企业级单点登陆——信息化体系建设基础

企业级单点登陆，又称统一身份认证平台。

在《登陆的轮子，你还在造？》一篇中详细说明了其历史。若是你缺少一些关于登陆，认证，受权，鉴权等概念的基础知识，该文章也是科普性质，相信也能解决你的大部分疑惑。

这里，我主要来说一讲，企业级单点登陆在信息化建设中的地位与做用。

企业的困扰

现在，企业内部须要使用到的企业级应用愈来愈多，每一个应用都须要帐号密码，是带给每一个员工最直接的困扰。为了安全起见，帐号密码每每要求一段时间重置一次，更加重了这种繁琐。若是公司员工每一个人天天都在这件事情上损失5分钟，假设公司有100人，那一年累计下来超过125个工做日，至关于有一我的半年什么事情也没干。

企业级应用数量增长，最困扰的是企业内的IT管理人员。每次入职离职的过程当中，须要依次登陆各类应用后台去开启或关闭相关的帐号。若是由于一些特殊状况，正常流程被打断（这在人事管理中仍是很常见的），出现遗漏，每每会致使意外发生。

以上这些问题最多见的使用企业级单点登陆的理由，一个优秀管理者都能明确的观察到并有动力去尝试用单点登陆的方案来解决这些问题。

除此以外呢？

咱们在使用各类企业级应用的时候，每每会有这样的尴尬：同一份数据老是须要在不一样系统中反复录入。好比财务与人事的系统是彻底隔离的，最简单的核算人员成本这件事情，人员发生调整，不只须要人事部门完成企业结构更新，财务也须要在其系统中去完成，一样的事情被作了两次。想进一步进行信息化的整合，作数据同步或者合并，就必须让两个系统中的人员结构都对应起来。

还有员工信息老是分散在各类不一样的应用中，好比，员工在考勤应用里面的考勤记录，跟在人事应用中的基本工资，分属于两个应用。想进一步进行信息化的整合，要自动按照考勤计算出员工的工资，就必须分清楚两个应用里帐号的对应关系。

上面的例子在说明，信息化系统自己是须要不断进化和完善的，这不只仅是体验上的问题，更是信息化建设的初衷：更快更强。

想作到信息化自己的不断进化，一个很是必要的前提就是，全部的数据都有着明确的归属，这就要求身份必须统一。

企业的选择

信息化建设时，使用单点登陆平台不只仅必要，能够说这是整个信息化建设的基石之一。信息化建设不可能一蹴而就，再给以后信息化水平的提升作好铺垫，避免以后再来实施单点登陆时，带来旧系统数据迁移和同步等麻烦的事情，尽快作好统一登陆是很是必要的。

企业在实施的时候，根据具体状况，能够选择商用产品或者开源产品。商业产品可能会提供除了帐号密码之外更严格的登陆方式，好比U盾，生物识别等。商用产品固然可以提供更稳定的服务，来协助企业。不差钱或者是有着更高的安全要求，推荐使用商业产品。

开源产品就有不少了，好比CAS（Central Authentication Service，中央认证服务），一种独立开放指令协议，耶鲁大学发起的一个开源项目。固然也有许多相关的协议的实现，能够去GitHub上去搜索SSO关键字，就能看到不少相关项目。

推荐使用名叫ArkID的开源项目，此项目是国内企业研发并维护，提供都是中文文档，常见的登录相关协议基本都支持，好比LDAP，SMAL，OAuth2等。

企业在选择企业级应用时，总会有多重考虑，不免会出现各个应用使用不一样登录协议，选择一款支持多协议架构的产品是很是有必要。

必要的功能

做为一个企业级单点登陆，除了兼容各类常见登陆协议之外，管理帐号这种基本的功能之外，还有哪些基础功能是必须的呢？

1. 组织架构。

组织架构是一个应用之因此称之为企业级应用的基础，这个功能不只仅是维护组织信息，更是在权限管理中做为重要的依据，企业级应用的权限老是跟部门信息直接挂钩的。

1. 帐号同步。

这个功能是能够将另外一个应用的帐号数据导入到ArkID系统中并在以后的更改中保持一致，好比如今大部分企业使用钉钉做为办公通信软件，钉钉内部是维护了完整的帐户与组织信息，就能够将钉钉的数据与ArkID进行同步，以后只须要在ArkID中进行修改便可。

1. 帐号分组。

组织架构本质上也是帐号分组的一种。因此，在ArkID中，默认有三类分组：部门，角色，标签。你也能够新建本身的分组。每类分组均可以维护一套相似于组织结构的树状形态，以知足企业对帐号管理的各类需求。

1. 应用权限管理。

控制每一个帐户是否可以登录相应的应用，这是权限管理最基本的功能。与帐号分组互相配合，咱们能够配制出各类想要的权限组合。

ArkID在每一个应用的权限配置中，都设置了帐号的白名单与黑名单。若是在此设置了帐号的权限，就视为该帐号的最终权限，无论该帐号在以后分组的状况。

同时也按照每类分组都设置了白名单与黑名单。判断一我的是否拥有该应用的权限，是根据其所在全部分组的集合，只要该用户所在任意一个分组拥有该应用的权限，该用户也就拥有该权限。

除了管理应用登录权限外，ArkID也提供了管理应用内部权限的API，应用内权限的管理，就须要目标应用的配合才能完成。

1. 可定制登陆界面。

每一个企业都有不一样的Logo和名称，一个可定制的登陆界面应该是必不可少的。

1. 子管理员。

显然靠一个管理员来管理整个公司是不靠谱的，须要子管理员来协助工做。

1. 日志与审计。

这里记录了全部员工对各个应用的登陆行为和管理员在ArkID中的全部操做。除了安全了考量，更重要的这是企业IT规范很重要的审计功能。

结语

企业能很好的利用单点登陆系统，不只仅是解决多系统形成的帐号密码管理繁琐的问题，更重要的是其将做为信息化建设的基础，在以后系统升级与扩展时能更方便，成本更低。若是你正想进行信息化升级，那么选择并实施单点登陆系统应该成为你必需要作的事情。