单点登录(Single Sign On),简称为
SSO,是比较流行的企业
业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
很早期的公司,一家公司可能只有一个Server,慢慢地Server开始变多了。每个Server都要进行注册登录,退出的时候又要一个个退出,这样的
用户体验很不好。可以想象一下,上
豆瓣 要登录
豆瓣FM、
豆瓣读书、
豆瓣电影、豆瓣日记......真的会让人崩溃。更好的登录体验是:一家企业下的服务只要一次注册,登录的时候只要一次登录,退出的时候只要一次退出。
一次注册。 一次注册不难,想一下是不是只要Server之间同步用户信息就行了?可以,但这样描述不太完整,后续讲用户注册的时候详细说。实际上用户信息的管理才是
SSO真正的难点,只是作为初学者,难点在于实现SSO的技术。
一次登录与一次退出。 回头看看普通商场的故事,什么东西才是保持登录状态关键的东西?
记录器(session)?那种叫作cookie的纸张?写在纸张上的ID? 是session里面记录的信息跟那个ID,cookie不只是记录ID的工具而已。客户端持有ID,
服务端持有session,两者一起用来保持登录状态。客户端需要用ID来作为凭证,而服务端需要用session来验证ID的
有效性(ID可能过期、可能根本就是伪造的找不到对应的信息、ID下对应的客户端还没有进行登录验证等)。但是session这东西一开始是每个
server自己独有的,豆瓣FM有自己的session、豆瓣读书有自己的session,而记录ID的cookie又是不能跨域的。所以,要实现一次登录一次退出,只需要想办法让各个server的共用一个session的信息,让客户端在各个域名下都能持有这个ID就好了。再进一步讲,只要各个server拿到同一个ID,都能有办法检验出ID的有效性、并且能得到ID对应的用户信息就行了,也就是能检验ID。
通常情况下运维
内控审计系统、
4A系统都包含此项功能,目的是简化账号登录过程并保护账号和
密码安全,对账号进行
统一管理。
企业应用集成(
EAI, Enterprise Application Integration)。企业应用集成可以在不同层面上进行:例如在
数据存储层面上的“数据大集中”,在传输层面上的“通用
数据交换平台”,在应用层面上的“
业务流程整合”,和
用户界面上的“通用
企业门户”等等。事实上,还有一个层面上的集成变得越来越重要,那就是“
身份认证”的整合,也就是“单点登录”。
在信息
安全管理中,
访问控制(Access Controls)环绕四个过程:Identification;Authentication;
Authorization;Accountability。单点登录(Single Sign On)属于Authentication
认证系统,除单点登录外还包括:Lightweight Directory Access Protocol 和 Authorization ticket。(Michael E. Whitman (2011) Management Of Information Security Kennesaw University)。
当用户第一次访问应用系统的时候,因为还没有登录,会被引导到
认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候,就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行校验,检查ticket的合法性。如果通过校验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
SSO 为开发人员提供了一个通用的
身份验证框架。实际上,如果 SSO 机制是独立的,那么开发人员就完全不需要为身份验证操心。他们可以假设,只要对
应用程序的请求附带一个
用户名,身份验证就已经完成了。
如果应用程序加入了单点登录协议,管理用户账号的负担就会减轻。简化的程度取决于应用程序,因为 SSO 只处理身份验证。所以,应用程序可能仍然需要设置用户的属性(比如
访问特权)。
因为只需要登录一次,所有的授权的应用系统都可以访问,可能导致一些很重要的
信息泄露。