這樣的單點登陸才最有效果，不少大咖牛人都不知道！

導讀：單點登陸，是指在多個應用系統中，用戶只須要登陸一次就能夠訪問全部相互信任的應用系統。本文從友戶通單點登陸類型、認證安全以及應用集成的角度，聊下解決複雜場景下的單點登陸方案。

隨着雲計算的飛速發展，愈來愈多的雲應用、雲服務充斥在平常的工做當中。人們在享受信息化帶來的便捷的同時，也遭受着應用系統反覆登陸，工做入口來回切換，數據消息接收不及時等諸多煩惱。伴隨着業務系統數量的增長，用戶會以爲本身身陷於愈來愈多的用戶帳號和密碼須要記錄，以便於使用各類雲服務。

單點登陸（Single Sign On），簡稱爲 SSO，是指在多個應用系統中，用戶只須要登陸一次就能夠訪問全部相互信任的應用系統。隨着互聯網的發展，單點登陸得到了較爲普遍的承認和應用。

然而在企業級應用的環境中，單點登陸的使用面臨着許多特有的挑戰：

（一）企業應用的複雜性也體如今登陸類型和登陸場景的複雜性上；

（二）與企業已有的認證服務無縫集成是個挑戰性的工做；

（三）認證能力如何達到企業級的安全要求是得到用戶承認的關鍵。

如何讓單點登陸在企業完美的落地，還請看友戶通的方案。

1.什麼是友戶通？

友戶通是社會化商業應用基礎設施和企業服務產業共享平臺，它統一了用友雲產品的用戶管理和企業管理。友戶通存儲着用友雲全部用戶信息，是用友雲全部使用者的通行證、一卡通。

2.友戶通的單點登陸方案

友戶通的統一單點登陸解決方案，提供非侵入性的單點登陸服務，可解決用戶日益增多的帳號和密碼的記錄問題。採用知足行業及安全規範的最新登陸行爲技術，幫助雲服務提供商實現CS、BS、雲應用系統的單點登陸功能。憑藉內嵌的安全場景認證模型、數據安全存儲及傳輸技術、集中審計等核心功能，幫助客戶解決在面對單點登陸體系時所遇到的認證安全弱、系統改造難、客戶端系統沒法接入、雲應用沒法接入等問題。

1.多種登陸類型和登陸場景的全支持

友戶通單點登陸平臺支持Web單點登陸、移動單點登陸、PC端應用單點登陸和第三方認證中心單點登陸，提供支持主流的身份協議 （如CAS、OAuth），爲雲和移動應用程序提供單點登陸功能。單點登陸平臺使員工、消費者、客戶和合做夥伴一次登陸即可實現跨多個運營平臺（包括移動設備）訪問企業和雲的應用程序。多種單點登陸相結合，可支持單點登陸到Web端、非Web 端和基於雲的應用。

企業應用單點登陸，支持傳統軟件基於PC端應用單點登陸，支持對web、非web應用程序無縫集成，實現從Web端到PC端以及從PC端到Web端的正、反雙向單點登陸。這種方法須要在用戶的桌面上安裝PC端單點登陸器（如UClient、友空間PC端）。

在技術形式上，能夠用Cookie做爲憑證媒介，經過頁面跳起色制實現登陸，也提供了基於jsonp的登陸服務，支持跨域的身份服務管理，同時，還提供了基於SDK的身份集成機制。

跨端的雙向單點登陸示意圖

PC端單點登陸器，能夠做爲應用的統一入口使用，用戶能夠自助的添加多個應用到登陸器中。用戶首先在登陸器登陸，而後再打開內部的應用時，無需再次登陸，打開Web應用時，一樣無需登陸。登陸器登陸時，與雲端認證服務器創建安全鏈接，進行身份認證，登陸成功後，登陸器獲取到雲端頒發的登陸令牌，保存在內存中。訪問應用時，點擊登陸器裏的對應的應用圖標，登陸器根據當前登陸的用戶，嚮應用服務器請求獲取該應用的登陸票據，並對票據進行簽名，而後使用簽名的票據啓動應用客戶端，應用服務驗證簽名後便可進入到應用系統中。訪問雲端的服務時，登陸器基於保存的登陸令牌，生成登陸憑證，包含登陸憑證的請求，能夠直接實現單點登陸，進入到雲端Web服務。

PC端單點服務器服務流程示意圖

2.對多種類型的第三方認證中心的完善集成

（一）集成企業自建的用戶中心。有些企業有本身的用戶中心，如AD/LDAP類型的用戶中心，企業內的不少應用，像OA系統，鏈接在這些用戶中心上，這些數據中心已經存在了一段時間，因此存留了大量的用戶，企業在使用雲服務時，但願可以使用現有的這些用戶及口令直接漫步雲端，上雲的過程對用戶無感知無影響。友戶通很好地支持了這種場景，容許使用企業現有目錄帳戶和認證服務進行認證，而且自動、自助的綁定雲端用戶，無縫地登陸到雲端應用。

（二）集成第三方公有云用戶生態系統。目前消費互聯網領域的認證，已經很是普及和流行，如微信認證、QQ認證、微博認證等，不少用戶已經習慣於使用這些帳號，來做爲網絡身份認證的標識。友戶通支持使用行業標準技術和主流的協議進行認證，支持類OpenID的認證服務機制，支持基於OATH受權服務，支持SAML的用戶集成/被集成機制。

（三）集成非標準的用戶中心。有的企業使用了多個信息系統，例如客戶購買了NCERP系統、U8系統、OA系統以及其它的生態應用，這些應用的用戶體系是相互隔離的，沒有統一的用戶中心，隨着體統增多，用戶帳號愈來愈多，管理愈來愈複雜。在這種場景下，友戶通能夠做爲一種用戶中心的網關，將各個系統的用戶中心鏈接起來，造成用戶中心的聯邦，打通各個系統的用戶帳號體系。

（四）被夥伴應用集成實現單點登陸。用友雲的生態夥伴，在各自的用戶中心登陸後，訪問用友雲服務時，自動實現單點登陸。友戶通能夠受權信任的生態夥伴應用，受權後，生態應用使用本身的登陸憑證，訪問用友雲服務，友戶通會校驗夥伴的登陸憑證的有效性，並頒發友戶通的登陸憑證，實現單點登陸。

3.包含多因子認證能力的高安全性

從技術手段上講，用戶名和口令這種方式，很容易被破解或竊取，並且沒法追溯使用者的真實身份，更沒法進行責任定位與追究。基於PKI體系的數字證書認證，特別是使用物理介質存儲的證書，使得系統的安全性獲得極大的保障。但其侷限性也是明顯的：犧牲了系統的用戶體驗，首先，Ukey須要隨身攜帶，而且要妥善保管好；另外，由於須要對硬件Ukey進行識別，每每對系統環境有特定的要求，並且通常須要單獨安裝驅動，因此對客戶端的兼容性是個問題。

針對企業服務還存在以下問題，在一個大型企業、公司、事業單位、政府部門中的多個信息應用系統，並非每一個應用都須要數字證書認證的，而對身份及其敏感的業務，如資金轉帳系統，則必須使用數字證書。即便是同一個系統，對不一樣的角色而言，對證書的要求也是不同的，如醫療系統中，患者使用口令登陸，而醫生使用數字證書認證身份。

多因子身份認證能力是友戶通的單點登陸系統的高安全性突出體現。多因子身份認證是在傳統口令認證的基礎上，支持UKey數字證書認證、人臉登陸、動態密碼等多種認證，對認證的安全性的強化，並支持針對不一樣應用系統，不一樣的用戶，設置不一樣的認證因子組合策略。例如，對於普通安全級別的系統，能夠只用口令認證，能夠保持單點會話，無需屢次登陸。而訪問高級別要求的系統時，則提示補充更多的認證因子。這樣，既保持了單點登陸的優勢，又保證了系統的安全性。支持綁定手機做爲身份認證設備，充分利用移動設備的便攜性、邊緣計算能力和生物特徵智能識別能力，實現安全、方便的多因子身份認證。

多因子認證流程示意圖

3.友戶通方案的技術總結

1.統一帳戶體系，一個帳號訪問全部的應用系統。單點登陸，訪問其它應用時無需再次登陸，顯著提升了辦公效率。

2.提供基於 Web 的用戶自助服務設施，以使用戶可以執行應用程序註冊、密碼恢復和密碼重置等服務。

3.全面的單點登陸解決方案，Web單點登陸，第三方認證中心單點登陸和企業單點登陸、移動單點登陸可運行在同一後臺。

4.內置多步驟、多因素強認證，提升單點登陸安全性， 實現多因素高安全身份認證和管理，知足企業信息安全制度要求。

4.友戶通的應用案例

支持了大量的基於雲的應用程序的 SaaS應用，包括友雲採、友報帳、友人才等幾十個用友雲應用以及生態夥伴應用。