上一節我們提到了什麼是SSO以及使用SSO的好處,先讓我們總結一下:
1. 允許user只需在同一個地方,只輸入一次用戶信息(user id和password,或者其他驗證信息)就能登陸到多個系統應用中。
2. 驗證僅僅基於一個集中管理的database來進行。
3. 大大減輕user在不同的系統應用之間切換時候的煩瑣校驗信息的輸入工作量。
那麼,SSO同時也就意味着,
1. user只需要記住一個user id和一個password就夠了,不管整個企業有多少個系統應用。
2. 系統管理員只需要維護一個DB。
3. 簡單的說,通過SSO,能夠提高整個企業的安全,高效以及便利性。
好像把SSO說得神乎其神的樣子,SSO背後到底有什麼Magic呢?
答案是,根本沒有什麼Magic,SSO只不過是:
1. 一個全局可用的user token而已。
2. 來自於可信任源。
3. 包含着獨一無二的信息,這些信息是可唯一識別的,同時也包含着一些描述性的屬性。
大部分的系統似乎都是使用cookies或者http session的屬性。
那麼,對一個企業來說,到底可以採取什麼SSO的策略呢,SSO現在有些什麼選項沒有?
1. 買一個商業產品,Netegrity,SAP,Oracle或者IBM等等。
2. 用一個開源的選項,例如JOSSO,現在非常有吸引力。
3. 自己寫一個SSO的服務器。
4. 什麼都不做,告訴老闆說現在沒有任何SSO的標準,所以,現在去做任何事情都是浪費人力物力的。