導讀:單點登錄,是指在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。本文從友戶通單點登錄類型、認證安全以及應用集成的角度,聊下解決複雜場景下的單點登錄方案。
隨着雲計算的飛速發展,越來越多的雲應用、雲服務充斥在日常的工作當中。人們在享受信息化帶來的便捷的同時,也遭受着應用系統反覆登錄,工作入口來回切換,數據消息接收不及時等諸多煩惱。伴隨着業務系統數量的增加,用戶會覺得自己身陷於越來越多的用戶賬號和密碼需要記錄,以便於使用各種雲服務。
單點登錄(Single Sign On),簡稱爲 SSO,是指在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。隨着互聯網的發展,單點登錄獲得了較爲廣泛的認可和應用。
然而在企業級應用的環境中,單點登錄的使用面臨着許多特有的挑戰:
(一)企業應用的複雜性也體現在登錄類型和登錄場景的複雜性上;
(二)與企業已有的認證服務無縫集成是個挑戰性的工作;
(三)認證能力如何達到企業級的安全要求是獲得用戶認可的關鍵。
如何讓單點登錄在企業完美的落地,還請看友戶通的方案。
1.什麼是友戶通?
友戶通是社會化商業應用基礎設施和企業服務產業共享平臺,它統一了用友雲產品的用戶管理和企業管理。友戶通存儲着用友雲所有用戶信息,是用友雲所有使用者的通行證、一卡通。
2.友戶通的單點登錄方案
友戶通的統一單點登錄解決方案,提供非侵入性的單點登錄服務,可解決用戶日益增多的賬號和密碼的記錄問題。採用滿足行業及安全規範的最新登錄行爲技術,幫助雲服務提供商實現CS、BS、雲應用系統的單點登錄功能。憑藉內嵌的安全場景認證模型、數據安全存儲及傳輸技術、集中審計等核心功能,幫助客戶解決在面對單點登錄體系時所遇到的認證安全弱、系統改造難、客戶端系統無法接入、雲應用無法接入等問題。
1.多種登錄類型和登錄場景的全支持
友戶通單點登錄平臺支持Web單點登錄、移動單點登錄、PC端應用單點登錄和第三方認證中心單點登錄,提供支持主流的身份協議 (如CAS、OAuth),爲雲和移動應用程序提供單點登錄功能。單點登錄平臺使員工、消費者、客戶和合作伙伴一次登錄便可實現跨多個運營平臺(包括移動設備)訪問企業和雲的應用程序。多種單點登錄相結合,可支持單點登錄到Web端、非Web 端和基於雲的應用。
企業應用單點登錄,支持傳統軟件基於PC端應用單點登錄,支持對web、非web應用程序無縫集成,實現從Web端到PC端以及從PC端到Web端的正、反雙向單點登錄。這種方法需要在用戶的桌面上安裝PC端單點登錄器(如UClient、友空間PC端)。
在技術形式上,可以用Cookie作爲憑證媒介,通過頁面跳轉機制實現登錄,也提供了基於jsonp的登錄服務,支持跨域的身份服務管理,同時,還提供了基於SDK的身份集成機制。
跨端的雙向單點登錄示意圖
PC端單點登錄器,可以作爲應用的統一入口使用,用戶可以自助的添加多個應用到登錄器中。用戶首先在登錄器登錄,然後再打開內部的應用時,無需再次登錄,打開Web應用時,同樣無需登錄。登錄器登錄時,與雲端認證服務器建立安全連接,進行身份認證,登錄成功後,登錄器獲取到雲端頒發的登錄令牌,保存在內存中。訪問應用時,點擊登錄器裏的對應的應用圖標,登錄器根據當前登錄的用戶,嚮應用服務器請求獲取該應用的登錄票據,並對票據進行簽名,然後使用簽名的票據啓動應用客戶端,應用服務驗證簽名後即可進入到應用系統中。訪問雲端的服務時,登錄器基於保存的登錄令牌,生成登錄憑證,包含登錄憑證的請求,可以直接實現單點登錄,進入到雲端Web服務。
PC端單點服務器服務流程示意圖
2.對多種類型的第三方認證中心的完善集成
(一)集成企業自建的用戶中心。有些企業有自己的用戶中心,如AD/LDAP類型的用戶中心,企業內的很多應用,像OA系統,連接在這些用戶中心上,這些數據中心已經存在了一段時間,所以存留了大量的用戶,企業在使用雲服務時,希望能夠使用現有的這些用戶及口令直接漫步雲端,上雲的過程對用戶無感知無影響。友戶通很好地支持了這種場景,允許使用企業現有目錄賬戶和認證服務進行認證,並且自動、自助的綁定雲端用戶,無縫地登錄到雲端應用。
(二)集成第三方公有云用戶生態系統。目前消費互聯網領域的認證,已經非常普及和流行,如微信認證、QQ認證、微博認證等,很多用戶已經習慣於使用這些賬號,來作爲網絡身份認證的標識。友戶通支持使用行業標準技術和主流的協議進行認證,支持類OpenID的認證服務機制,支持基於OATH授權服務,支持SAML的用戶集成/被集成機制。
(三)集成非標準的用戶中心。有的企業使用了多個信息系統,例如客戶購買了NCERP系統、U8系統、OA系統以及其它的生態應用,這些應用的用戶體系是相互隔離的,沒有統一的用戶中心,隨着體統增多,用戶賬號越來越多,管理越來越複雜。在這種場景下,友戶通可以作爲一種用戶中心的網關,將各個系統的用戶中心連接起來,形成用戶中心的聯邦,打通各個系統的用戶賬號體系。
(四)被夥伴應用集成實現單點登錄。用友雲的生態夥伴,在各自的用戶中心登錄後,訪問用友雲服務時,自動實現單點登錄。友戶通可以授權信任的生態夥伴應用,授權後,生態應用使用自己的登錄憑證,訪問用友雲服務,友戶通會校驗夥伴的登錄憑證的有效性,並頒發友戶通的登錄憑證,實現單點登錄。
3.包含多因子認證能力的高安全性
從技術手段上講,用戶名和口令這種方式,很容易被破解或竊取,而且無法追溯使用者的真實身份,更無法進行責任定位與追究。基於PKI體系的數字證書認證,特別是使用物理介質存儲的證書,使得系統的安全性得到極大的保障。但其侷限性也是明顯的:犧牲了系統的用戶體驗,首先,Ukey需要隨身攜帶,並且要妥善保管好;另外,因爲需要對硬件Ukey進行識別,往往對系統環境有特定的要求,而且一般需要單獨安裝驅動,所以對客戶端的兼容性是個問題。
針對企業服務還存在如下問題,在一個大型企業、公司、事業單位、政府部門中的多個信息應用系統,並不是每個應用都需要數字證書認證的,而對身份及其敏感的業務,如資金轉賬系統,則必須使用數字證書。即使是同一個系統,對不同的角色而言,對證書的要求也是不一樣的,如醫療系統中,患者使用口令登錄,而醫生使用數字證書認證身份。
多因子身份認證能力是友戶通的單點登錄系統的高安全性突出體現。多因子身份認證是在傳統口令認證的基礎上,支持UKey數字證書認證、人臉登錄、動態密碼等多種認證,對認證的安全性的強化,並支持針對不同應用系統,不同的用戶,設置不同的認證因子組合策略。例如,對於普通安全級別的系統,可以只用口令認證,可以保持單點會話,無需多次登錄。而訪問高級別要求的系統時,則提示補充更多的認證因子。這樣,既保持了單點登錄的優點,又保證了系統的安全性。支持綁定手機作爲身份認證設備,充分利用移動設備的便攜性、邊緣計算能力和生物特徵智能識別能力,實現安全、方便的多因子身份認證。
多因子認證流程示意圖
3.友戶通方案的技術總結
1.統一賬戶體系,一個賬號訪問所有的應用系統。單點登錄,訪問其它應用時無需再次登錄,顯著提高了辦公效率。
2.提供基於 Web 的用戶自助服務設施,以使用戶能夠執行應用程序註冊、密碼恢復和密碼重置等服務。
3.全面的單點登錄解決方案,Web單點登錄,第三方認證中心單點登錄和企業單點登錄、移動單點登錄可運行在同一後臺。
4.內置多步驟、多因素強認證,提高單點登錄安全性, 實現多因素高安全身份認證和管理,滿足企業信息安全制度要求。
4.友戶通的應用案例
支持了大量的基於雲的應用程序的 SaaS應用,包括友雲採、友報賬、友人才等幾十個用友雲應用以及生態夥伴應用。
