随着经营发展和业务需要,企业的信息化系统慢慢开始变多,比如ERP、OA、CRM等。为了有效的管理账号,很多企业建立了用户中心(简称IdP,身份提供方Identity Provider),企业内系统可使用一套账号。企业在持续发展的过程中,也在持续建设新的系统,新的系统有自己的用户中心,那么两个用户中心如何打通?企业用户会不会因为增加新系统而又回到需要记多套密码的时候?
用友的iuap推出的“联邦用户中心”,可快速打通企业内用户中心与外部用户中心,实现统一用户管理、身份认证、授权等,达到单点登录的效果。如下图,左边是企业的用户中心,右边是用友iuap“用户中心”(友户通),他们通过“联邦用户中心”的简单设置,即可使企业用户单点登录到两个用户中心支持的多个应用。
使用联邦用户中心对企业还有如下益处:
1)企业用户可访问iuap以及融合生态多个应用
由于友户通是iuap的用户中心,所有iuap应用均通过友户通进行登录,且集成了很多融合云应用(其他合作伙伴的应用),这些应用都使用同一个用户中心,应用之间都能达到单点登录的效果。如果企业通过联邦用户中心与友户通打通(不需要企业把用户给友户通),企业使用友户通支持的任何应用时,用户可直接访问这些应用。
2)管理用户简单
企业增加友户通支持的应用时,管理员不需要为用户在新系统中新建账号,也不需要再做用户集成。企业管理员只需要管理自有IdP的用户即可,比如有新员工入职时,管理员只需要在企业自有IdP中为用户创建账号,用户即可同时访问两个用户中心支持的系统,降低了管理复杂度。
3)用户使用很方便
由于通过打通用户中心,达到了单点登录的效果,用户避免记录多套账号密码、反复登录不同的应用系统,从而达到用户在一个应用登录、其他应用自动登录的良好体验,提高用户工作效率。
4)为企业跨应用的业务场景打好用户基础
由于企业内部应用与iuap应用在用户系统上已经打通,在此基础上可根据场景进行进一步的融合各应用,满足企业个性化的复杂业务场景。比如审批流程,员工在应用“NCC”里提交报销申请,上级主管可在另一个应用“友空间”里查看并审批,就是因为用户系统打通后应用间可进行深度融合。
联邦用户中心支持哪些标准协议的企业IdP
目前,友户通已经支持了LDAP、CAS、OAuth2、SAML2等标准协议的企业IdP.同时,对于企业IdP不使用标准协议时,友户通还提供自定义token机制,为企业在各种情况下实现用户中心的打通。
零代码简单设置即可打通多个用户中心
联邦用户中心的部署实施很简单,只需要如下两步,在半天时间内,就可以部署实施完成企业IdP与友户通中户中心的集成
步骤一:在友户通中配置联邦身份认证。联邦身份认证中心配置界面。
步骤二:在访问用友云的链接里加上thirducid参数(参数值由第一步确定)。
用友iuap的友户通是什么?
友户通是iuap为企业提供的用户身份管理与应用访问控制服务,是社会化商业应用基础设施和企业服务产业共享平台。它为企业统一用户中心和身份服务,实现用户一次登录,全网通行,避免用户登录多个应用系统需要多次输入用户名口令的情况。
友户通以用户、企业、企业账号三大中心为基础,服务企业多元化的需求。用户中心管理用户账号信息,企业中心提供企业认证审核等服务,企业账号中心管理企业-应用-用户的访问授权控制。
企业账号管理和分权
友户通的数据隔离按照“企业-租户-应用-用户”模式,进行管理和分权。友户通允许在企业下创建并管理多个租户,每个租户本质上是一个或多个产品使用权限的集合。管理员可以将一个或多个产品使用权限分配给用户。
例如,企业 A 购买了多种云产品(如NCC/U8C/友云采/友空间/…),企业的员工需要使用这些云产品,有的员工负责购买,有的负责运维,还有的负责线上使用。由于每个员工的工作职责不一样,需要的权限也不一样。
出于安全或信任的考虑,A不希望将密钥直接透露给员工,而希望能给员工创建相应的用户账号。
用户账号只能在授权的前提下使用产品。
A随时可以撤销用户账号的权限,也可以随时删除其创建的用户账号。
A的不同人员负责不同的产品管理,比如财务部门购买了NCC,采购部门购买了友云采和友空间,A创建了2个租户(子账号),以便于各部门分开管理购买的产品和对用户的授权(财务部使用其中一个租户账号,采购部使用两一个租户账号)。
账号管理的相关术语
企业
使用用友云产品时,需要登记企业信息,并对企业进行认证,通过认证过的企业具有经过国家工商部门审核的牌证,企业经过认证后可以激活和使用用友云产品。
企业账号(租户)
是企业在友户通的账号,一个企业可以拥有多个企业账号,便于隔离、方便管理,可以理解为企业的多个子账号。企业账号是基础的业务控制数据信息,是数据隔离、业务隔离、流程隔离、资源隔离、计费隔离等的依据。
企业账号是用友云产品使用计费的基本主体。当用户开始使用用友云服务时,首先需要注册一个企业。企业为其所使用的产品付费,并对其所使用的产品拥有访问管理权限。
所以从权限管理的角度来看,企业就是操作系统的root或Administrator,所以我们有时称它为根账号或主账号。
用户账号
是云产品、软件产品的具体使用人员的账号。一个用户一个ID,终身唯一,是进入、通行用友云的“×××”,是全局唯一的。同一个手机号码只能注册一个友户通账号,同一个邮箱只能注册一个友户通账号。
应用
是用友云中可注册、开通的所有产品,既包含财务云、人力云等云服务产品,也包含U8、U8 Cloud等云注册产品。企业账号购买和激活应用后,再授权企业的部分用户使用和管理。
企业-企业账号-应用-用户账号之间的关系
一个企业可以拥有多个企业账号,一个企业账号可以开通多个应用,一个应用可以授权被多个用户使用,一个用户也可以使用多个应用,一个用户可以被不同的企业账号授权使用应用。
登录方式多种多样
身份凭证是用于证明用户真实身份的凭据,它通常是指登录密码或访问密钥(Access Key)。身份凭证是秘密信息,用户必须保护好身份凭证的安全。
登录认证:您可以使用登录名和密码登录友户通云控制台,查看订单、账单或购买产品,并通过控制台进行产品使用。
登录认证方式:账号密码、手机号验证码、友空间扫二维码、第三方、Ukey、微信扫二维码、QQ账号或扫二维码。
访问密钥:您可以使用访问密钥构造一个 API 请求(或者使用云服务 SDK)来操作资源。
登录权限判断
用户通过移动端或web端访问产品,那么我们的友户通是怎么判断他是登录的哪个企业、哪个企业账号、哪个应用呢?下图以用户登录NCC举例:
友户通为企业建立统一账户体系
从企业的角度来说,使用友户通后最大的体验就是,企业内部只有一套账户体系。友户通连接企业各类应用,打破信息孤岛,实现自动化账号管理,降低了 IT管理成本;企业管理员能够集中管理企业内部系统的认证、授权及账号,更方便、更高效;各系统之间实现了单点登录,提高用户体验和效率;统一分析用户行为,分析结果更准确,为用户提供更优质的服务。
另外,友户通还帮助企业提升系统和数据安全性。统一集中的对基础数据服务进行安全防护、漏洞检测,更高效的利用安全防护技术。
总之,有了友户通,企业几十个应用不用愁、几千几万用户的管理也不用愁,统一安全的管理通通具备。
友户通助力企业数字化转型升级!