本系列將由淺入深的帶大家深入最新的單點登錄SSO方案選型與架構開發實戰。附動畫演示。 從業十多年,為政府、電信、跨國公司顧問和實施的單點登錄解決方案無數,深諳其痛點與關鍵。 大部分單點登錄方案,從產品方案選型起就存在根本性問題,往往導致: 1. 受困於諸多被集成系統的改造。 2. 依賴特定終端... ...
本系列將由淺入深的結合示例、源碼以及演示視頻,手把手的帶大家深入最新的單點登錄SSO方案選型與架構開發實戰。文末附5個滿足不同單點登錄場景的gif動畫演示(如果看不清請在圖片上右鍵用新視窗打開),本系列後繼文章會深入它們的實現方式以及適用場景,大家也可以先觀看揣摩其實現。
單點登錄即Single Sign On(SSO)。它是大型政府OA、企事業單位OA的標配解決方案。它概言之就是在多個Web、桌面或移動應用系統中,用戶只需要登錄一次,就可以訪問所有的應用系統。
從業十多年,為政府、電信、跨國公司顧問和實施的單點登錄解決方案無數,深諳其痛點與關鍵。
大部分企業,尤其是被一些軟體產品的銷售人員牽著走的企業,它的單點登錄方案實施,從產品方案選型起就存在根本性問題。這些方案常常要求大量現有業務系統的改造(基於統一身份認證服務,採用OpenId,OAuth,SAML等技術創建和傳遞認證憑據),或者只是體驗較差的類似瀏覽器自動填充賬號密碼的功能(如Oracle的ESSO)。它們要麼改動面大、周期長,要麼服務端和客戶端局限性多,用戶體驗也達不到最佳。
事實上,單點登錄的實施環境與需求千差萬別:有純Web的(常見又分跨域不跨域的),有桌面應用的,有移動平臺的,有要結合Windows登錄憑據的,有整合了標準方案的,有不能改動現存系統的,等等等等。最適合企業的方案,一定是需要結合企業應用種類、各系統供應商狀況、終端要求、後期擴展性需求、實施成本工期來具體確定的。很多單點登錄解決方案的實施,由於顧問的經驗、視野或產品傾向性原因,往往導致了這些結果:
1. 明明可以不需要改造被集成系統的,偏偏處處受困於諸多被集成系統的改造。
這個是很多開源免費或者商用的單點登錄產品,在實施時最普遍遇到的情況。它們往往基於統一身份認證服務,採用OpenId,OAuth,SAML等技術創建和傳遞認證憑據,要求各個被集成應用按照相應介面開發。對於不同廠商在不同技術平臺、不同維護時間、不同業務場景下構造的多個系統,要求統一按照方案介面標準做改造,其難度可想而知。見過不止一家廠商,他們的業務系統在客戶那邊已經上線運行,客戶後來提出單點登錄的集成要求,於是為了快速完工,完全不遵循業界安全規範,採用最簡單暴力的方式進行集成,結果導致嚴重的安全漏洞。
其實,百分之九十以上的業務場景,我們都可以通過不止一種方式,在不改造現有系統的情況下,實現它對單點登錄的支持。下文會給出多個示例、github源碼,以及演示視頻。
2. 明明可以在移動端、桌面端實現跨平臺單點登錄的,偏偏依賴於特定終端,甚至特定瀏覽器。
有一家跨國公司,選型某知名軟體做單點登錄解決方案,它的優點是對被集成系統可以零改造,但只支持Windows終端,因為它有一個Windows程式要安裝到每個用戶機器上。我作為實施顧問參與時,發現其中絕大部分用戶常用的系統都是幾個Web系統,完全可以通過實施服務端零改造的SSO方案,避免向他們機器推送一個要按終端數購買授權的應用。這類應用不但授權費用高昂(每終端數千元),而且部署維護成本高、很多設備環境和個性化瀏覽器下會出相容性問題。
3. 明明可以和統一身份認證(Identity Authentication)、統一身份管理(Identity Management)分開實施的,偏偏被“忽悠”買了數百萬的打包解決方案。
SSO和這兩者在應用場景和一些實施方案上有交集,使得很多實施顧問會利用這點,讓很多企業不明就裡的“明明只想剪個頭髮,結果買了美容保養年卡,而且頭髮還剪得不好”。
統一身份認證往往和多個Web應用基於服務端做SSO的方案綁定銷售。對於有多個Web應用要做服務端SSO的,尤其是包含多個跨一級功能變數名稱應用的,常常被推薦部署獨立的統一身份認證服務產品,然後讓各個應用針對它的介面做開發集成。讓各個Web或桌面、移動應用,集成、識別並認可其認證憑據,還要和該伺服器安全交換用戶身份信息,是一個不小的挑戰。現有各個系統的服務商是否還會及時的配合開發本身已是一個大問題,即使他們配合,在一個環節出現問題就會是嚴重的安全漏洞。
統一身份管理主要是針對企業賬戶安全領域。它的主要作用,簡而言之就是在一個地方管理所有系統賬號的創建和終止,避免一個員工離職要到多個應用管理部門做賬號刪除,很容易出現漏刪賬號,導致企業信息安全問題。針對很多大型組織架構來講,它確實也非常必要,我個人實施顧問的很多企業確實也非常需要,後面我會撰文詳述這一塊的經驗心得。這方面現成產品有諸如Oracle的OIM,IBM的Tivoli IM,都是光買授權就動輒上百萬的產品(具體費用和用戶數、伺服器等相關),它們的特點是針對很多大型應用諸如SAP、Lotus Notes等等都有現成的連接器來做賬號資源的推拉(Provision/Reconciliation)。但對於沒有現成連接器的產品,需要定製開發,這塊對於實施人員要求很高,而且後期的維護、新應用的集成基本都完全依賴第三方,成本高昂。
4. 明明可以精幹團隊一個月實施完的,偏偏勞師動眾多個部門折騰上三四個月。
SSO實施和業務系統開發不同,它是技術點密集但工作量少的業務。如果你的開發人員還要為“如何跨域傳token”、“如何讀寫AD”之類現學摸索,那實施結果往往存在較大安全漏洞,也會導致工期不可預測。這一塊的很多現成產品都有特定的實施要求和局限性(本人曾填坑Oracle的OIM 和 ESSO),加之實施人員對產品熟悉程度不一,導致企業稍有自身特定的情況,就會要花費大量工時研究調整,甚至最終無法按需交付。
先來幾組單點登錄方案演示吧,本系列後繼文章會深入它們的具體實現方式以及適用場景。
演示一:零改造實施CSDN、百度單點登錄
演示二: 任意入口登錄、註銷,均同步在所有站點登錄、註銷
演示三:集成AD認證
演示四:QQ、VPN客戶端及Web站點統一單點登錄
演示五:跨平臺示例,移動端單點登錄
