繁體中文(台灣)
  • sso
  • enterprise
  • identity
  • sign-in

單一登入的藝術

單一登入(SSO)是一種驗證方法,允許使用者使用一組登錄憑證來訪問多個應用程式或服務。本文將解釋什麼是SSO,它是如何運作的,以及為什麼對企業來說很重要。

Simeng
Simeng
Developer

在這個快速發展的科技時代,我們每天都被無數的應用程式包圍。在不同平台之間管理多個身分是一種常見的困擾。無論是在工作中還是個人帳戶中,無數用戶名和密碼的負擔可能會讓人不知所措。這就是單一登入(SSO)的誕生——簡化我們數位體驗的解決方案。

什麼是單一登入?

從本質上講,SSO 是一種驗證方法,允許使用者使用一組登錄憑證來訪問多個應用程式或服務。SSO 使使用者能夠一次登錄並無縫訪問所有連接的系統,而不必記住和輸入每個應用程式的不同用戶名和密碼。

想像一個不再需要為電子郵件、專案管理工具和協作平台記住多種登錄細節的世界。這就是 SSO 的承諾。

單一登入如何運作?

SSO 通過在中央身分提供者(IdP)和各種服務提供者(SP)之間建立信任關係來運作。IdP 作為使用者驗證的權威來源,通過單次登錄過程驗證使用者的身分。使用者一旦驗證,IdP 會生成令牌或憑證,使使用者無需額外登錄即可訪問連接的SP。

讓我們仔細看看兩種不同的 SSO 模型。

集中身分和訪問管理(IAM)系統

在此模型中,SSO 在集中 IAM 系統中如同一把主鑰匙運作,作為數位中樞。IdP 是授予所有連接產品訪問權限的主鑰匙。IdP 負責驗證使用者並為他們提供對相關資源的訪問。使用者一旦驗證,即可在無需後續登錄的情況下獲得對所有連接資源的普遍訪問權限。

例如,你在一間像 Logto 這樣的 SaaS 公司 Alpha,使用一個集中的 IAM 系統。公司開發了多個產品:

  • A: 內部管理服務
  • B: 客戶產品服務
  • C: 管理員用網頁應用程式
  • D: 客戶使用的原生應用程式

每個產品都作為 SP,而集中 IAM 系統則作為 IdP。使用者的身分存儲在 IdP 中,使用者可以透過單一登入訪問所有產品。

這是 Alpha 公司中一位員工使用 SSO 的典型工作日:

  1. 使用者在網頁應用程式 C 中啟動訪問管理功能的請求。
  2. 網頁應用程式 C 將使用者重定向到驗證服務以進行使用者驗證。
  3. 驗證服務通過接口與使用者身分資料庫驗證使用者憑證。
  4. 使用者身分資料庫將使用者身分資訊返回給驗證服務。
  5. 驗證服務完成驗證過程並將結果返回給網頁應用程式 C。
  6. 驗證後的使用者上下文可以使網頁應用程式 C 代表使用者向服務 A 發送授權請求以進行管理功能。
  7. 使用者在做出更改後,請求訪問原生應用程式 D 以驗證修改。
  8. 原生應用程式 D 尋求來自驗證服務的驗證。
  9. 驗證服務自動同意對原生應用程式 D 的驗證請求。
  10. 被驗證的原生應用程式 D 代表使用者向服務 B 發送授權請求。

跨系統身分的橋接:SP 和 IdP

在更複雜的情況下,各種服務和應用程式維持其各自的身分系統。在此,SSO act as the mediator between SP and IdP。使用者在 IdP 驗證後,無需附加新身分即可暢行於數位領域,獲得對SP的訪問權限。

現在,讓我們將視野擴大到更寬的背景。想像一間全球零售公司 Bravo,擁有龐大的員工隊伍。該公司最近與你的公司 Alpha 建立了合作。為了讓 Bravo 員工能夠訪問 Alpha 的產品,順利的驗證過程是必不可少的。

這樣運作:稱Bravo爲IdP的 Bravo IAM system 裝備了其身分系統,Bravo 員工尋求對 Alpha 的產品(由 Alpha 的 IAM 系統 SP 管理)的訪問。

  1. Bravo 員工啟動對 Alpha 客戶應用程序 B 的訪問請求。
  2. Alpha 的客戶應用程序 B 將使用者重定向到 Alpha 的 IAM 系統以進行用戶驗證。
  3. Bravo 員工使用 Bravo 的使用者身分尋求SSO驗證。Alpha的IAM系統將使用者重定向到 Bravo 的IAM系統以進行使用者驗證。
  4. Bravo 的 IAM 系統通過接口與使用者身分資料庫進行憑證驗證。
  5. Bravo 的使用者身分資料庫將使用者身分資訊返回到 Bravo 的 IAM 系統。
  6. Bravo 的 IAM 系統將使用者重定向到 Alpha 的 IAM 系統,其中包含已驗證的 Bravo 使用者身分上下文。
  7. Alpha 的 IAM 系統通過接口其自有的使用者身分資料庫創建或驗證Bravo使用者身分。
  8. Alpha 的使用者身分資料庫將使用者身分資訊返回到 Alpha 的 IAM 系統。
  9. Alpha 的 IAM 系統完成驗證過程並將結果返回給 Alpha 的客戶應用程序 B。
  10. 驗證過的使用者上下文使 Alpha 的客戶應用程序 B 能夠代表使用者向 Alpha 的產品服務 A 發送授權請求。

與其為Bravo的員工創建一個孤立的新身分,Alpha 的 IAM 系統將驗證過程委託給 Bravo 的 IAM 系統。一旦 Bravo 的 IAM 系統驗證完員工,Alpha 的 IAM 系統建立信任,從而使 Bravo 員工順利訪問 Alpha 的產品。

想像同樣的流過程每天都會在Bravo員工中發生很多次。除了訪問 Alpha 的產品外,Bravo 員工還需要訪問其他第三方 SaaS 產品,如 Slack、Zoom 和 Notion,這些你可能已經使用過。使用單次 SSO 驗證,Bravo 員工可以在不需其他新驗證過程的情況下訪問所有產品。

這就是 SSO 在便利跨系統驗證中確保用戶在複雜商業合作中擁有流暢體驗的真正力量。

單一登入的好處

基於以上情境,我們可以看到 SSO 為使用者和企業都提供了廣泛的優勢。

  1. 節省時間並提高生產力

    使用SSO,使用者可以只需一次登錄就在應用程式間導航,消除了重複登錄的需要。這不僅節省時間,而且通過減少驗證障礙提高整體生產力。

  2. 增強安全性

    通過強大的身分提供者集中驗證,SSO 可以通過添加額外的保護層次增強安全性。使用者可以從 IDP 提供的更強大的驗證協議中受益,比如多要素認證(MFA)。

  3. 全球化的用戶管理

    對於組織而言,SSO 通過集中用戶訪問控制來簡化用戶管理。管理員可以通過中央身分提供者有效添加或撤銷對多個平台和第三方產品的訪問權限。

總結

隨著數位版圖的不斷擴大,SSO 對於企業優化用戶訪問和增強安全性變得越來越重要。通過 SSO,使用者可以在多個應用程式中享受流暢體驗,而企業可以受益於集中用戶管理和增強的安全性。如果你留心觀察,會發現 SSO 無處不在。從社交媒體平台到企業應用程式,SSO 是平滑和安全的用戶體驗的關鍵。它將數位世界連在一起。

免費試用 Logto Cloud