• sso
  • empresa
  • identidad
  • iniciar-sesion

El arte del inicio de sesión único

El inicio de sesión único (SSO) es un método de autenticación que permite a un usuario acceder a múltiples aplicaciones o servicios con un solo conjunto de credenciales de inicio de sesión. Este artículo explicará qué es el SSO, cómo funciona y por qué es importante para las empresas.

Simeng
Simeng
Developer

在我们快节奏的科技时代,我们每天都被无数应用程序包围。在多个平台上管理不同身份是一个常见的难题。无论是在工作还是个人账户上,数不清的用户名和密码都会让人不堪重负。因此,单点登录 (SSO) 解决方案应运而生,大大简化了我们的数字体验。

什么是单点登录?

从本质上讲,SSO 是一种允许用户使用一组登录凭证访问多个应用程序或服务的身份验证方法。SSO 可以让用户只需登录一次,就可以无缝访问所有已连接的系统,而不必为每个应用程序记住和输入不同的用户名和密码。

想象一下这样一种世界,你不再需要为你的电子邮件、项目管理工具和协作平台处理繁杂的登录信息。这就是 SSO 的承诺。

单点登录如何工作?

SSO 通过在中心身份提供者 (IdP) 和各种服务提供商 (SP) 之间建立信任关系来工作。IdP 是用户身份验证的权威来源,通过一次性登录过程验证用户身份。验证后,IdP 生成允许用户访问已连接 SP 的令牌或凭证,而无需额外的登录。

让我们更仔细地看看两个不同的 SSO 模型。

集中式身份和访问管理 (IAM) 系统

在这种模型中,SSO 就像一个数字中心内的主钥匙。IdP 就是授予访问所有已连接产品的主钥匙。IdP 负责验证用户身份并向他们提供访问相应资源的权限。用户只需验证一次身份,便可获得对所有已连接资源的通用访问权限,而无需再次登录。

例如,你有一家使用集中式 IAM 系统(例如 Logto)的 SaaS 公司 Alpha。该公司开发了多个产品:

  • A: 内部管理服务
  • B: 客户产品服务
  • C: 管理员的 Web 应用程序
  • D: 客户的本地应用程序

每个产品都作为一个 SP,而集中式 IAM 系统作为 IdP。用户身份存储在 IdP 中,用户可以通过单点登录访问所有产品。

这是 Alpha 公司中员工使用 SSO 的典型工作日:

  1. 用户在 Web 应用程序 C 中启动访问管理员管理功能的请求。
  2. Web 应用程序 C 将用户重定向到认证服务进行用户身份验证。
  3. 认证服务通过与用户身份数据库交互来验证用户凭证。
  4. 用户身份数据库将用户身份信息返回给认证服务。
  5. 认证服务完成认证过程,并将结果返回给 Web 应用程序 C。
  6. 已认证的用户上下文使 Web 应用程序 C 能够代表用户向服务 A 发送授权请求以进行管理功能。
  7. 用户做出更改后,请求访问本地应用程序 D 以验证修改。
  8. 本地应用程序 D 从认证服务获取认证。
  9. 认证服务自动同意本地应用程序 D 的认证请求。
  10. 经过认证的本地应用程序 D 代表用户向服务 B 发送授权请求。

在不同系统之间桥接身份:SP 和 IdP

在更为复杂的情况下,各种服务和应用程序维护各自独立的身份系统。这时,SSO 充当了 SP 和 IdP 之间的中介。用户在 IdP 上认证后,可以畅游数字世界,并获得 SP 的访问权限,而无需额外创建新身份。

现在,让我们放宽视野,想象一家全球零售公司 Bravo,拥有庞大的员工队伍。该公司最近与你的公司 Alpha 建立了合作关系。为了使 Bravo 的员工能够访问 Alpha 的产品,顺畅的认证过程至关重要。

想象一下,Bravo 已配备自己的 IAM 系统 (IdP),Bravo 员工尝试访问由 Alpha 的 IAM 系统 (SP) 管理的 Alpha 产品。

  1. Bravo 员工启动对 Alpha 客户端应用程序 B 的访问请求。
  2. Alpha 客户端应用程序 B 将用户重定向到 Alpha 的 IAM 系统进行用户认证。
  3. Bravo 员工尝试使用 Bravo 用户身份进行 SSO 认证。Alpha 的 IAM 系统将用户重定向到 Bravo 的 IAM 系统进行用户身份验证。
  4. Bravo 的 IAM 系统通过与用户身份数据库交互来验证用户凭证。
  5. Bravo 用户身份数据库将用户身份信息返回到 Bravo 的 IAM 系统。
  6. Bravo 的 IAM 系统将用户重定向回 Alpha 的 IAM 系统,并携带已认证的 Bravo 用户身份上下文。
  7. Alpha 的 IAM 系统通过与其自己的用户身份数据库交互来创建或验证 Bravo 用户身份。
  8. Alpha 用户身份数据库将用户身份信息返回给 Alpha 的 IAM 系统。
  9. Alpha 的 IAM 系统完成认证过程,并将结果返回给 Alpha 的客户端应用程序 B。
  10. 认证完成的用户上下文,使 Alpha 客户端应用程序 B 能够代表用户向 Alpha 产品服务 A 发出授权请求。

而不是为 Bravo 员工创建一个全新的孤立身份,Alpha 的 IAM 系统委托认证过程给 Bravo 的 IAM 系统。一旦 Bravo 的 IAM 系统验证了员工身份,Alpha 的 IAM 系统便建立了信任,允许 Bravo 员工顺利访问 Alpha 的产品。

想象一下 Bravo 员工每天多次重复相同的流程。除了访问 Alpha 的产品外,Bravo 员工还需要访问其他第三方 SaaS 产品,例如 Slack、Zoom 和 Notion —— 你可能已经使用过这些产品。通过一次 SSO 认证,Bravo 员工可以无缝访问所有产品,而不需要额外的认证过程。

这就是 SSO 在促进安全高效的跨系统认证中的真正力量,确保用户在复杂的商业合作中获得流畅的体验。

单点登录的好处

通过上述场景,我们可以看到 SSO 为用户和企业带来了广泛的好处。

  1. 节省时间并提高生产力

    通过 SSO,用户可以一次登录并在多个应用程序之间导航,消除了重复登录的需求。这不仅节省了时间,还通过减少身份认证障碍,提高了整体生产力。

  2. 提升安全性

    通过一个强大的身份提供者集中认证,SSO 可以通过增加额外的保护层来增强安全性。用户可以受益于 IDP 提供的更强大的认证协议,例如多因素认证 (MFA)。

  3. 全球化的用户管理

    对于组织而言,SSO 通过集中用户访问控制大大简化了用户管理。管理员可以通过中心身份提供者高效地在多个平台和第三方产品上添加或撤销访问权限。

结论

随着数字版图的不断扩展,SSO 变得越来越重要,帮助企业优化用户访问并提升安全性。通过 SSO,用户可以享受跨多个应用程序的无缝体验,而企业则可以从集中用户管理和增强的安全性中受益。如果你仔细观察,你会发现 SSO 无处不在。从社交媒体平台到企业应用程序,SSO 是畅通和安全用户体验的关键。它连接了数字世界。