單點登錄SSO:概述與示例
目錄
- 概述
- 演示一:零改造實施單點登錄
- 演示二: 單點註銷
- 演示三:集成AD認證
- 演示四:客戶端單點登錄
- 演示五:移動端單點登錄
原文地址:http://www.cnblogs.com/baibaomen/p/sso.html 。轉載須保留本鏈接。
單點登錄SSO概述
本系列將由淺入深的,帶大家掌握最新單點登錄SSO方案選型,以及架構開發實戰。系列將結合示例、源碼以及演示視頻,讓大家能夠直觀、深入學習。
文末附5個滿足不同單點登錄場景的gif動畫演示。本系列後繼文章會深入它們的實現方式以及適用場景,大家也可以先觀看揣摩其實現。
單點登錄即Single Sign On(SSO)。它是大型政府OA、企事業單位OA的標配解決方案。它概言之就是在多個Web、桌面或移動應用系統中,用戶只需要登錄一次,就可以訪問所有的應用系統。
從業十多年,為政府、電信、跨國公司顧問和實施的單點登錄解決方案無數,深諳其痛點與關鍵。
和很多人直觀猜測相反,單點登錄方案的定制性很強。很多企業的單點登錄,實施是有問題的。尤其是被一些軟件產品的銷售人員牽著走的企業,它的單點登錄方案實施,從產品方案選型起就存在根本性問題。這些方案常常要求大量現有業務系統的改造(基於統一身份認證服務,采用OpenId,OAuth,SAML等技術創建和傳遞認證憑據),或者只是體驗較差的類似瀏覽器自動填充賬號密碼的功能(如Oracle的ESSO)。它們要麽改動面大、周期長,要麽服務端和客戶端局限性多,用戶體驗也達不到最佳。
事實上,單點登錄的實施環境與需求千差萬別:有純Web的(常見又分跨域不跨域的),有桌面應用的,有移動平臺的,有要結合Windows登錄憑據的,有整合了標準方案的,有不能改動現存系統的,等等等等。最適合企業的方案,一定需要結合企業應用種類、各系統供應商狀況、終端要求、後期擴展性需求、實施成本工期來具體確定。
很多單點登錄解決方案的實施,由於顧問的經驗、視野或產品傾向性原因,往往導致了這些結果:
1. 明明可以不需要改造被集成系統的,偏偏處處受困於諸多被集成系統的改造。
這個是很多開源免費或者商用的單點登錄產品,在實施時最普遍遇到的情況。它們往往基於統一身份認證服務,采用OpenId,OAuth,SAML等技術創建和傳遞認證憑據,要求各個被集成應用按照相應接口開發。對於不同廠商在不同技術平臺、不同維護時間、不同業務場景下構造的多個系統,要求統一按照方案接口標準做改造,其難度可想而知。見過不止一家廠商,他們的業務系統在客戶那邊已經上線運行,客戶後來提出單點登錄的集成要求,於是為了快速完工,完全不遵循業界安全規範,采用最簡單暴力的方式進行集成,結果導致嚴重的安全漏洞。
其實,百分之九十以上的業務場景,我們都可以通過不止一種方式,在不改造現有系統的情況下,實現它對單點登錄的支持。下文會給出多個示例、github源碼,以及演示視頻。
2. 明明可以在移動端、桌面端實現跨平臺單點登錄的,偏偏依賴於特定終端,甚至特定瀏覽器。
有一家跨國公司,選型某知名軟件做單點登錄解決方案,它的優點是對被集成系統可以零改造,但只支持Windows終端,因為它有一個Windows程序要安裝到每個用戶機器上。我作為實施顧問參與時,發現其中絕大部分用戶常用的系統都是幾個Web系統,完全可以通過實施服務端零改造的SSO方案,避免向他們機器推送一個要按終端數購買授權的應用。這類應用不但授權費用高昂(每終端數千元),而且部署維護成本高、很多設備環境和個性化瀏覽器下會出兼容性問題。
3. 明明可以和統一身份認證(Identity Authentication)、統一身份管理(Identity Management)分開實施的,偏偏被“忽悠”買了數百萬的打包解決方案。
SSO和這兩者在應用場景和一些實施方案上有交集,使得很多實施顧問會利用這點,讓很多企業不明就裏的“明明只想剪個頭發,結果買了美容保養年卡,而且頭發還剪得不好”。
統一身份認證,往往和多個Web應用基於服務端做SSO的方案綁定銷售。對於有多個Web應用要做服務端SSO的,尤其是包含多個跨一級域名應用的,常常被推薦部署獨立的統一身份認證服務產品,然後讓各個應用針對它的接口做開發集成。讓各個Web或桌面、移動應用,集成、識別並認可其認證憑據,還要和該服務器安全交換用戶身份信息,是一個不小的挑戰。現有各個系統的服務商是否還會及時的配合開發本身已是一個大問題,即使他們配合,在一個環節出現問題就會是嚴重的安全漏洞。
統一身份管理主要是針對企業賬戶安全領域。它的主要作用,簡而言之就是在一個地方管理所有系統賬號的創建和終止,避免一個員工離職要到多個應用管理部門做賬號刪除,很容易出現漏刪賬號,導致企業信息安全問題。針對很多大型組織架構來講,它確實也非常必要,我個人實施顧問的很多企業確實也非常需要,後面我會撰文詳述這一塊的經驗心得。這方面現成產品有諸如Oracle的OIM,IBM的Tivoli IM,都是光買授權就動輒上百萬的產品(具體費用和用戶數、服務器等相關),它們的特點是針對很多大型應用諸如SAP、Lotus Notes等等都有現成的連接器來做賬號資源的推拉(Provision/Reconciliation)。但對於沒有現成連接器的產品,需要定制開發,這塊對於實施人員要求很高,而且後期的維護、新應用的集成基本都完全依賴第三方,成本高昂。
4. 明明可以精幹團隊一個月實施完的,偏偏勞師動眾多個供應商、多個部門折騰三四個月。
SSO實施和業務系統開發不同,它是技術點密集但工作量少的業務。如果你的開發人員還要為“如何跨域傳token”、“如何讀寫AD”之類現學摸索,那實施結果往往存在較大安全漏洞,也會導致工期不可預測。這一塊的很多現成產品都有特定的實施要求和局限性(本人曾填坑Oracle的OIM 和 ESSO),加之實施人員對產品熟悉程度不一,導致企業稍有自身特定的情況,就會要花費大量工時研究調整,甚至最終無法按需交付。
單點登錄SSO方案示例
先來幾組單點登錄方案演示吧,本系列後繼文章會深入它們的具體實現方式以及適用場景。
演示一:零改造單點登錄CSDN、百度
演示二: 單點註銷
演示三:集成AD認證
演示四:客戶端單點登錄QQ、VPN
演示五:移動端單點登錄
原文地址:http://www.cnblogs.com/baibaomen/p/sso.html 。轉載須保留本鏈接。
本系列各篇鏈接:
單點登錄-SSO:概述與示例 http://www.cnblogs.com/baibaomen/p/sso.html
單點登錄-SSO:圖示和講解 http://www.cnblogs.com/baibaomen/p/sso-sequence-chart.html
單點登錄-SSO:一鍵運行的完整代碼 http://www.cnblogs.com/baibaomen/p/sso-full-code.html
本作品采用知識共享署名-非商業性使用-相同方式共享 2.5 中國大陸許可協議進行許可。
我的博客歡迎復制共享,但在同時,請保留原文地址以及我的署名權百寶門-SSO顧問,並且,不得用於商業用途。
如您有任何疑問或者授權方面的協商,請給我郵件。
博客園專欄:
百寶門-SSO顧問
單點登錄SSO:概述與示例