共计 3135 个字符,预计需要花费 8 分钟才能阅读完成。
导读:单点登录,是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。本文从友户通单点登录类型、认证安全以及应用集成的角度,聊下解决复杂场景下的单点登录方案。随着云计算的飞速发展,越来越多的云应用、云服务充斥在日常的工作当中。人们在享受信息化带来的便捷的同时,也遭受着应用系统反复登录,工作入口来回切换,数据消息接收不及时等诸多烦恼。伴随着业务系统数量的增加,用户会觉得自己身陷于越来越多的用户账号和密码需要记录,以便于使用各种云服务。单点登录(Single Sign On),简称为 SSO,是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。随着互联网的发展,单点登录获得了较为广泛的认可和应用。然而在企业级应用的环境中,单点登录的使用面临着许多特有的挑战:(一)企业应用的复杂性也体现在登录类型和登录场景的复杂性上;(二)与企业已有的认证服务无缝集成是个挑战性的工作;(三)认证能力如何达到企业级的安全要求是获得用户认可的关键。如何让单点登录在企业完美的落地,还请看友户通的方案。1. 什么是友户通?友户通是社会化商业应用基础设施和企业服务产业共享平台,它统一了用友云产品的用户管理和企业管理。友户通存储着用友云所有用户信息,是用友云所有使用者的通行证、一卡通。2. 友户通的单点登录方案友户通的统一单点登录解决方案,提供非侵入性的单点登录服务,可解决用户日益增多的账号和密码的记录问题。采用满足行业及安全规范的最新登录行为技术,帮助云服务提供商实现 CS、BS、云应用系统的单点登录功能。凭借内嵌的安全场景认证模型、数据安全存储及传输技术、集中审计等核心功能,帮助客户解决在面对单点登录体系时所遇到的认证安全弱、系统改造难、客户端系统无法接入、云应用无法接入等问题。1. 多种登录类型和登录场景的全支持友户通单点登录平台支持 Web 单点登录、移动单点登录、PC 端应用单点登录和第三方认证中心单点登录,提供支持主流的身份协议(如 CAS、OAuth),为云和移动应用程序提供单点登录功能。单点登录平台使员工、消费者、客户和合作伙伴一次登录便可实现跨多个运营平台(包括移动设备)访问企业和云的应用程序。多种单点登录相结合,可支持单点登录到 Web 端、非 Web 端和基于云的应用。企业应用单点登录,支持传统软件基于 PC 端应用单点登录,支持对 web、非 web 应用程序无缝集成,实现从 Web 端到 PC 端以及从 PC 端到 Web 端的正、反双向单点登录。这种方法需要在用户的桌面上安装 PC 端单点登录器(如 UClient、友空间 PC 端)。在技术形式上,可以用 Cookie 作为凭证媒介,通过页面跳转机制实现登录,也提供了基于 jsonp 的登录服务,支持跨域的身份服务管理,同时,还提供了基于 SDK 的身份集成机制。跨端的双向单点登录示意图 PC 端单点登录器,可以作为应用的统一入口使用,用户可以自助的添加多个应用到登录器中。用户首先在登录器登录,然后再打开内部的应用时,无需再次登录,打开 Web 应用时,同样无需登录。登录器登录时,与云端认证服务器建立安全连接,进行身份认证,登录成功后,登录器获取到云端颁发的登录令牌,保存在内存中。访问应用时,点击登录器里的对应的应用图标,登录器根据当前登录的用户,向应用服务器请求获取该应用的登录票据,并对票据进行签名,然后使用签名的票据启动应用客户端,应用服务验证签名后即可进入到应用系统中。访问云端的服务时,登录器基于保存的登录令牌,生成登录凭证,包含登录凭证的请求,可以直接实现单点登录,进入到云端 Web 服务。PC 端单点服务器服务流程示意图 2. 对多种类型的第三方认证中心的完善集成(一)集成企业自建的用户中心。有些企业有自己的用户中心,如 AD/LDAP 类型的用户中心,企业内的很多应用,像 OA 系统,连接在这些用户中心上,这些数据中心已经存在了一段时间,所以存留了大量的用户,企业在使用云服务时,希望能够使用现有的这些用户及口令直接漫步云端,上云的过程对用户无感知无影响。友户通很好地支持了这种场景,允许使用企业现有目录账户和认证服务进行认证,并且自动、自助的绑定云端用户,无缝地登录到云端应用。(二)集成第三方公有云用户生态系统。目前消费互联网领域的认证,已经非常普及和流行,如微信认证、QQ 认证、微博认证等,很多用户已经习惯于使用这些账号,来作为网络身份认证的标识。友户通支持使用行业标准技术和主流的协议进行认证,支持类 OpenID 的认证服务机制,支持基于 OATH 授权服务,支持 SAML 的用户集成 / 被集成机制。(三)集成非标准的用户中心。有的企业使用了多个信息系统,例如客户购买了 NCERP 系统、U8 系统、OA 系统以及其它的生态应用,这些应用的用户体系是相互隔离的,没有统一的用户中心,随着体统增多,用户账号越来越多,管理越来越复杂。在这种场景下,友户通可以作为一种用户中心的网关,将各个系统的用户中心连接起来,形成用户中心的联邦,打通各个系统的用户账号体系。(四)被伙伴应用集成实现单点登录。用友云的生态伙伴,在各自的用户中心登录后,访问用友云服务时,自动实现单点登录。友户通可以授权信任的生态伙伴应用,授权后,生态应用使用自己的登录凭证,访问用友云服务,友户通会校验伙伴的登录凭证的有效性,并颁发友户通的登录凭证,实现单点登录。3. 包含多因子认证能力的高安全性从技术手段上讲,用户名和口令这种方式,很容易被破解或窃取,而且无法追溯使用者的真实身份,更无法进行责任定位与追究。基于 PKI 体系的数字证书认证,特别是使用物理介质存储的证书,使得系统的安全性得到极大的保障。但其局限性也是明显的:牺牲了系统的用户体验,首先,Ukey 需要随身携带,并且要妥善保管好;另外,因为需要对硬件 Ukey 进行识别,往往对系统环境有特定的要求,而且一般需要单独安装驱动,所以对客户端的兼容性是个问题。针对企业服务还存在如下问题,在一个大型企业、公司、事业单位、政府部门中的多个信息应用系统,并不是每个应用都需要数字证书认证的,而对身份及其敏感的业务,如资金转账系统,则必须使用数字证书。即使是同一个系统,对不同的角色而言,对证书的要求也是不一样的,如医疗系统中,患者使用口令登录,而医生使用数字证书认证身份。多因子身份认证能力是友户通的单点登录系统的高安全性突出体现。多因子身份认证是在传统口令认证的基础上,支持 UKey 数字证书认证、人脸登录、动态密码等多种认证,对认证的安全性的强化,并支持针对不同应用系统,不同的用户,设置不同的认证因子组合策略。例如,对于普通安全级别的系统,可以只用口令认证,可以保持单点会话,无需多次登录。而访问高级别要求的系统时,则提示补充更多的认证因子。这样,既保持了单点登录的优点,又保证了系统的安全性。支持绑定手机作为身份认证设备,充分利用移动设备的便携性、边缘计算能力和生物特征智能识别能力,实现安全、方便的多因子身份认证。多因子认证流程示意图 3. 友户通方案的技术总结 1. 统一账户体系,一个账号访问所有的应用系统。单点登录,访问其它应用时无需再次登录,显著提高了办公效率。2. 提供基于 Web 的用户自助服务设施,以使用户能够执行应用程序注册、密码恢复和密码重置等服务。3. 全面的单点登录解决方案,Web 单点登录,第三方认证中心单点登录和企业单点登录、移动单点登录可运行在同一后台。4. 内置多步骤、多因素强认证,提高单点登录安全性,实现多因素高安全身份认证和管理,满足企业信息安全制度要求。4. 友户通的应用案例支持了大量的基于云的应用程序的 SaaS 应用,包括友云采、友报账、友人才等几十个用友云应用以及生态伙伴应用。