繁體中文(台灣)
  • enterprise sso
  • customer iam
  • workforce iam
  • single sign-in

企業單一登入:它是什麼,如何運作,以及為什麼重要

探索企業單一登入 (SSO) 的世界,並瞭解它如何能使你的業務受益。本指南包括簡單明瞭的解釋、實際例子和實用的建議。

Gao
Gao
Founder

什麼是企業單一登入?

在深入定義之前,重要的是要澄清 SSO 和企業 SSO 之間的區別,因為這經常會引起混淆。

  • SSO(單一登入)是一個通用術語,指的是用戶可以在多個應用程式或資源中,只需登入一次而無需再次登入。
  • 企業 SSO 是專為組織內的員工設計的一種特定類型的 SSO。

仍然不確定?讓我們看看一個例子:

一個名為 Amazed 的網上購物網站有兩個網絡應用程式:一個給消費者和一個給店主。消費者登入購物應用程式購買產品,而店主登入店主應用程式以管理店鋪。這兩個應用程式使用相同的身份供應商進行身份驗證。因此,使用者只需登入一次即可訪問兩個應用程式,提供了單一登入的體驗。

在內部,Amazed 使用多個應用程式進行團隊通訊、專案管理和客戶支持。為了簡化日常工作流程,Amazed 為其員工實施了企業 SSO。通過企業 SSO,員工可以用一次登入訪問所有內部應用程式。

通常,企業 SSO 解決方案還提供了一個集中儀表板,員工可以一鍵訪問所有應用程式。這個儀表板通常被稱為 SSO 儀表板。

簡而言之,這兩種情況都是單一登入的例子。區別在於第一個例子是通用的 SSO,而第二個是企業 SSO。這些是客戶身份和訪問管理 (Customer IAM) 和員工身份和訪問管理 (Workforce IAM) 的典型使用情況。

企業 SSO 如何運作?

企業 SSO 通過將多個應用程式連接到一個集中身份供應商來運作。連接可以是一向(一個應用程式到身份供應商)或雙向(應用程式和身份供應商之間)。各種標準和協議,如 SAML、OpenID Connect 和 OAuth 2.0,常用於這些連接。

無論協議如何,基本工作流程通常相似:

  1. 用戶訪問需要身份驗證的應用程式(例如,通訊應用程式)。
  2. 應用程式將用戶重定向到身份供應商進行身份驗證。
  3. 用戶登入身份供應商。
  4. 身份供應商向應用程式發送身份驗證回應。
  5. 應用程式驗證回應並授予用戶訪問權限。

當用戶訪問連接到相同身份供應商的另一個應用程式(例如,專案管理應用程式)時,他們不需要再次輸入憑證就能自動登入。在這種情況下,第三步被跳過,由於第二、第四和第五步在後台進行,用戶可能甚至不會注意到身份驗證過程。

這個過程稱為服務供應商 (SP) 發起的 SSO,其中應用程式 (SP) 發起身份驗證過程。

在另一種場合,身份供應商提供了一個集中儀表板,讓用戶訪問所有連接的應用程式。一個簡化的工作流程如下:

  1. 用戶登入身份供應商。
  2. 身份供應商顯示用戶可以訪問的應用程式列表。
  3. 用戶點擊一個應用程式(例如,客戶支持應用程式)以訪問它。
  4. 身份供應商將用戶重定向到應用程式並帶有身份驗證信息。
  5. 應用程式驗證信息並授予用戶訪問權限。

這個過程稱為身份供應商 (IdP) 發起的 SSO,其中身份供應商 (IdP) 發起身份驗證過程。

為什麼企業 SSO 重要?

企業 SSO 在員工身份和訪問管理中的角色

集中管理

企業 SSO 的主要好處不僅是為員工提供便利,還提高了組織的安全性和合規性。使用企業 SSO,組織可以集中管理用戶身份、訪問控制政策和審計日誌,而不需要為每個應用程式單獨配置多個憑證和身份驗證。

例如,當一名員工離職時,IT 部門可以在身份供應商中禁用該員工的帳號,立即撤銷對所有應用程式的訪問權限。這對於防止未經授權的訪問和數據洩漏至關重要,這個過程被稱為生命周期管理。

訪問控制

企業 SSO 解決方案經常包含訪問控制功能,如基於角色的訪問控制 (RBAC) 和基於屬性的訪問控制 (ABAC)。這些功能允許組織根據用戶角色、屬性和其他上下文信息定義詳細的訪問政策,確保員工能正確地訪問正確的資源。

有關 RBAC 和 ABAC 的詳細比較,請查看 RBAC and ABAC: The access control models you should know

增強安全性

另一個好處是能夠在所有應用程式中實施強大的身份驗證方法,如多因素身份驗證 (MFA)、無密碼身份驗證和自適應身份驗證,這些方法有助於保護敏感數據並符合行業規範。

有關 MFA 的更多資訊,請參見 Exploring MFA: Looking at authentication from a product perspective

企業 SSO 在客戶身份和訪問管理中的角色

術語「企業 SSO」在客戶身份和訪問管理解決方案中也會出現。在這種情況下,它是指什麼?讓我們回顧 Amazed 的例子:一些店主作為企業組織存在。一個店主,Banana Inc.,為其員工實行了企業 SSO。作為協議的一部分,Banana Inc. 要求 Amazed 為所有來自 Banana Inc. 的電子郵件地址(例如 *@banana.com)在訪問店主應用程式時實施企業 SSO。

在這種情況下,Amazed 需要將其身份供應商與 Banana Inc. 的身份供應商整合,以便為 Banana Inc. 的員工啟用企業 SSO。這種整合通常通過像 SAML、OpenID Connect 或 OAuth 這樣的標準協議進行,通常被稱為企業 SSO 連接、企業 SSO 連接器或 SSO 聯邦。

要獲得更深入的客戶身份和訪問管理解釋,請查看我們的 CIAM 系列:

準備好迎接企業

在 B2B(企業對企業)場景中,企業 SSO 是 SaaS 供應商如 Amazed 支持其企業客戶的必備功能。這不僅關乎便利,也關乎雙方的安全性和合規性。企業 SSO 可以強制所有由企業客戶管理的身份通過企業身份供應商進行身份驗證,確保企業對其用戶、數據、訪問和安全策略保持控制。

企業 SSO 是實現企業就緒的關鍵因素,意味著滿足企業客戶需求的能力。然而,身份和訪問管理,特別是在企業客戶的上下文中,是複雜的,需要大量的時間、資源和專業知識的投入。現代 SaaS 供應商經常選擇 IAM 平台來處理這些複雜性。

結尾備註

企業 SSO 是強大的。它使所有參與者受益:員工、組織和客戶。IT 部門的工作負擔減少,員工避免了密碼疲勞,並通過無密碼身份驗證,客戶則享受到提升的用戶體驗。如果你正在建立或計劃使用包含企業客戶的 SaaS 產品,考慮 Logto 作為一個現成、開發者友好的解決方案。

免費試用 Logto Cloud