企业 SSO：它是什么，如何运作，以及为什么重要

什么是企业 SSO？#

在深入定义之前，有必要澄清 SSO 和企业 SSO 之间的区别，因为这常常会引起混淆。

• SSO（单点登录）是一个通用术语，指的是用户能够一次登录后访问多个应用程序或资源而无需再次登录。
• 企业 SSO 是专为组织内部员工设计的特定类型的 SSO。

仍然不确定？让我们来看一个例子：

一个名为 Amazed 的在线购物网站有两个 web 应用程序：一个面向客户，一个面向店主。客户登录购物应用程序购买产品，而店主登录店主应用程序管理他们的商店。这两个应用程序均使用相同的身份提供商进行身份验证。因此，用户只需一次登录即可访问两个应用程序，提供了单点登录体验。

内部，Amazed 使用多个应用程序进行团队沟通、项目管理和客户支持。为了简化日常工作流程，Amazed 为员工实施企业 SSO。通过企业 SSO，员工可以通过一次登录访问所有内部应用程序。

通常，企业 SSO 解决方案还为员工提供了一个集中式仪表板，以一键访问所有应用程序。这个仪表板通常被称为 SSO 仪表板。

简而言之，这两种场景都是单点登录的例子。不同之处在于，第一个例子是通用的 SSO，而第二个是企业 SSO。这些是典型的客户 IAM（身份和访问管理）和员工 IAM 的使用案例。

企业 SSO 如何工作？#

企业 SSO 通过将多个应用程序连接到集中式身份提供商来运作。连接可以是单向的（从应用程序到身份提供商），也可以是双向的（应用程序与身份提供商之间）。用于这些连接的各种标准和协议包括 SAML、OpenID Connect 和 OAuth 2.0。

无论使用哪种协议，基本工作流程通常类似：

1. 用户访问需要身份验证的应用程序（例如，通讯应用）。
2. 应用程序将用户重定向到身份提供商进行身份验证。
3. 用户登录身份提供商。
4. 身份提供商将身份验证响应发送回应用程序。
5. 应用程序验证响应并授予用户访问权限。

当用户访问另一个连接到相同身份提供商的应用程序（例如，项目管理应用）时，他们无需再次输入凭证即可自动登录。在这种情况下，第 3 步被跳过，并且因为第 2、4 和 5 步在后台进行，用户甚至可能不会注意到身份验证过程。

这个过程被称为服务提供商 (SP) 发起的 SSO，其中应用程序 (SP) 发起身份验证过程。

在另一种情况下，身份提供商提供了一个集中式仪表板，供用户访问所有已连接的应用程序。一个简化的工作流程是：

1. 用户登录身份提供商。
2. 身份提供商显示用户可以访问的应用程序列表。
3. 用户点击一个应用程序（例如，客户支持应用）以访问它。
4. 身份提供商将用户重定向到带有身份验证信息的应用程序。
5. 应用程序验证信息并授予用户访问权限。

这个过程被称为身份提供商 (IdP) 发起的 SSO，其中身份提供商 (IdP) 发起身份验证过程。

为什么企业 SSO 重要？#

企业 SSO 在员工 IAM 中#

集中管理#

企业 SSO 的主要好处不仅是为员工提供方便，还为组织提供了增强的安全性和合规性。组织可以在不为每个应用程序分别配置身份验证和授权的情况下，集中管理用户身份、访问控制策略和审计日志。

例如，当员工离开公司时，IT 部门可以在身份提供商中禁用该员工的帐户，立即撤销对所有应用程序的访问。这对于防止未经授权的访问和数据泄露至关重要，这一过程被称为生命周期管理。

访问控制#

企业 SSO 解决方案通常包括访问控制功能，例如基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC)。这些功能使组织能够根据用户角色、属性和其他上下文信息定义详细的访问策略，确保员工具有适当的访问权限。

有关 RBAC 和 ABAC 的详细比较，请查看 RBAC 和 ABAC：你应该知道的访问控制模型。

增强安全性#

另一个好处是能够在所有应用程序中强制执行强身份验证方法，例如多因素身份验证 (MFA)、无密码身份验证和自适应身份验证。这些方法有助于保护敏感数据并遵循行业法规。

有关 MFA 的更多信息，请参阅 探索 MFA：从产品角度看待身份验证。

企业 SSO 在客户 IAM 中#

“企业 SSO”这一术语也出现在客户 IAM 解决方案中。在这种情况下，它意味着什么？让我们重温 Amazed 的例子：一些店主作为企业法人，一位店主，Banana Inc.，为其员工实施企业 SSO。根据协议，Banana Inc. 要求在访问店主应用程序时强制执行企业 SSO 对于所有来自 Banana Inc. 的电子邮件地址（例如，*@banana.com）。

在这种情况下，Amazed 需要将其身份提供商与 Banana Inc. 的身份提供商集成，以使 Banana Inc. 的员工能够进行企业 SSO。这种集成通常通过 SAML、OpenID Connect 或 OAuth 等标准协议来实现，通常称为企业 SSO 连接、企业 SSO 连接器或 SSO 联邦。

有关客户 IAM 的详细解释，请查看我们的 CIAM 系列：

• CIAM 101：身份验证、身份、单点登录
• CIAM 102：授权和基于角色的访问控制

准备好应对企业#

在 B2B（企业对企业）场景中，企业 SSO 是像 Amazed 这样的 SaaS 提供商支持其企业客户的必备功能。它不仅关乎便利，还关乎双方的安全性和合规性。企业 SSO 可以强制要求所有由企业客户管理的身份通过企业身份提供商进行身份验证，确保企业掌控其用户、数据、访问和安全策略。

企业 SSO 是实现 企业就绪 的关键因素，这意味着满足企业客户需求的能力。然而，身份和访问管理，特别是在企业客户的背景下，是复杂的，需投入大量时间、资源和专业知识。现代 SaaS 提供商通常选择 IAM 平台来应对这些复杂性。

结束语#

企业 SSO 是强大的。它为所有相关方带来好处：员工、组织和客户。IT 部门的工作负担减少，员工通过无密码身份验证避免了密码疲劳，客户欣赏增强的用户体验。如果你正在构建或计划通过 SaaS 产品支持企业客户，考虑使用 Logto 提供的一种即用型、开发者友好的解决方案。