有问必答001期
企业中一般会存在多个系统,假设用户进入每个系统前都需要输入账号/密码登录,在系统个数少的情况下,每次输入账号/密码还能接受;如果系统个数较多,则无法保障用户登录过程中的使用体验。单点登录则很好地解决了此问题。
什么是单点登录?
单点登录,英文全称Single Sign On。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,使用户无需记忆多个密码口令和访问地址。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。
常用的单点登录实现方式有哪些?
在企业信息化建设过程中,大量内部业务系统如:ERP、EHR、OA、CRM都可以通过单点登录集成的方式实现多系统“一次登录、访问全部”。在企业应用系统单点登录集成的实践中,常用的单点登录集成协议有:
OAuth2.0:一种关于授权的开放标准协议,为用户资源的授权提供了一个安全的、开放而又简易的标准。OAuth不会使第三方触及到用户的帐号信息,即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权。
SAML:全性断言标记语言(Secure Assertion Markup Language),是一个基于XML的开源标准数据格式,它在当事方之间交换身份验证和授权数据,尤其是在身份提供者和服务提供者之间交换。SAML解决的最重要的需求是网页浏览器单点登录。
LTPA:Lightweight third party authentication,轻量级第三方认证,支持在一个因特网域中的一组 Web 服务器之间使用单一登录的认证框架。
OpenID:OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散性。OpenID 的创建基于这样一个概念:我们可以通过 URI (又叫 URL 或网站地址)来认证一个网站的唯一身份,同理,我们也可以通过这种方式来作为用户的身份认证。
FormBase:表单代填方式集成,应用系统不需要做集成开发工作,通过统一身份认证系统的集成,将用户的帐号、密码自动提交到应用系统中,完成系统的自动登录。
CAS:Central Authentication Service的缩写,中央认证服务,一种独立开放指令协议。CAS 是 Yale 大学发起的一个开源项目,旨在为Web 应用系统提供一种可靠的单点登录方法。
单点登录协议该如何选择?
在企业应用单点登录集成的实践中,OAuth2.0应用的更为广泛。基于OAuth协议的单点登录方案,登录过程中不含有任何敏感信息的传递,不但保证了系统认证和授权的安全性,而且不会给系统带来过多的定制内容,更加轻便,易于扩展。
派拉单点登录平台可在各类场景下实现与认证中心的无缝集成,支持OAuth、SAML、LTPA、FormBase、CAS、OpenID等业界标准的协议集成,并提供SDK集成套件,助力企业快速实现各类外采和自研系统的打通集成,为企业建立便于拓展的单点登录集成标准!
