企業 SSO：什麼是 SSO，它如何運作，以及為什麼它重要

什麼是企業 SSO？#

在深入定義之前，重要的是要澄清 SSO 和企業 SSO 之間的差異，因為這經常會引起混淆。

• SSO (單一登入) 是一個通用術語，指的是用戶能夠一次登入並訪問多個應用程序或資源，而無需再次登入。
• 企業 SSO 是一種專為組織內部員工設計的特定類型的 SSO。

還是不清楚？讓我們看看一個例子：

一個名為 Amazed 的在線購物網站有兩個網絡應用程序：一個供客戶使用，一個供店主使用。客戶登入購物應用程序來購買產品，而店主登入店主應用程序來管理他們的商店。這兩個應用程序都使用相同的身份提供者進行身份驗證。因此，用戶只需登入一次即可訪問兩個應用程序，提供單一登入體驗。

在內部，Amazed 使用多個應用程序進行團隊溝通、項目管理和客戶支持。為了簡化日常工作流程，Amazed 為其員工實施了企業 SSO。通過企業 SSO，員工可以使用單一登入訪問所有內部應用程序。

通常，企業 SSO 解決方案還提供一個集中式儀表板，員工可以通過一鍵訪問所有應用程序。這個儀表板通常被稱為 SSO 儀表板。

總而言之，這兩種情況都是單一登入的例子。區別在於第一個例子是通用 SSO，而第二個例子是企業 SSO。這些是客戶身份和訪問管理 (Customer IAM) 和員工身份和訪問管理 (Workforce IAM) 的典型用例。

企業 SSO 如何運作？#

企業 SSO 通過將多個應用程序連接到一個集中式身份提供者來運作。連接可以是單向 (從應用程序到身份提供者) 或雙向 (應用程序和身份提供者之間)。各種標準和協議，例如 SAML、OpenID Connect 和 OAuth 2.0，都用於這些連接。

無論協議如何，基本工作流程通常相似：

1. 用戶訪問需要身份驗證的應用程序 (例如：通訊應用程序)。
2. 應用程序將用戶重定向到身份提供者進行身份驗證。
3. 用戶登入身份提供者。
4. 身份提供者將身份驗證響應發送回應用程序。
5. 應用程序驗證響應並授予用戶訪問權限。

當用戶訪問另一個連接到相同身份提供者的應用程序 (例如：項目管理應用程序) 時，他們會自動登入，無需再次輸入憑證。在這種情況下，步驟 3 被跳過，並且因為步驟 2、4 和 5 在後台發生，用戶甚至可能不注意到身份驗證過程。

這個過程稱為服務提供者 (SP) 發起的 SSO，應用程序 (SP) 發起身份驗證過程。

在另一種情況下，身份提供者提供一個集中式儀表板，用戶可以訪問所有連接的應用程序。一個簡化的工作流程是：

1. 用戶登入身份提供者。
2. 身份提供者顯示用戶可以訪問的應用程序列表。
3. 用戶點擊應用程序 (例如：客戶支持應用程序) 訪問它。
4. 身份提供者將用戶重定向到帶有身份驗證信息的應用程序。
5. 應用程序驗證信息並授予用戶訪問權限。

這個過程稱為身份提供者 (IdP) 發起的 SSO，身份提供者 (IdP) 發起身份驗證過程。

為什麼企業 SSO 重要？#

企業 SSO 在員工身份和訪問管理中的重要性#

集中管理#

企業 SSO 的主要好處不僅僅是為員工提供方便，還增強了組織的安全和合規。組織可以集中管理用戶身份、訪問控制政策和審核記錄，而不是單獨為每個應用程序管理多個憑證和配置身份驗證和授權。

例如，當一位員工離開公司時，IT 部門可以禁用身份提供者中的員工帳戶，立即撤銷對所有應用程序的訪問權限。這對於防止未經授權的訪問和數據洩露至關重要，這是一種稱為生命週期管理的過程。

訪問控制#

企業 SSO 解決方案通常包括訪問控制功能，例如基於角色的訪問控制 (RBAC) 和基於屬性的訪問控制 (ABAC)。這些功能允許組織根據用戶角色、屬性和其他上下文信息定義詳細的訪問政策，確保員工擁有適當的訪問水平來訪問適當的資源。

關於 RBAC 和 ABAC 的詳細比較，請參閱 RBAC 和 ABAC：你應該知道的訪問控制模型。

增強安全性#

另一個好處是能夠為所有應用程序強制執行強身份驗證方法，例如多因素身份驗證 (MFA)、無密碼身份驗證和自適應身份驗證。這些方法有助於保護敏感數據和遵守行業法規。

關於 MFA 的更多資訊，請參閱 探索 MFA：從產品的角度看身份驗證。

企業 SSO 在客戶身份和訪問管理中的重要性#

"企業 SSO" 這個術語也出現在客戶身份和訪問管理解決方案中。在這個上下文中，這意味著什麼？讓我們重溫 Amazed 的例子：一些店主作為企業註冊。一位名為 Banana Inc. 的店主為其員工實施了企業 SSO。作為協議的一部分，Banana Inc. 要求 Amazed 在訪問店主應用程序時，對所有來自 Banana Inc. 的電子郵件地址 (例如：*@banana.com) 強制執行企業 SSO。

在此情況下，Amazed 需要整合其身份提供者與 Banana Inc. 的身份提供者，以為 Banana Inc. 員工啟用企業 SSO。這種整合，通常通過標準協議如 SAML、OpenID Connect 或 OAuth 完成，通常被稱為企業 SSO 連接器或 SSO 聯邦。

欲了解客戶身份和訪问管理的詳細解釋，請查看我們的 CIAM 系列：

• CIAM 101：身份驗證、身份、SSO
• CIAM 102：授權與基於角色的訪問控制

準備好應對企業需求#

在 B2B（企業對企業）場景中，企業 SSO 對於像 Amazed 這樣的 SaaS 供應商來說是一項必備功能，以支持其企業客戶。這不僅是為了方便，還關乎雙方的安全和合規。企業 SSO 可以強制要求企業客戶管理的所有身份通過企業身份提供者進行身份驗證，確保企業保持其用戶、數據、訪問和安全政策的控制。

企業 SSO 是實現 "企業就緒性" 的關鍵因素，也就是滿足企業客戶需求的能力。然而，身份和訪問管理，尤其是在企業客戶背景下，十分複雜，需要投入大量時間、資源和專業知識。現代 SaaS 供應商經常選擇身份和訪問管理平台來應對這些複雜性。

結束語#

企業 SSO 是強大的。它使所有相關人員受益：員工、組織和客戶。IT 部門工作量減少，員工避免了因無密碼身份驗證造成的密碼疲勞，客戶欣賞增強的使用者體驗。如果你正在構建或計劃支持企業客戶的 SaaS 產品，請考慮 Logto 作為即時可用且對開發者友好的解決方案。