自我理解单点登录——笔记篇

单点登录
哈喽，欢迎来到小朱课堂，下面开始你的学习吧！

单点登录
一、什么是单点登录 (SSO)？
单点登录（Single Sign On），简称为 SSO，是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。
单点登录在用户登录和使用应用程序方面实现了巨大的飞跃。 基于单点登录的身份验证系统通常称为“新式身份验证”。 新式身份验证和单点登录属于称为标识和访问管理 (IAM) 的计算类别。
二、单点登录与传统登录的对比和优势
对比：
与传统登录方法相比，单点登录可以提供更多的优势。
使用单点登录，用户可以使用一个帐户登录一次，即可访问加入域的设备、公司资源、软件即服务 (SaaS) 应用程序和 Web 应用程序。 登录后，用户可以从 Office 365 门户或“我的应用”启动应用程序。 管理员可以集中管理用户帐户，并根据组成员身份自动添加或删除用户对应用程序的访问权限。
不使用单点登录，用户必须记住特定于应用程序的密码并登录每个应用程序。 IT 人员需要为每个应用程序（如 Microsoft 365、Box 和 Salesforce）创建和更新用户帐户。 用户需要记住他们的密码，并且花时间登录每个应用程序。
优势：
降低访问第三方站点的风险（未在外部存储或管理的用户密码），
从不同的用户名和密码组合减少密码疲劳，减少重新输入相同身份的密码所花费的时间，
提高用户的效率，用户不再被多次登录困扰，也不需要记住多个 ID 和密码，
由于关于密码的IT服务台呼叫数量减少，降低了IT成本。
三、选择单点登录的方法（简单了解）
有几种方法可以配置应用程序以实现单点登录。 选择哪种单点登录方法取决于为应用程序配置的身份验证方式。
云应用程序可以使用 OpenID Connect、OAuth、SAML、基于密码、链接或禁用的方法进行单点登录。
本地应用程序可以使用基于密码、集成身份验证、基于标头、链接或已禁用的方法进行单点登录。 当应用程序配置为应用程序代理时，本地选项适用。
四、单点登录技术实现机制
当用户第一次访问应用系统的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据－－ticket；用户再访问别的应用的时候，就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

五、什么是 Azure Active Directory？
Azure Active Directory（Azure AD）是微软基于云的身份和访问管理服务，帮助您的员工在Azure中。
外部资源，例如 Microsoft 365、Azure 门户以及成千上万的其他 SaaS 应用程序。
内部资源，例如公司网络和 Intranet 上的应用，以及由自己的组织开发的任何云应用。
六、快速入门：（配置相关、常用的两种单点登录形式介绍）
查看你的应用—>添加应用—>配置应用—>向应用分配用户—>设置基于那种单点登录方式（常用的有两种SAML，OIDC）—>删除应用。注：不做演示了,简单了解!!
举例说明：
Azure AD 如何与应用一起工作？Azure AD 位于中间，它为云和本地应用提供标识管理。

**注：**通过自动执行用户预配来降低管理成本，使得在将用户添加到公司 HR 系统时，他们会自动添加到 Azure AD 中。
注：自定义预配：在 Azure Active Directory (Azure AD) 中，术语“应用预配”是指自动为应用程序创建用户标识和角色。
应用预配可让你：（优点）
自动预配：在新人加入团队或组织时，在适当的系统中为他们自动创建新帐户。
管理取消预配：在新人离开团队或组织时，在适当的系统中自动停用其帐户。
同步系统之间的数据：确保应用和系统中的标识基于目录中的更改或人力资源系统保持最新。
预配组：将组预配到支持它们的应用程序。
管理访问权限：监视和审核已预配到应用程序中的人员。
七、示例

效果展示：

八、单点登录原理：
　　相比于单系统登录，sso需要一个独立的认证中心，只有认证中心能接受用户的用户名密码等安全信息，其他系统不提供登录入口，只接受认证中心的间接授权。间接授权通过令牌实现，sso认证中心验证用户的用户名密码没问题，创建授权令牌，在接下来的跳转过程中，授权令牌作为参数发送给各个子系统，子系统拿到令牌，即得到了授权，可以借此创建局部会话，局部会话登录方式与单系统的登录方式相同。这个过程，也就是单点登录的原理，用下图说明：

九、部署图
单点登录涉及sso认证中心与众子系统，子系统与sso认证中心需要通信以交换令牌、校验令牌及发起注销请求，因而子系统必须集成sso的客户端，sso认证中心则是sso服务端，整个单点登录过程实质是sso客户端与服务端通信的过程，用下图描述:

sso认证中心与sso客户端通信方式有多种，这里以简单好用的httpClient为例，web service、rpc、restful api都可以。

搬砖路上，希望对你有帮助！可以关注一下哟，持续更新！ 快发表一下你的看法吧！欢迎关注博主抖音账号：1639625623，账号名：小朱课堂！