导读:单点登陆,是指在多个应用系统中,用户只须要登陆一次就能够访问全部相互信任的应用系统。本文从友户通单点登陆类型、认证安全以及应用集成的角度,聊下解决复杂场景下的单点登陆方案。web
随着云计算的飞速发展,愈来愈多的云应用、云服务充斥在平常的工做当中。人们在享受信息化带来的便捷的同时,也遭受着应用系统反复登陆,工做入口来回切换,数据消息接收不及时等诸多烦恼。伴随着业务系统数量的增长,用户会以为本身身陷于愈来愈多的用户帐号和密码须要记录,以便于使用各类云服务。json
单点登陆(Single Sign On),简称为 SSO,是指在多个应用系统中,用户只须要登陆一次就能够访问全部相互信任的应用系统。随着互联网的发展,单点登陆得到了较为普遍的承认和应用。跨域
然而在企业级应用的环境中,单点登陆的使用面临着许多特有的挑战:安全
(一)企业应用的复杂性也体如今登陆类型和登陆场景的复杂性上;服务器
(二)与企业已有的认证服务无缝集成是个挑战性的工做;微信
(三)认证能力如何达到企业级的安全要求是得到用户承认的关键。网络
如何让单点登陆在企业完美的落地,还请看友户通的方案。jsonp
1.什么是友户通?
友户通是社会化商业应用基础设施和企业服务产业共享平台,它统一了用友云产品的用户管理和企业管理。友户通存储着用友云全部用户信息,是用友云全部使用者的通行证、一卡通。云计算
2.友户通的单点登陆方案
友户通的统一单点登陆解决方案,提供非侵入性的单点登陆服务,可解决用户日益增多的帐号和密码的记录问题。采用知足行业及安全规范的最新登陆行为技术,帮助云服务提供商实现CS、BS、云应用系统的单点登陆功能。凭借内嵌的安全场景认证模型、数据安全存储及传输技术、集中审计等核心功能,帮助客户解决在面对单点登陆体系时所遇到的认证安全弱、系统改造难、客户端系统没法接入、云应用没法接入等问题。spa
1.多种登陆类型和登陆场景的全支持
友户通单点登陆平台支持Web单点登陆、移动单点登陆、PC端应用单点登陆和第三方认证中心单点登陆,提供支持主流的身份协议 (如CAS、OAuth),为云和移动应用程序提供单点登陆功能。单点登陆平台使员工、消费者、客户和合做伙伴一次登陆即可实现跨多个运营平台(包括移动设备)访问企业和云的应用程序。多种单点登陆相结合,可支持单点登陆到Web端、非Web 端和基于云的应用。
企业应用单点登陆,支持传统软件基于PC端应用单点登陆,支持对web、非web应用程序无缝集成,实现从Web端到PC端以及从PC端到Web端的正、反双向单点登陆。这种方法须要在用户的桌面上安装PC端单点登陆器(如UClient、友空间PC端)。
在技术形式上,能够用Cookie做为凭证媒介,经过页面跳起色制实现登陆,也提供了基于jsonp的登陆服务,支持跨域的身份服务管理,同时,还提供了基于SDK的身份集成机制。
跨端的双向单点登陆示意图
PC端单点登陆器,能够做为应用的统一入口使用,用户能够自助的添加多个应用到登陆器中。用户首先在登陆器登陆,而后再打开内部的应用时,无需再次登陆,打开Web应用时,一样无需登陆。登陆器登陆时,与云端认证服务器创建安全链接,进行身份认证,登陆成功后,登陆器获取到云端颁发的登陆令牌,保存在内存中。访问应用时,点击登陆器里的对应的应用图标,登陆器根据当前登陆的用户,向应用服务器请求获取该应用的登陆票据,并对票据进行签名,而后使用签名的票据启动应用客户端,应用服务验证签名后便可进入到应用系统中。访问云端的服务时,登陆器基于保存的登陆令牌,生成登陆凭证,包含登陆凭证的请求,能够直接实现单点登陆,进入到云端Web服务。
PC端单点服务器服务流程示意图
2.对多种类型的第三方认证中心的完善集成
(一)集成企业自建的用户中心。有些企业有本身的用户中心,如AD/LDAP类型的用户中心,企业内的不少应用,像OA系统,链接在这些用户中心上,这些数据中心已经存在了一段时间,因此存留了大量的用户,企业在使用云服务时,但愿可以使用现有的这些用户及口令直接漫步云端,上云的过程对用户无感知无影响。友户通很好地支持了这种场景,容许使用企业现有目录帐户和认证服务进行认证,而且自动、自助的绑定云端用户,无缝地登陆到云端应用。
(二)集成第三方公有云用户生态系统。目前消费互联网领域的认证,已经很是普及和流行,如微信认证、QQ认证、微博认证等,不少用户已经习惯于使用这些帐号,来做为网络身份认证的标识。友户通支持使用行业标准技术和主流的协议进行认证,支持类OpenID的认证服务机制,支持基于OATH受权服务,支持SAML的用户集成/被集成机制。
(三)集成非标准的用户中心。有的企业使用了多个信息系统,例如客户购买了NCERP系统、U8系统、OA系统以及其它的生态应用,这些应用的用户体系是相互隔离的,没有统一的用户中心,随着体统增多,用户帐号愈来愈多,管理愈来愈复杂。在这种场景下,友户通能够做为一种用户中心的网关,将各个系统的用户中心链接起来,造成用户中心的联邦,打通各个系统的用户帐号体系。
(四)被伙伴应用集成实现单点登陆。用友云的生态伙伴,在各自的用户中心登陆后,访问用友云服务时,自动实现单点登陆。友户通能够受权信任的生态伙伴应用,受权后,生态应用使用本身的登陆凭证,访问用友云服务,友户通会校验伙伴的登陆凭证的有效性,并颁发友户通的登陆凭证,实现单点登陆。
3.包含多因子认证能力的高安全性
从技术手段上讲,用户名和口令这种方式,很容易被破解或窃取,并且没法追溯使用者的真实身份,更没法进行责任定位与追究。基于PKI体系的数字证书认证,特别是使用物理介质存储的证书,使得系统的安全性获得极大的保障。但其局限性也是明显的:牺牲了系统的用户体验,首先,Ukey须要随身携带,而且要妥善保管好;另外,由于须要对硬件Ukey进行识别,每每对系统环境有特定的要求,并且通常须要单独安装驱动,因此对客户端的兼容性是个问题。
针对企业服务还存在以下问题,在一个大型企业、公司、事业单位、政府部门中的多个信息应用系统,并非每一个应用都须要数字证书认证的,而对身份及其敏感的业务,如资金转帐系统,则必须使用数字证书。即便是同一个系统,对不一样的角色而言,对证书的要求也是不同的,如医疗系统中,患者使用口令登陆,而医生使用数字证书认证身份。
多因子身份认证能力是友户通的单点登陆系统的高安全性突出体现。多因子身份认证是在传统口令认证的基础上,支持UKey数字证书认证、人脸登陆、动态密码等多种认证,对认证的安全性的强化,并支持针对不一样应用系统,不一样的用户,设置不一样的认证因子组合策略。例如,对于普通安全级别的系统,能够只用口令认证,能够保持单点会话,无需屡次登陆。而访问高级别要求的系统时,则提示补充更多的认证因子。这样,既保持了单点登陆的优势,又保证了系统的安全性。支持绑定手机做为身份认证设备,充分利用移动设备的便携性、边缘计算能力和生物特征智能识别能力,实现安全、方便的多因子身份认证。
多因子认证流程示意图
3.友户通方案的技术总结
1.统一帐户体系,一个帐号访问全部的应用系统。单点登陆,访问其它应用时无需再次登陆,显著提升了办公效率。
2.提供基于 Web 的用户自助服务设施,以使用户可以执行应用程序注册、密码恢复和密码重置等服务。
3.全面的单点登陆解决方案,Web单点登陆,第三方认证中心单点登陆和企业单点登陆、移动单点登陆可运行在同一后台。
4.内置多步骤、多因素强认证,提升单点登陆安全性, 实现多因素高安全身份认证和管理,知足企业信息安全制度要求。
4.友户通的应用案例
支持了大量的基于云的应用程序的 SaaS应用,包括友云采、友报帐、友人才等几十个用友云应用以及生态伙伴应用。