一、什么是SSO

SSO是單點(diǎn)登錄（Single Sign On）的縮寫(xiě)，是指在多個(gè)應(yīng)用系統(tǒng)中，用戶(hù)只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。這種方式減少了由登錄產(chǎn)生的時(shí)間消耗，輔助了用戶(hù)管理，是比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。

身份驗(yàn)證過(guò)程依賴(lài)于雙方之間的信任關(guān)系——身份提供者(IDP)和服務(wù)提供者(SP是最終用戶(hù)想要訪問(wèn)的應(yīng)用程序)。在最常見(jiàn)的身份驗(yàn)證流下，當(dāng)用戶(hù)希望訪問(wèn)服務(wù)提供者時(shí)，將使用SAML請(qǐng)求消息將其重定向到身份提供者(IDP)。如果用戶(hù)尚未登錄，身份提供者將對(duì)其進(jìn)行身份驗(yàn)證，如果驗(yàn)證成功，它將使用SAML響應(yīng)消息(通常在POST請(qǐng)求的正文中)將用戶(hù)重定向回服務(wù)提供者。SAML響應(yīng)消息將包含一個(gè)標(biāo)識(shí)用戶(hù)并描述一些條件的斷言(響應(yīng)的過(guò)期時(shí)間和訪問(wèn)的范圍，該限制聲明斷言對(duì)哪個(gè)服務(wù)有效)。服務(wù)提供者應(yīng)該驗(yàn)證響應(yīng)、斷言和條件，并且只有在身份驗(yàn)證成功時(shí)才向用戶(hù)提供對(duì)應(yīng)用程序的訪問(wèn)權(quán)限。

二、SSO帶來(lái)的好處

當(dāng)用戶(hù)第一次訪問(wèn)應(yīng)用系統(tǒng)的時(shí)候，因?yàn)檫€沒(méi)有登錄，會(huì)被引導(dǎo)到IDP認(rèn)證系統(tǒng)中進(jìn)行登錄；根據(jù)用戶(hù)提供的登錄信息，IDP認(rèn)證系統(tǒng)進(jìn)行身份校驗(yàn)，如果通過(guò)校驗(yàn)，應(yīng)該返回給用戶(hù)一個(gè)認(rèn)證的憑據(jù)——ticket；用戶(hù)再訪問(wèn)別的應(yīng)用的時(shí)候就會(huì)將這個(gè)ticket帶上，作為自己認(rèn)證的憑據(jù)，應(yīng)用系統(tǒng)接受到請(qǐng)求之后會(huì)把ticket送到認(rèn)證系統(tǒng)進(jìn)行校驗(yàn)，檢查ticket的合法性。

啟用SSO之前：

啟用SSO之后：

現(xiàn)在的大部分公司內(nèi)部用用系統(tǒng)很多，有項(xiàng)目管理系統(tǒng)、bug管理系統(tǒng)、知識(shí)管理系統(tǒng)、郵件管理系統(tǒng)、遠(yuǎn)程機(jī)器訪問(wèn)管理等等。如果每訪問(wèn)一次系統(tǒng)都要輸入一次密碼，確實(shí)很麻煩。由于SSO只需要登錄一次，就可以訪問(wèn)很多應(yīng)用，給內(nèi)部辦公帶來(lái)很多便利，大大提高效率的同時(shí)，也給IT管理人員減少了很多工作量。

SSO主要的優(yōu)點(diǎn)如下：

1. 方便用戶(hù)：用戶(hù)只需一次登錄，就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)，無(wú)需每次輸入用戶(hù)名和密碼，也不需要記住多套用戶(hù)名和密碼。用戶(hù)更愿意使用復(fù)雜的密碼策略，促進(jìn)了安全密碼策略的實(shí)施。這提高了用戶(hù)體驗(yàn)，特別是對(duì)于需要訪問(wèn)多個(gè)系統(tǒng)的用戶(hù)來(lái)說(shuō)。
2. 方便管理員：管理員只需要管理一套統(tǒng)一的用戶(hù)賬號(hào)，方便、簡(jiǎn)單。相比之下，管理員以前需要管理很多套的用戶(hù)賬號(hào)，這不僅給管理上帶來(lái)不方便，而且容易出現(xiàn)管理漏洞。特別是員工離職時(shí)，需要針對(duì)多套系統(tǒng)禁用離職員工相關(guān)的賬號(hào)，經(jīng)常導(dǎo)致會(huì)有所遺漏。之前公司就有個(gè)同事離職之后，因?yàn)橘~號(hào)管理的失誤，依然可以使用一個(gè)對(duì)外的在線(xiàn)網(wǎng)站系統(tǒng)，后來(lái)公司強(qiáng)制使用SSO之后，也就自然而然堵上了這個(gè)漏洞。管理員可以通過(guò)單點(diǎn)登錄平臺(tái)集中管理所有用戶(hù)的賬號(hào)和密碼信息，方便快捷地進(jìn)行用戶(hù)管理。
3. 簡(jiǎn)化應(yīng)用系統(tǒng)開(kāi)發(fā)：開(kāi)發(fā)新的應(yīng)用系統(tǒng)時(shí)，可以直接使用單點(diǎn)登錄平臺(tái)的用戶(hù)認(rèn)證服務(wù)，簡(jiǎn)化開(kāi)發(fā)流程。單點(diǎn)登錄平臺(tái)