这样的单点登录才最有效果,很多大咖牛人都不知道!

导读:单点登录,是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。本文从友户通单点登录类型、认证安全以及应用集成的角度,聊下解决复杂场景下的单点登录方案。
随着云计算的飞速发展,越来越多的云应用、云服务充斥在日常的工作当中。人们在享受信息化带来的便捷的同时,也遭受着应用系统反复登录,工作入口来回切换,数据消息接收不及时等诸多烦恼。伴随着业务系统数量的增加,用户会觉得自己身陷于越来越多的用户账号和密码需要记录,以便于使用各种云服务。
单点登录(Single Sign On),简称为 SSO,是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。随着互联网的发展,单点登录获得了较为广泛的认可和应用。
然而在企业级应用的环境中,单点登录的使用面临着许多特有的挑战:

(一)企业应用的复杂性也体现在登录类型和登录场景的复杂性上;

(二)与企业已有的认证服务无缝集成是个挑战性的工作;

(三)认证能力如何达到企业级的安全要求是获得用户认可的关键。

如何让单点登录在企业完美的落地,还请看友户通的方案。

1.什么是友户通?

友户通是社会化商业应用基础设施和企业服务产业共享平台,它统一了用友云产品的用户管理和企业管理。友户通存储着用友云所有用户信息,是用友云所有使用者的通行证、一卡通。

2.友户通的单点登录方案
友户通的统一单点登录解决方案,提供非侵入性的单点登录服务,可解决用户日益增多的账号和密码的记录问题。采用满足行业及安全规范的最新登录行为技术,帮助云服务提供商实现CS、BS、云应用系统的单点登录功能。凭借内嵌的安全场景认证模型、数据安全存储及传输技术、集中审计等核心功能,帮助客户解决在面对单点登录体系时所遇到的认证安全弱、系统改造难、客户端系统无法接入、云应用无法接入等问题。

1.多种登录类型和登录场景的全支持

友户通单点登录平台支持Web单点登录、移动单点登录、PC端应用单点登录和第三方认证中心单点登录,提供支持主流的身份协议 (如CAS、OAuth),为云和移动应用程序提供单点登录功能。单点登录平台使员工、消费者、客户和合作伙伴一次登录便可实现跨多个运营平台(包括移动设备)访问企业和云的应用程序。多种单点登录相结合,可支持单点登录到Web端、非Web 端和基于云的应用。

企业应用单点登录,支持传统软件基于PC端应用单点登录,支持对web、非web应用程序无缝集成,实现从Web端到PC端以及从PC端到Web端的正、反双向单点登录。这种方法需要在用户的桌面上安装PC端单点登录器(如UClient、友空间PC端)。

在技术形式上,可以用Cookie作为凭证媒介,通过页面跳转机制实现登录,也提供了基于jsonp的登录服务,支持跨域的身份服务管理,同时,还提供了基于SDK的身份集成机制。

跨端的双向单点登录示意图
PC端单点登录器,可以作为应用的统一入口使用,用户可以自助的添加多个应用到登录器中。用户首先在登录器登录,然后再打开内部的应用时,无需再次登录,打开Web应用时,同样无需登录。登录器登录时,与云端认证服务器建立安全连接,进行身份认证,登录成功后,登录器获取到云端颁发的登录令牌,保存在内存中。访问应用时,点击登录器里的对应的应用图标,登录器根据当前登录的用户,向应用服务器请求获取该应用的登录票据,并对票据进行签名,然后使用签名的票据启动应用客户端,应用服务验证签名后即可进入到应用系统中。访问云端的服务时,登录器基于保存的登录令牌,生成登录凭证,包含登录凭证的请求,可以直接实现单点登录,进入到云端Web服务。

PC端单点服务器服务流程示意图

2.对多种类型的第三方认证中心的完善集成

(一)集成企业自建的用户中心。有些企业有自己的用户中心,如AD/LDAP类型的用户中心,企业内的很多应用,像OA系统,连接在这些用户中心上,这些数据中心已经存在了一段时间,所以存留了大量的用户,企业在使用云服务时,希望能够使用现有的这些用户及口令直接漫步云端,上云的过程对用户无感知无影响。友户通很好地支持了这种场景,允许使用企业现有目录账户和认证服务进行认证,并且自动、自助的绑定云端用户,无缝地登录到云端应用。

(二)集成第三方公有云用户生态系统。目前消费互联网领域的认证,已经非常普及和流行,如微信认证、QQ认证、微博认证等,很多用户已经习惯于使用这些账号,来作为网络身份认证的标识。友户通支持使用行业标准技术和主流的协议进行认证,支持类OpenID的认证服务机制,支持基于OATH授权服务,支持SAML的用户集成/被集成机制。

(三)集成非标准的用户中心。有的企业使用了多个信息系统,例如客户购买了NCERP系统、U8系统、OA系统以及其它的生态应用,这些应用的用户体系是相互隔离的,没有统一的用户中心,随着体统增多,用户账号越来越多,管理越来越复杂。在这种场景下,友户通可以作为一种用户中心的网关,将各个系统的用户中心连接起来,形成用户中心的联邦,打通各个系统的用户账号体系。

(四)被伙伴应用集成实现单点登录。用友云的生态伙伴,在各自的用户中心登录后,访问用友云服务时,自动实现单点登录。友户通可以授权信任的生态伙伴应用,授权后,生态应用使用自己的登录凭证,访问用友云服务,友户通会校验伙伴的登录凭证的有效性,并颁发友户通的登录凭证,实现单点登录。

3.包含多因子认证能力的高安全性

从技术手段上讲,用户名和口令这种方式,很容易被破解或窃取,而且无法追溯使用者的真实身份,更无法进行责任定位与追究。基于PKI体系的数字证书认证,特别是使用物理介质存储的证书,使得系统的安全性得到极大的保障。但其局限性也是明显的:牺牲了系统的用户体验,首先,Ukey需要随身携带,并且要妥善保管好;另外,因为需要对硬件Ukey进行识别,往往对系统环境有特定的要求,而且一般需要单独安装驱动,所以对客户端的兼容性是个问题。

针对企业服务还存在如下问题,在一个大型企业、公司、事业单位、政府部门中的多个信息应用系统,并不是每个应用都需要数字证书认证的,而对身份及其敏感的业务,如资金转账系统,则必须使用数字证书。即使是同一个系统,对不同的角色而言,对证书的要求也是不一样的,如医疗系统中,患者使用口令登录,而医生使用数字证书认证身份。

多因子身份认证能力是友户通的单点登录系统的高安全性突出体现。多因子身份认证是在传统口令认证的基础上,支持UKey数字证书认证、人脸登录、动态密码等多种认证,对认证的安全性的强化,并支持针对不同应用系统,不同的用户,设置不同的认证因子组合策略。例如,对于普通安全级别的系统,可以只用口令认证,可以保持单点会话,无需多次登录。而访问高级别要求的系统时,则提示补充更多的认证因子。这样,既保持了单点登录的优点,又保证了系统的安全性。支持绑定手机作为身份认证设备,充分利用移动设备的便携性、边缘计算能力和生物特征智能识别能力,实现安全、方便的多因子身份认证。

多因子认证流程示意图
3.友户通方案的技术总结
1.统一账户体系,一个账号访问所有的应用系统。单点登录,访问其它应用时无需再次登录,显著提高了办公效率。

2.提供基于 Web 的用户自助服务设施,以使用户能够执行应用程序注册、密码恢复和密码重置等服务。

3.全面的单点登录解决方案,Web单点登录,第三方认证中心单点登录和企业单点登录、移动单点登录可运行在同一后台。

4.内置多步骤、多因素强认证,提高单点登录安全性, 实现多因素高安全身份认证和管理,满足企业信息安全制度要求。

4.友户通的应用案例
支持了大量的基于云的应用程序的 SaaS应用,包括友云采、友报账、友人才等几十个用友云应用以及生态伙伴应用。

原文地址:http://blog.51cto.com/14084875/2342587

时间: 2024-09-29 00:28:39

这样的单点登录才最有效果,很多大咖牛人都不知道!的相关文章

XSS跨站脚本攻击防御和Cookie,及SSO单点登录原理

XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的.如,盗取用户Cookie.破坏页面结构.重定向到其它网站等. XSS攻击 XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based X

单点登录系统(SSO)的开发思路

单点登录并不是一个新鲜的玩意儿,比较官方的解释是企业业务整合的解决方案之一,通俗来讲SSO就是一个通用的用户中心,国内比较流行的UCenter就是一套单点登录解决方案.而近期以CSDN明文存储用户密码并泄露用户信息开始的各大网站争先恐后的泄露自己的用户数据库除了暴露了这些网站的良心和智商外,如何设计用户中心已成为架构师们的热点话题之一.在最近一两年的项目经验中有幸接触到各种平台的单点登录系统的开发,所以借此机会总结下B/S架构的单点登录系统的开发经验. 单点登录系统的类别 就目前比较流行的应用来

多平台的网站实现单点登录系统(SSO)的开发思路 让你的会员中心更加统一(参考资料)

单点登录并不是一个新鲜的玩意儿,比较官方的解释是企业业务整合的解决方案之一,通俗来讲SSO就是一个通用的用户中心,国内比较流行的UCenter就是一套单点登录解决方案.而近期以CSDN明文存储用户密码并泄露用户信息开始的各大网站争先恐后的泄露自己的用户数据库除了暴露了这些网站的良心和智商外,如何设计用户中心已成为架构师们的热点话题之一.在最近一两年的项目经验中有幸接触到各种平台的单点登录系统的开发,所以借此机会总结下B/S架构的单点登录系统的开发经验. 单点登录系统的类别 就目前比较流行的应用来

单点登录SSO:可一键运行的完整代码

h1.title,h2.title { padding-left: 2rem !important; color: rgb(71, 91, 204) !important } h1.title { font-size: 22px !important } h2.title { font-size: 18px !important } .padding { padding: 0 2rem; padding-bottom: 1rem } blockquote.menu { padding-left:

实现单点登录的思路

前段时间给xx旅游委做了一个综合业务管理平台的项目,项目被分割成了n多个独立模块.要求每个模块需要提供单独的登录.退出以及各自的数据库和页面等,而整合这些应用的是一款叫做dzz的php版的桌面系统,类似于webqq.每个模块要在桌面系统中以图标的方式进行显示.所以一般我们叫这些模块为应用. 正题来了,我们开发小组有php.java2组4个人(移动端的未计算在内),php和java开发人员每个人都分配了5-10个应用的任务,还有一些系统自带的应用.最后整合的时候,就需要考虑单点登录的问题了,总不能

一次单点登录开发遇见的问题。。

因为业务需要,我所负责的系统需要做一个单点登录的功能.外面的大系统负责登录,然后通过url的形式链接到我们业务系统. 链接的url 会传递 一个token ,我通过token 去调用他们的接口,接口返回给我匹配我们业务系统中的用户名. 因为是政府办公的系统,这系统是比较老的ssh框架. 我所做的方案是,在本地的过滤器中实现 这个功能.获取得到的用户名,通过这个用户名去获取User对象,将这个User对象置于Session中,就实现了跳过本地的登录. 1.web.xml中过滤器的配置 <!-- 需

跨域单点登录系统的设计与实现

跨域单点登录系统的设计与实现 一.跨域单点登录系统整体设计 1. 系统架构 如上图所示:在系统存在一个认证中心以及多个站点.用户信息统一由认证中心管理,在其它子站的登录均会跳转到认证中心来登录. 2. 工作流程 单点登录系统的关键在于,当用户从一个子站登录后,它会在认证中心生成ticket标识,只要该标识存在就代表用户已经成功登陆了.每个子站在进入之前,无论本地ticket标识是否存在,均会去请求一次认证中心,要做的事情如下:如果子站ticket不存在,并不一定代表用户没有从别的子站登录,但是如

java实现的单点登录

摘要:单点登录(SSO)的技术被越来越广泛地运用到各个领域的软件系统当中.本文从业务的角度分析了单点登录的需求和应用领域:从技术本身的角度分析了单点登录技术的内部机制和实现手段,并且给出Web-SSO和桌面SSO的实现.源代码和详细讲解:还从安全和性能的角度对现有的实现技术进行进一步分析,指出相应的风险和需要改进的方面.本文除了从多个方面和角度给出了对单点登录(SSO)的全面分析,还并且讨论了如何将现有的应用和SSO服务结合起来,能够帮助应用架构师和系统分析人员从本质上认识单点登录,从而更好地设

十六、【适合中小企业的.Net轻量级开源框架】EnterpriseFrameWork框架核心类库之单点登录SSO

回<[开源]EnterpriseFrameWork框架系列文章索引> EFW框架源代码下载:http://pan.baidu.com/s/1qWJjo3U 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一.SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统. 如上图,当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录:根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返