Suomi
  • palveluntarjoaja
  • sso
  • b2b
  • identiteetti
  • autentikointi
  • todennus
  • kertakirjautuminen

Opi SP-aloitteisesta SSO:sta B2B-sovelluksille

Lue, mitä palveluntarjoaja-aloitteinen (SP-aloitteinen) kertakirjautuminen (SSO) on ja miten se voi auttaa yritysten välisiä (B2B) tuotteitasi.

Ran
Ran
Product & Design

Identiteettimallien osalta B2B-tuotteet ovat omassa sarjassaan. Niiden on navigoitava moniasiakkuuden monimutkaisuudessa samalla, kun heidän on täytettävä yritysasiakkaiden vaateet yhtenäisestä työntekijöiden identiteetti- ja käyttöoikeushallinnasta monien palveluiden ja sovellusten välillä. Logto on myös kohdannut nämä asiakkaiden vaatimukset. Tässä artikkelissa tarkastelemme tuotepainotteisella lähestymistavalla SP-aloitteista SSO:ta ja kuinka se vastaa asiakkaidesi tarpeisiin.

Konsepti

Aloitetaan esittelemällä joitakin keskeisiä elementtejä, jotka sinun on ymmärrettävä:

  • Palveluntarjoaja (SP): Sovelluksesi tai palvelusi, jotka voivat olla yksi tai useampi sovellus, jotka jakavat yhden identiteettijärjestelmän.
  • Yritysidentiteetin tarjoaja (IdP): Identiteetin tarjoaja, johon yritysasiakkaasi luottavat hallitessaan työntekijöiden identiteettejä ja sovellusten käyttöoikeuksia. He saattavat käyttää eri tarjoajia, kuten Okta, Azure AD, Google Workspace tai jopa omia rakennettuja IdP:itä.
  • Palveluntarjoajan organisaatio (SP Org): B2B-sovellukset tukevat usein moniasiakkuutta eri asiakasorganisaatioille.
  • Identiteetin tarjoajan organisaatio (IdP Org): IdP:t tukevat myös moniasiakkuutta eri asiakasorganisaatioille. Ihanteellisesti yksi yritys voi liittää IdP Org:nsä SP Org:iin, jolloin työntekijöiden identiteetit replikoidaan, mutta todellisuus voi olla monimutkaisempi.
  • Yrityskäyttäjätili: Tyypillisesti tunnistetaan yrityksen sähköpostidomainin käytöstä kirjautumiseen. Tämä yrityksen sähköpostitili kuuluu lopulta yritykselle.

Sukella sitten SSO:hon ja kahteen keskeiseen protokollaan:

  • Kertakirjautuminen (SSO): SSO:n avulla käyttäjät voivat käyttää useita palveluita tai sovelluksia yhdellä käyttäjätunnuksella. Se yksinkertaistaa käyttöoikeuksien hallintaa ja parantaa turvallisuutta.
  • SAML- ja OIDC-protokollat: SSO tukeutuu näihin protokolliin todennuksessa ja valtuutuksessa, ja jokaisella on omat etunsa ja haittansa.

On kaksi pääasiallista SSO:n käynnistysmekanismia, jotka on huomioitava:

  • IdP-aloitteinen SSO: IdP-aloitteisessa SSO:ssa identiteetin tarjoaja (IdP) hallitsee ensisijaisesti kertakirjautumisprosessia. Käyttäjät aloittavat todennuksen IdP:n käyttöliittymästä.
  • SP-aloitteinen SSO: SP-aloitteisessa SSO:ssa palveluntarjoaja (SP) ottaa johtoaseman kertakirjautumisprosessin aloittamisessa ja hallinnassa, ja se on usein suosittu B2B-skenaarioissa.

Nyt tarkastellaan SP-aloitteista SSO:ta yksityiskohtaisesti.

Pintataso: käyttäjäkokemus

Toisin kuin B2C-tuotteet, jotka voivat tarjota muutaman kiinteän sosiaalisen IdP-kirjautumispainikkeen, B2B-tuotteet eivät voi sanella, mitä erityistä yritys-IdP:tä kukin asiakas käyttää. Siksi käyttäjien on ensin ilmoitettava henkilöllisyytensä. Vahvistettuaan, että he ovat yrityksen, joka on ottanut käyttöön SSO:n, jäsen, heidät ohjataan heidän omaan yritys-IdP:insä kirjautumista varten.

Tämän saavuttamiseksi sinun on kirjautumissivulla määritettävä, tarvitseeko käyttäjän kirjautua sisään SSO:n kautta ja mihin IdP:hen heidät pitäisi ohjata. Yleiset menetelmät ovat:

  1. Sähköpostidomainin yhteenveto: Yhdistä sähköpostidomain tiettyyn IdP-liitäntään. Tämä vaikuttaa käyttäjiin, joilla on kyseisen domainin alla olevat sähköpostiosoitteet. Varmista domainin omistajuuden vahvistaminen estääksesi haitalliset kokoonpanot.
  2. Organisaation nimen yhteenveto: Yhdistä organisaation nimi IdP-liitäntään, luottaen käyttäjiin, että he muistavat organisaationsa nimen.
  3. Käyttäjän henkilökohtaisen sähköpostin yhteenveto: Tämä antaa sinun suoraan määrittää, onko käyttäjätili otettu käyttöön SSO:lle, ilman sähköpostidomainien tai organisaationimien varassa olemista. Voit saavuttaa tämän kutsumalla käyttäjiä manuaalisesti, mukauttamalla vaadittavaan SSO:hon liittyvät säännöt tai synkronoimalla heidän tilinsä automaattisesti hakemistojen synkronoinnin kautta.

Kirjautumissivun suunnittelussa on tavallisesti kaksi muotoa, jotka voidaan valita tuotteen liiketoiminnan perusteella:

  1. B2B-tuotteet: Suosittele suoran SSO-painikkeiden näyttämistä, jotta se olisi intuitiivinen yritysasiakkaiden jäsenille, jotka tarvitsevat käyttää SSO:ta.
  2. B2C- ja B2B-yhteensopivat tuotteet: Koska useimmat käyttäjät eivät käytä SSO:ta, arvioi sähköpostidomaineja määrittääksesi, onko SSO tarpeen. Voit viivyttää pätevyyden todentamisen esittämistä, piilottamalla sen aluksi ja paljastamalla sen, kun käyttäjän identiteetti on vahvistettu.

Taustalla oleva monimutkaisuus: käyttäjäidentiteettimalli

Kuitenkin SSO:n integroiminen identiteettijärjestelmääsi on paljon monimutkaisempaa kuin vain SSO-painikkeen lisääminen kirjautumissivulle. Sinun on pohdittava paljon enemmän tekijöitä.

Keskeisten elementtien suhteet ovat harvoin yksiselitteisiä; sinun on otettava huomioon yksi-moneen ja jopa moni-moneen skenaariot. Näiden vaihteluiden tutkimiseksi vähitellen:

  • Yksi IdP Org useilla sähköpostidomaineilla: Jos luotat sähköpostidomaineihin määrittääksesi käyttäjäidentiteetin, sinun on tuettava useita domainin yhdistelmiä.
  • Yksi sähköpostidomain useille IdP Org:ille: Jos domain voisi kuulua useille IdP Org:ille, käyttäjien on valittava IdP, jota he haluavat käyttää kertakirjautumiseen.
  • Yksi IdP Org yhdistettynä useisiin SP Org:iin: Harkitse tarjoavasi nopean kyvyn yhdistää yksi IdP useisiin SP Org:ei.
  • Yksi käyttäjätili useilla IdP Org:illa ja SP Org:illa: Eri SP Org:it saattavat vaatia vahvistusta eri IdP:ien kautta.

SSO:n ottaminen käyttöön tai poistaminen käytöstä yrityksessä voi muuttaa käyttäjien tapaa todentaa, mikä vaatii turvallisen ja sujuvan siirtymän.

  • Päätöksenteko SSO-aktivoinnille: On tehtävä päätöksiä siitä, vaikuttaako SSO vain tiettyihin käyttäjäorganisaatioihin tai kaikkiin käyttäjäorganisaatioihin. Edellinen tarjoaa joustavuutta, kun taas jälkimmäinen noudattaa yrityksen laajuisen identiteetti- ja käyttöoikeuksien hallinnan trendiä.
  • Siirtymäajan huomioonotot: Palveluntarjoajana sinun on otettava huomioon kolmannen osapuolen IdP-palvelun epävarmuudet. Yrityksen ylläpitäjien on aina päästävä sovellukseen SSO:lla tai tunnuksilla vaihtoehtona, ja yrityksen jäsenten saattaa tarvita niitä siirtymäaikana.

Nämä ovat vain joitakin kohtia erilaisten skenaarioiden käsittelemiseen; monia muita kykyjä ja yksityiskohtia voidaan tutkia.

Yhteenveto

Toivomme, että tämä analyysi SP-aloitteisesta SSO:sta tarjoaa sinulle uusia näkemyksiä yritysidentiteettiratkaisuista. Hyvä uutinen on, että Logto kehittää huolellisesti ratkaisuja, jotka tarjoavat yksinkertaista konfigurointia ja käyttövalmiita SSO-autentikointikokemuksia. Seuraa tulevaa julkaisua, jossa sukellamme syvemmin erityisiin SP-aloitteisiin SSO-ratkaisuihin.

Kehitä todennusjärjestelmäsi Logto:lla