繁體中文(香港)
  • sso
  • enterprise
  • identity
  • sign-in

單一登入的藝術

單一登入 (SSO) 是一種認證方法,讓用戶使用一組登錄憑證即可訪問多個應用程式或服務。這篇文章將解釋什麼是 SSO,它如何運作,以及為什麼對企業很重要。

Simeng
Simeng
Developer

Stop wasting weeks on user auth
Launch secure apps faster with Logto. Integrate user auth in minutes, and focus on your core product.
Get started
Product screenshot

在這個快速變化的科技時代,我們被無數的日常應用程式圍繞。在各個平台上管理不同身份是一個常見的挑戰。無論是在工作還是個人賬戶,無數用戶名和密碼的負擔可能是壓倒性的。這就是為什麼單一登入 (SSO) 是簡化我們數位體驗的解決方案。

什麼是單一登入?

從本質上來說,SSO 是一種認證方法,讓用戶使用一組登錄憑證即可訪問多個應用程式或服務。用戶無需記住並輸入每個應用程式的不同用戶名和密碼,SSO 使用戶能夠一次登錄,並無縫地訪問所有已連接的系統。

想像一個不再需要應付電郵、專案管理工具和協作平台的無數登錄細節的世界。這就是 SSO 的承諾。

單一登入如何工作?

SSO 通過在一個中心身份提供者 (IdP) 和各種服務提供者 (SP) 之間建立信任關係來運作。IdP 是用戶認證的權威來源,通過單一登錄過程驗證用戶的身份。一旦認證完成,IdP 生成令牌或憑證,允許用戶訪問連接的 SP,而無需額外的登錄。

讓我們來看看兩個不同的 SSO 模型。

集中式身份和訪問管理 (IAM) 系統

在這個模型中,SSO 在集中式 IAM 系統中像一把主鑰匙一樣運作,這是一個數碼中心。IdP 是一把主鑰匙,授予對所有連接產品的訪問權限。IdP 負責認證用戶並為他們提供對適當資源的訪問。用戶在認證後,可以通過單一登錄獲得對每個連接資源的全面訪問,而不需要後續的登錄。

例如,你有一間名為 Alpha 的 SaaS 公司,使用像 Logto 這樣的集中式 IAM 系統。公司開發了多個產品:

  • A:內部管理服務
  • B:客戶產品服務
  • C:管理員的網頁應用程式
  • D:客戶的本地應用程式

每個產品充當 SP,而集中式 IAM 系統則充當 IdP。用戶身份存儲在 IdP,且用戶可以使用單一登入訪問所有產品。

這是一名在 Alpha 公司使用 SSO 的員工的典型工作日:

  1. 用戶啟動對網頁應用程式 C 的管理功能的訪問。
  2. 網頁應用程式 C 將用戶重定向至身份驗證服務進行用戶認證。
  3. 身份驗證服務通過與用戶身份資料庫的接口來驗證用戶憑證。
  4. 用戶身份資料庫將用戶身份信息返回給身份驗證服務。
  5. 身份驗證服務完成認證過程並將結果返回給網頁應用程式 C。
  6. 已認證的用戶上下文使網頁應用程式 C 能夠代表用戶向服務 A 發送授權請求以獲得管理功能。
  7. 用戶在進行更改後請求訪問原生應用程式 D 以驗證修改。
  8. 原生應用程式 D 向身份驗證服務尋求認證。
  9. 身份驗證服務自動同意對原生應用程式 D 的認證請求。
  10. 已認證的原生應用程式 D 發送授權請求代表用戶向服務 B。

跨不同系統橋接身份:SP 和 IdP

在一個更複雜的情境中,各種服務和應用程式維持其各自的身份系統。在這裡,SSO 充當 SP 和 IdP 之間的中介。用戶在 IdP 認證後,可以在不需要添加新身份的情況下遍歷數碼景觀,被授予訪問 SP 的權限。

現在,讓我們從更大的背景來看。想像一个全球零售商公司 Bravo,有著廣泛的勞動力。該公司最近與你的公司 Alpha 建立了合作關係。為了讓 Bravo 的員工能夠訪問 Alpha 的產品,順暢的認證過程是至關重要的。

其運作方式:Bravo 具備自己的 IAM 系統(IdP),Bravo 的員工尋求訪問由 Alpha 的 IAM 系統(SP)管理的 Alpha 的產品。

  1. Bravo 的員工啟動對 Alpha 的客戶應用程式 B 的訪問。
  2. Alpha 的客戶應用程式 B 將用戶重定向至 Alpha 的 IAM 系統進行用戶認證。
  3. Bravo 的員工尋求使用 Bravo 的用戶身份進行 SSO 認證。Alpha 的 IAM 系統將用戶重定向至 Bravo 的 IAM 系統進行用戶認證。
  4. Bravo 的 IAM 系統通過與用戶身份資料庫的接口來驗證用戶憑證。
  5. Bravo 的用戶身份資料庫將用戶身份信息返回給 Bravo 的 IAM 系統。
  6. Bravo 的 IAM 系統將用戶重定向至 Alpha 的 IAM 系統並帶有經認證的 Bravo 用戶身份上下文。
  7. Alpha 的 IAM 系統通過與自身的用戶身份資料庫接口來創建或驗證用戶 Bravo 身份。
  8. Alpha 的用戶身份資料庫將用戶身份信息返回給 Alpha 的 IAM 系統。
  9. Alpha 的 IAM 系統完成認證過程並將結果返回給 Alpha 的客戶應用程式 B。
  10. 已認證的用戶上下文使 Alpha 的客戶應用程式 B 能夠代表用戶向 Alpha 的產品服務 A 發送授權請求。

Alpha 的 IAM 系統沒有為 Bravo 的員工創建獨立的新身份,而是將認證過程授權給 Bravo 的 IAM 系統。一旦 Bravo 的 IAM 系統驗證了員工,Alpha 的 IAM 系統便建立信任,讓 Bravo 的員工能夠順利訪問 Alpha 的產品。

想像同樣的流程在 Bravo 的員工身上每天多次發生。除了訪問 Alpha 的產品外,Bravo 的員工還需要訪問其他第三方 SaaS 產品,如 Slack、Zoom 和 Notion,你可能已經使用過。通過單一的 SSO 認證,Bravo 的員工可以訪問所有產品,而不需要額外的新認證過程。

這是 SSO 的真正力量,可促進安全且高效的跨系統認證,確保用戶在複雜的商業合作中獲得無縫的體驗。

單一登入的好處

根據上述情況,我們可以看到 SSO 為用戶和企業提供了廣泛的好處。

  1. 節省時間並提高生產力

    使用 SSO,用戶可以一次登錄並在應用程式之間導航,消除重複登錄的需要。這不僅節省了時間,還通過減少認證障礙提高了整體生產力。

  2. 增強安全性

    通過強大的身份提供者集中認證,SSO 可以通過增加額外的保護層來增強安全性。用戶可以受益於更強的認證協議,如由 IdP 提供的多因素認證 (MFA)。

  3. 全球化的用戶管理

    對組織而言,SSO 通過集中用戶訪問控制來簡化用戶管理。管理員可以通過中央身份提供者高效地在多個平台和第三方產品之間添加或撤銷訪問。

結論

隨著數碼領域的擴展,SSO 對於優化用戶訪問和增強安全性變得越來越重要。使用 SSO,用戶可以在多個應用程式間享受無縫的體驗,而企業可以從集中用戶管理和增強安全性中受益。如果你留意,你會發現 SSO 無處不在。從社交媒體平台到企業應用程式,SSO 是平滑和安全用戶體驗的關鍵。它將數碼世界連接在一起。