Polski
  • dostawca usług
  • sso
  • b2b
  • tożsamość
  • uwierzytelnianie
  • autoryzacja
  • pojedyncze logowanie

Dowiedz się więcej o SSO inicjowanym przez SP dla aplikacji B2B

Dowiedz się, czym jest pojedyncze logowanie inicjowane przez dostawcę usług (SP-initiated SSO) i jak może pomóc w Twoim produkcie biznesowym do biznesu (B2B).

Ran
Ran
Product & Design

Jeśli chodzi o modele tożsamości, produkty B2B są w swojej własnej lidze. Muszą nawigować po złożonościach obsługi wielu najemców (multi-tenancy), jednocześnie spełniając potrzeby klientów korporacyjnych na zintegrowane zarządzanie tożsamością pracowników oraz dostępem do szerokiej gamy usług i aplikacji. Logto również napotkał te żądania ze strony klientów. W tym artykule przyjmiemy podejście zorientowane na produkt, aby zrozumieć, czym jest SSO inicjowane przez SP i jak odpowiada ono na potrzeby Twoich klientów.

Koncepcja

Zaczniemy od wprowadzenia kilku kluczowych elementów, które musisz zrozumieć:

  • Dostawca usług (SP): Twoje aplikacje lub usługi, które mogą być jedną lub wieloma aplikacjami dzielącymi jeden system tożsamości.
  • Tożsamościowy dostawca usług (IdP): Dostawca tożsamości, na którym polegają Twoi klienci korporacyjni, aby zarządzać tożsamościami pracowników i uprawnieniami do aplikacji. Mogą używać różnych dostawców, takich jak Okta, Azure AD, Google Workspace lub nawet dostawców zbudowanych na zamówienie.
  • Organizacja dostawcy usług (SP Org): Aplikacje B2B często wspierają wielonajemczy (multi-tenancy) dla różnych organizacji-klientów.
  • Organizacja dostawcy tożsamości (IdP Org): IdP również wspierają wielonajemczy dla różnych organizacji-klientów. Idealnie, jedna firma powinna być w stanie połączyć swoją organizację IdP z organizacją SP, replikując tożsamości pracowników, ale rzeczywistość może być bardziej skomplikowana.
  • Konto użytkownika korporacyjnego: Zazwyczaj identyfikowane poprzez użycie firmowej domeny e-mail do logowania. To korporacyjne konto e-mail ostatecznie należy do firmy.

Następnie zanurzmy się w SSO i dwa kluczowe protokoły:

  • Pojedyncze logowanie (SSO): SSO pozwala użytkownikom na dostęp do wielu usług lub aplikacji za pomocą jednego zestawu poświadczeń. Upraszcza zarządzanie dostępem i zwiększa bezpieczeństwo.
  • Protokoły SAML i OIDC: SSO opiera się na tych protokołach w celu uwierzytelniania i autoryzacji, z których każdy ma swoje zalety i wady.

Istnieją dwa główne mechanizmy wyzwalania SSO, które należy rozważyć:

  • SSO inicjowane przez IdP: W SSO inicjowanym przez IdP, Dostawca Tożsamości (IdP) głównie kontroluje proces pojedynczego logowania. Użytkownicy rozpoczynają uwierzytelnianie z interfejsu IdP.
  • SSO inicjowane przez SP: W SSO inicjowanym przez SP, Dostawca Usług (SP) przejmuje inicjatywę w rozpoczynaniu i zarządzaniu procesem pojedynczego logowania, często preferowane w scenariuszach B2B.

Teraz przyjrzyjmy się szczegółowo SSO inicjowanemu przez SP.

Powierzchniowy poziom: doświadczenie użytkownika

W przeciwieństwie do produktów B2C, które mogą oferować kilka stałych przycisków logowania z tożsamościowymi dostawcami usług społecznościowych, produkty B2B nie mogą narzucać, którego konkretnego Korporacyjnego IdP używa każdy klient. Dlatego użytkownicy muszą najpierw zadeklarować swoją tożsamość. Po potwierdzeniu, że są członkami firmy obsługiwanej przez SSO, są przekierowywani do odpowiedniego Korporacyjnego IdP w celu zalogowania się.

Aby to osiągnąć, musisz na stronie logowania określić, czy użytkownik musi zalogować się przez SSO i do którego IdP należy go przekierować. Powszechnie stosowane metody obejmują:

  1. Mapowanie domeny e-mail: Powiąż domenę e-mail ze specyficznym łącznikiem IdP. Dotyczy to użytkowników z adresami e-mail pod tą domeną. Upewnij się, że własność domeny jest zweryfikowana, aby zapobiec złośliwej konfiguracji.
  2. Mapowanie nazwy organizacji: Powiąż nazwę organizacji z łącznikiem IdP, opierając się na użytkownikach pamiętających nazwę swojej organizacji.
  3. Mapowanie osobistego e-maila użytkownika: To pozwala bezpośrednio określić, czy konto użytkownika jest włączone do SSO, bez polegania na domenach e-mailowych lub nazwach organizacji. Możesz to osiągnąć, zapraszając użytkowników ręcznie, dostosowując zasady wymaganych SSO lub automatycznie synchronizując ich konta poprzez synchronizację katalogu.

W projektowaniu strony logowania istnieją zazwyczaj dwie formy, które można wybrać w zależności od działalności Twojego produktu:

  1. Produkty B2B: Zaleca się bezpośrednie wyświetlanie przycisków SSO, aby była intuicyjna dla członków organizacji Twojego klienta, którzy potrzebują korzystać z SSO.
  2. Produkty zgodne z B2C i B2B: Ponieważ większość użytkowników nie będzie korzystała z SSO, oceń domeny e-mail, aby określić, czy wymagane jest SSO. Możesz opóźnić prezentację weryfikacji poświadczeń, ukrywając ją początkowo i ujawniając, gdy tożsamość użytkownika zostanie potwierdzona.

Ukryta złożoność: model tożsamości użytkownika

Jednak integracja SSO z Twoim systemem tożsamości wymaga znacznie większej złożoności niż tylko dodanie przycisku SSO do strony logowania. Należy wziąć pod uwagę wiele innych czynników.

Relacje pomiędzy kluczowymi elementami rzadko są jeden do jednego; musisz rozważyć scenariusze jeden do wielu, a nawet wiele do wielu. Aby stopniowo eksplorować te odmiany:

  • Jedna organizacja IdP z wieloma domenami e-mail: Jeśli polegasz na domenach e-mail, aby określić tożsamość użytkownika, musisz wspierać wiele powiązań domen.
  • Jedna domena e-mail przypisana do wielu organizacji IdP: Jeśli domena może należeć do wielu organizacji IdP, użytkownicy muszą wybrać IdP, którego chcą używać do pojedynczego logowania.
  • Jedna organizacja IdP powiązana z wieloma organizacjami SP: Rozważ zapewnienie szybkiej możliwości połączenia jednego IdP z wieloma organizacjami SP.
  • Jedno konto użytkownika w wielu organizacjach IdP i SP: Różne organizacje SP mogą wymagać weryfikacji przez różne IdP.

Włączenie lub wyłączenie SSO w ramach firmy może zmienić sposób, w jaki użytkownicy się uwierzytelniają, wymagając bezpiecznego i płynnego przejścia.

  • Podejmowanie decyzji dotyczących aktywacji SSO: Należy podjąć decyzje, czy SSO wpływa tylko na niektóre najemczy SP, czy na wszystkie najemczy SP. Pierwszy wariant oferuje elastyczność, a drugi zgodność z trendem przedsiębiorstw do zarządzania tożsamością i kontrolą dostępu na poziomie całej organizacji.
  • Uwagi dotyczące okresu przejściowego: Jako SP musisz dostosować się do niepewności dotyczących usług IdP zewnętrznych. Administratorzy przedsiębiorstw zawsze potrzebują dostępu do Twojej aplikacji przez SSO lub poświadczenia jako opcję, a członkowie przedsiębiorstwa mogą tego potrzebować w trakcie przejścia.

To tylko kilka punktów dotyczących adresowania różnych scenariuszy; można eksplorować wiele innych możliwości i szczegółów.

Podsumowanie

Mamy nadzieję, że ta analiza SSO inicjowanego przez SP dostarczyła Ci nowych perspektyw na rozwiązania tożsamości korporacyjnych. Dobrą wiadomością jest to, że Logto pilnie pracuje nad rozwiązaniami, które oferują prostą konfigurację i wbudowane doświadczenia uwierzytelniania SSO. Bądź na bieżąco z naszym nadchodzącym wydaniem, gdzie bardziej szczegółowo przyjrzymy się konkretnym rozwiązaniom SSO inicjowanym przez SP.

Rozwijaj swój system uwierzytelniania z Logto