手把手教做单点登录(SSO)系列之一:概述与示例

Posted 百宝门

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了手把手教做单点登录(SSO)系列之一:概述与示例相关的知识,希望对你有一定的参考价值。


本系列将由浅入深的结合示例、源码以及演示视频,手把手的带大家深入最新的单点登录SSO方案选型与架构开发实战。文末附5个满足不同单点登录场景的gif动画演示(如果看不清请在图片上右键用新窗口打开),本系列后继文章会深入它们的实现方式以及适用场景,大家也可以先观看揣摩其实现。

 

单点登录即Single Sign On(SSO)。它是大型政府OA、企事业单位OA的标配解决方案。它概言之就是在多个Web、桌面或移动应用系统中,用户只需要登录一次,就可以访问所有的应用系统。

 

从业十多年,为政府、电信、跨国公司顾问和实施的单点登录解决方案无数,深谙其痛点与关键。

 

大部分企业,尤其是被一些软件产品的销售人员牵着走的企业,它的单点登录方案实施,从产品方案选型起就存在根本性问题。这些方案常常要求大量现有业务系统的改造(基于统一身份认证服务,采用OpenId,OAuth,SAML等技术创建和传递认证凭据),或者只是体验较差的类似浏览器自动填充账号密码的功能(如Oracle的ESSO)。它们要么改动面大、周期长,要么服务端和客户端局限性多,用户体验也达不到最佳。

 

事实上,单点登录的实施环境与需求千差万别:有纯Web的(常见又分跨域不跨域的),有桌面应用的,有移动平台的,有要结合Windows登录凭据的,有整合了标准方案的,有不能改动现存系统的,等等等等。最适合企业的方案,一定是需要结合企业应用种类、各系统供应商状况、终端要求、后期扩展性需求、实施成本工期来具体确定的。很多单点登录解决方案的实施,由于顾问的经验、视野或产品倾向性原因,往往导致了这些结果:

 

1. 明明可以不需要改造被集成系统的,偏偏处处受困于诸多被集成系统的改造。

这个是很多开源免费或者商用的单点登录产品,在实施时最普遍遇到的情况。它们往往基于统一身份认证服务,采用OpenId,OAuth,SAML等技术创建和传递认证凭据,要求各个被集成应用按照相应接口开发。对于不同厂商在不同技术平台、不同维护时间、不同业务场景下构造的多个系统,要求统一按照方案接口标准做改造,其难度可想而知。见过不止一家厂商,他们的业务系统在客户那边已经上线运行,客户后来提出单点登录的集成要求,于是为了快速完工,完全不遵循业界安全规范,采用最简单暴力的方式进行集成,结果导致严重的安全漏洞。

其实,百分之九十以上的业务场景,我们都可以通过不止一种方式,在不改造现有系统的情况下,实现它对单点登录的支持。下文会给出多个示例、github源码,以及演示视频。

 

 2. 明明可以在移动端、桌面端实现跨平台单点登录的,偏偏依赖于特定终端,甚至特定浏览器。

有一家跨国公司,选型Oracle ESSO做单点登录解决方案,它的优点是对被集成系统可以零改造,但客户端只支持Windows终端,因为它有一个Windows程序要安装到每个用户机器上。我作为实施顾问参与时,发现其中绝大部分用户常用的系统都是几个Web系统,完全可以通过实施服务端零改造的SSO方案,避免向他们机器推送一个要按终端数购买授权的应用。这类应用不但授权费用高昂(每终端数千元),而且部署维护成本高、很多设备环境和个性化浏览器下会出兼容性问题。

 

3. 明明可以和统一身份认证(Identity Authentication)、统一身份管理(Identity Management)分开实施的,偏偏被“忽悠”买了数百万的打包解决方案。

SSO和这两者在应用场景和一些实施方案上有交集,使得很多实施顾问会利用这点,让很多企业不明就里的“明明只想剪个头发,结果买了美容保养年卡,而且头发还剪得不好”。

统一身份认证往往和多个Web应用基于服务端做SSO的方案绑定销售。对于有多个Web应用要做服务端SSO的,尤其是包含多个跨一级域名应用的,常常被推荐部署独立的统一身份认证服务产品,然后让各个应用针对它的接口做开发集成。

统一身份管理主要是针对企业账户安全领域。它的主要作用,简而言之就是在一个地方管理所有系统账号的创建和终止,避免一个员工离职要到多个应用管理部门做账号删除,很容易出现漏删账号,导致企业信息安全问题。这方面现成产品有诸如Oracle的OIM,IBM的Tivoli IM,都是光买授权就动辄上百万的产品。

 

4. 明明可以精干团队一个月实施完的,偏偏劳师动众多个部门折腾上三四个月。

 SSO实施和业务系统开发不同,它是技术点密集但工作量少的业务。如果你的开发人员还要为“如何跨域传token”、“如何读写AD”之类现学摸索,那实施结果往往存在较大安全漏洞,也会导致工期不可预测。这一块的很多现成产品都有特定的实施要求和局限性(本人曾填坑Oracle的OIM 和 ESSO),加之实施人员对产品熟悉程度不一,导致企业稍有自身特定的情况,就会要花费大量工时研究调整,甚至最终无法按需交付。

 

先来几组单点登录方案演示吧,本系列后继文章会深入它们的具体实现方式以及适用场景。 

 

 演示一:零改造实施CSDN、百度单点登录

手把手教做单点登录(SSO)系列之一:概述与示例



演示二: 任意入口登录、注销,均同步在所有站点登录、注销

手把手教做单点登录(SSO)系列之一:概述与示例



演示三:集成AD认证

手把手教做单点登录(SSO)系列之一:概述与示例



演示四:QQ、VPN客户端及Web站点统一单点登录



演示五:跨平台示例,移动端单点登录




以上是关于手把手教做单点登录(SSO)系列之一:概述与示例的主要内容,如果未能解决你的问题,请参考以下文章

最准确的单点登录SSO图示和讲解(有代码范例)|手把手教做单点登录(SSO)系列之二

最准确的单点登录SSO图示和讲解(有代码范例)|手把手教做单点登录(SSO)系列之二

单点登录-图示和讲解

手把手教你用代码实现SSO单点登录

单点登录SSO:概述与示例

PHP实现的SSO单点登录系统接入功能示例分析