什么是SSO
單個登錄 single sign-on,指在多個系統(tǒng)并存的環(huán)境下崔步,用戶只需要登錄一次就可以訪問所有系統(tǒng)铺呵。
以此簡化登錄過程,提升用戶體驗派撕,降低IT管理員大量到賬號婉弹、密碼維護成本。
同時也產(chǎn)生了安全風(fēng)險终吼,某一系統(tǒng)用戶身份被攻破镀赌,在sso集成中的其他系統(tǒng)也逗被攻破了。
SSO集成常見問題
- 集成中的舊系統(tǒng)無人維護
- 組織人員信息不同意际跪,登錄名不一致
- 各系統(tǒng)域名沒有統(tǒng)一規(guī)劃商佛,不在同一域名下
什么是同域名下
如百度地圖 map.baidu.com、百度文庫 wenku.baidu.com 都處于baidu.com域下姆打,屬于同一域名下良姆,與taobao.com屬于不同域名。
不同域名給SSO帶來什么影響
SSO需要再各個系統(tǒng)傳遞用戶登錄的身份信息幔戏,例如通過Cookie傳遞玛追,但是不同域之間的Cookie無法傳遞。
SSO集成難度最小的
1.同一個用戶在不同系統(tǒng)只有一個共同登錄名和密碼
2.各應(yīng)用系統(tǒng)共享一套用戶名信息和密碼
3.各應(yīng)用系統(tǒng)采用相同的技術(shù)架構(gòu)并且在同一域名下
SSO集成難度最大的
1.同一個用戶在不同系統(tǒng)有不同登錄名和密碼
2.各應(yīng)用系統(tǒng)各自存儲了獨立的登錄名和密碼
3.各應(yīng)用系統(tǒng)采用不同技術(shù)架構(gòu)闲延,不在同一域名痊剖,或者只有IP沒有域名
SSO集成環(huán)境調(diào)研
1.集成應(yīng)用數(shù)理
2.應(yīng)用部署系統(tǒng)環(huán)境
3.應(yīng)用之間是否在同一域名下
4.各個系統(tǒng)賬號是否統(tǒng)一
5.是否有C/S應(yīng)用參與SSO
6.應(yīng)用系統(tǒng)是否可以進行改造和配置
7.是否需要集中登錄
8.是否需要保留本系統(tǒng)登錄驗證
9.是否有domino應(yīng)用系統(tǒng)參與
當(dāng)前兩種主流的單點登錄模式
- 集成驗證模式
登錄頁面和登錄驗證由驗證服務(wù)器統(tǒng)一完成,不需要應(yīng)用系統(tǒng)提供垒玲,如cas登錄驗證
優(yōu)點:
適合的場景眾多陆馁,使用統(tǒng)一的用戶名和密碼,無需記住多套登錄名和密碼合愈,用戶體驗好
缺點:
驗證服務(wù)獨立在外叮贩,如果宕機击狮,其他系統(tǒng)都無法正常登錄。需要保證服務(wù)器穩(wěn)定性 - 多點驗證模式
應(yīng)用系統(tǒng)各自提供登錄頁面妇汗,登錄其中一個系統(tǒng)后帘不,其他系統(tǒng)無需在登錄,如IBM提供的LTPAtoken驗證
優(yōu)點:
所有登錄操作都在應(yīng)用系統(tǒng)完成杨箭,任何一套系統(tǒng)宕機都不會對其他系統(tǒng)產(chǎn)生影響
缺點
一般需要使用LDAP身份驗證,存在一定的技術(shù)條件储狭,使用場景少
