繁體中文(香港)
  • service provider
  • sso
  • b2b
  • identity
  • auth
  • authentication
  • single sign-on

了解針對 B2B 應用程式的服務供應商發起 SSO

了解什麼是服務供應商發起的單次登入 (SSO),以及它如何幫助你的企業對企業 (B2B) 產品。

Ran
Ran
Product & Design

在身份模型方面,B2B 產品有其獨特之處。它們必須在多租戶的複雜性中穿行,同時滿足企業客戶對於跨眾多服務和應用程式的統一員工身份和訪問管理的需求。Logto 也從客戶那裡遇到了這些需求。在本文中,我們將採取以產品為導向的方法來理解服務供應商發起的 SSO 及其如何滿足客戶的需求。

概念

我們先來介紹一些你需要了解的關鍵元素:

  • 服務供應商 (SP): 你的應用程式或服務,可以是一個或多個共享單一身份系統的應用。
  • 企業身份供應商 (IdP): 你的企業客戶依賴的身份提供者,用於管理員工身份和應用許可。他們可能使用不同的提供商,如 Okta、Azure AD、Google Workspace,或甚至自訂的 IdP。
  • 服務供應商的組織 (SP Org): B2B 應用通常支援不同客戶組織的多租戶。
  • 身份供應商的組織 (IdP Org): 身份供應商也支援不同客戶組織的多租戶。理想情況下,一個企業應能將其 IdP Org 連結到 SP Org,複製員工身份,但現實可能更為複雜。
  • 企業用戶帳戶: 通常通過使用公司電子郵件網域進行登入識別。這個企業電子郵件帳戶最終歸公司所有。

接著,深入了解 SSO 和兩種關鍵協議:

  • 單次登入 (SSO): SSO 允許使用者使用一組憑證訪問多個服務或應用。它簡化了訪問管理並增強了安全性。
  • SAML 和 OIDC 協議: SSO 依賴於這些協議進行身份驗證和授權,每個協議都有其各自的優勢和劣勢。

有兩種主要的 SSO 觸發機制需要考慮:

  • 身份供應商發起的 SSO: 在身份供應商發起的 SSO 中,身份供應商 (IdP) 主要控制單次登入過程。使用者從 IdP 的介面開始身份驗證。
  • 服務供應商發起的 SSO: 在服務供應商發起的 SSO 中,服務供應商 (SP) 主要負責啟動和管理單次登入過程,在 B2B 場景中經常首選。

現在,讓我們詳細探討服務供應商發起的 SSO。

表面層次:用戶體驗

與可以提供一些固定社交 IdP 登入按鈕的 B2C 產品不同,B2B 產品無法規定每個客戶使用哪個特定的企業 IdP。因此,使用者需要首先聲明其身份。在確認他們是啟用了 SSO 的企業成員後,他們將被重定向到其相應的企業 IdP 進行登入。

為此,你必須在登入頁面上確定使用者是否需要通過 SSO 登入以及應重定向至哪個 IdP。常見方法包括:

  1. 電子郵件網域映射: 將電子郵件網域與特定 IdP 連接器關聯。這會影響擁有該網域下電子郵件地址的使用者。確保網域所有權驗證以防止惡意配置。
  2. 組織名稱映射: 將組織名稱與 IdP 連接器關聯,依賴使用者記住其組織名稱。
  3. 使用者個人電子郵件映射: 這使你可以直接確定使用者帳戶是否啟用了 SSO,而不依賴於電子郵件網域或組織名稱。你可以通過手動邀請使用者、自訂必需 SSO 的規則或通過目錄同步自動同步他們的帳戶來實現。

在登入首頁的設計中,通常有兩種表單,可以根據產品的業務進行選擇:

  1. B2B 產品: 建議直接顯示 SSO 按鈕,讓需要使用 SSO 的企業客戶成員直觀覺得。
  2. 兼容 B2C 和 B2B 的產品: 由於大多數使用者不會使用 SSO,評估電子郵件網域以確定是否需要 SSO。你可以延遲呈現憑證驗證,初始隱藏它,然後在確認使用者身份後顯示出來。

底層複雜性:用戶身份模型

然而,將 SSO 整合到你的身份系統中涉及得比在登入頁面新增 SSO 按鈕更為複雜。你需要考量更多因素。

關鍵元素的關係很少是一對一的;你需要考慮一對多甚至多對多的場景。逐漸探索這些變化:

  • 一個 IdP Org 具有多個電子郵件網域: 如果依賴電子郵件網域來確定用戶身份,你必須支持多個網域綁定。
  • 一個電子郵件網域對應於多個 IdP Orgs: 如果一個網域可能屬於多個 IdP Orgs,使用者需要選擇他們希望用於單次登入的 IdP。
  • 一個 IdP Org 連結到多個 SP Orgs: 考慮提供快速連接一個 IdP 到多個 SP Orgs 的能力。
  • 一個用戶帳戶在多個 IdP Orgs 和 SP Orgs 中: 不同的 SP Orgs 可能需要通過不同的 IdP 驗證。

在企業內啟用或禁用 SSO 可以改變用戶驗證的方式,因此需要一個安全且流暢的過渡過程。

  • SSO 啟用的決策: 必須決定 SSO 是否僅影響某些租戶 SP Orgs 還是所有租戶 SP Orgs。前者提供靈活性,而後者符合企業範圍的身份和訪問控管趨勢。
  • 過渡期考量: 作為一個 SP,你必須容納第三方 IdP 服務的不確定性。企業管理員總是需要通過 SSO 或憑證訪問你的應用,並且企業成員可能需要它們在過渡期間進行使用。

這些只是為處理各種情況提供的一些要點;還有很多功能和細節可以探索。

結論

我們希望對於服務供應商發起的 SSO 的分析為你提供了有關企業身份解決方案的新觀點。好消息是 Logto 正在努力開發提供簡單配置和開箱即用 SSO 驗證體驗的解決方案。請密切關注我們即將發佈的版本,屆時我們將深入探討具體的服務供應商發起 SSO 解決方案。

使用 Logto 開發你的身份驗證系統