【web前端】SSO单点集成

什么是SSO

单个登录 single sign-on，指在多个系统并存的环境下，用户只需要登录一次就可以访问所有系统。
以此简化登录过程，提升用户体验，降低IT管理员大量到账号、密码维护成本。
同时也产生了安全风险，某一系统用户身份被攻破，在sso集成中的其他系统也逗被攻破了。

SSO集成常见问题

• 集成中的旧系统无人维护
• 组织人员信息不同意，登录名不一致
• 各系统域名没有统一规划，不在同一域名下

什么是同域名下

如百度地图 map.baidu.com、百度文库 wenku.baidu.com 都处于baidu.com域下，属于同一域名下，与taobao.com属于不同域名。

不同域名给SSO带来什么影响

SSO需要再各个系统传递用户登录的身份信息，例如通过Cookie传递，但是不同域之间的Cookie无法传递。

SSO集成难度最小的

1.同一个用户在不同系统只有一个共同登录名和密码
2.各应用系统共享一套用户名信息和密码
3.各应用系统采用相同的技术架构并且在同一域名下

SSO集成难度最大的

1.同一个用户在不同系统有不同登录名和密码
2.各应用系统各自存储了独立的登录名和密码
3.各应用系统采用不同技术架构，不在同一域名，或者只有IP没有域名

SSO集成环境调研

1.集成应用数理
2.应用部署系统环境
3.应用之间是否在同一域名下
4.各个系统账号是否统一
5.是否有C/S应用参与SSO
6.应用系统是否可以进行改造和配置
7.是否需要集中登录
8.是否需要保留本系统登录验证
9.是否有domino应用系统参与

当前两种主流的单点登录模式

• 集成验证模式
  登录页面和登录验证由验证服务器统一完成，不需要应用系统提供，如cas登录验证
  优点：
  适合的场景众多，使用统一的用户名和密码，无需记住多套登录名和密码，用户体验好
  缺点：
  验证服务独立在外，如果宕机，其他系统都无法正常登录。需要保证服务器稳定性
• 多点验证模式
  应用系统各自提供登录页面，登录其中一个系统后，其他系统无需在登录，如IBM提供的LTPAtoken验证
  优点：
  所有登录操作都在应用系统完成，任何一套系统宕机都不会对其他系统产生影响
  缺点
  一般需要使用LDAP身份验证，存在一定的技术条件，使用场景少