使用者自助服務設施,以使使用者能夠執行應用程式註冊、密碼恢復和密碼重置等服務。
3.全面的單點登入解決方案,Web單點登入,第三方認證中心單點登入和企業單點登入、移動單點登入可執行在同一後臺。
4.內建多步驟、多因素強認證,提高單點登入安全性, 實現多因素高安全身份認證和管理,滿足企業資訊保安制度要求。
4.友戶通的應用案例
支援了大量的基於雲的應用程式的 SaaS應用,包括友雲採、友報賬、友人才等幾十個用友雲應用以及生態夥伴應用。
