企業級單點登陸——信息化體系建設基礎

企業級單點登陸，又稱統一身份認證平臺。

在《登陸的輪子，你還在造？》一篇中詳細說明了其歷史。若是你缺少一些關於登陸，認證，受權，鑑權等概念的基礎知識，該文章也是科普性質，相信也能解決你的大部分疑惑。

這裏，我主要來說一講，企業級單點登陸在信息化建設中的地位與做用。

企業的困擾

現在，企業內部須要使用到的企業級應用愈來愈多，每一個應用都須要帳號密碼，是帶給每一個員工最直接的困擾。爲了安全起見，帳號密碼每每要求一段時間重置一次，更加重了這種繁瑣。若是公司員工每一個人天天都在這件事情上損失5分鐘，假設公司有100人，那一年累計下來超過125個工做日，至關於有一我的半年什麼事情也沒幹。

企業級應用數量增長，最困擾的是企業內的IT管理人員。每次入職離職的過程當中，須要依次登陸各類應用後臺去開啓或關閉相關的帳號。若是由於一些特殊狀況，正常流程被打斷（這在人事管理中仍是很常見的），出現遺漏，每每會致使意外發生。

以上這些問題最多見的使用企業級單點登陸的理由，一個優秀管理者都能明確的觀察到並有動力去嘗試用單點登陸的方案來解決這些問題。

除此以外呢？

咱們在使用各類企業級應用的時候，每每會有這樣的尷尬：同一份數據老是須要在不一樣系統中反覆錄入。好比財務與人事的系統是徹底隔離的，最簡單的核算人員成本這件事情，人員發生調整，不只須要人事部門完成企業結構更新，財務也須要在其系統中去完成，一樣的事情被作了兩次。想進一步進行信息化的整合，作數據同步或者合併，就必須讓兩個系統中的人員結構都對應起來。

還有員工信息老是分散在各類不一樣的應用中，好比，員工在考勤應用裏面的考勤記錄，跟在人事應用中的基本工資，分屬於兩個應用。想進一步進行信息化的整合，要自動按照考勤計算出員工的工資，就必須分清楚兩個應用裏帳號的對應關係。

上面的例子在說明，信息化系統自己是須要不斷進化和完善的，這不只僅是體驗上的問題，更是信息化建設的初衷：更快更強。

想作到信息化自己的不斷進化，一個很是必要的前提就是，全部的數據都有着明確的歸屬，這就要求身份必須統一。

企業的選擇

信息化建設時，使用單點登陸平臺不只僅必要，能夠說這是整個信息化建設的基石之一。信息化建設不可能一蹴而就，再給以後信息化水平的提升作好鋪墊，避免以後再來實施單點登陸時，帶來舊系統數據遷移和同步等麻煩的事情，儘快作好統一登陸是很是必要的。

企業在實施的時候，根據具體狀況，能夠選擇商用產品或者開源產品。商業產品可能會提供除了帳號密碼之外更嚴格的登陸方式，好比U盾，生物識別等。商用產品固然可以提供更穩定的服務，來協助企業。不差錢或者是有着更高的安全要求，推薦使用商業產品。

開源產品就有不少了，好比CAS（Central Authentication Service，中央認證服務），一種獨立開放指令協議，耶魯大學發起的一個開源項目。固然也有許多相關的協議的實現，能夠去GitHub上去搜索SSO關鍵字，就能看到不少相關項目。

推薦使用名叫ArkID的開源項目，此項目是國內企業研發並維護，提供都是中文文檔，常見的登錄相關協議基本都支持，好比LDAP，SMAL，OAuth2等。

企業在選擇企業級應用時，總會有多重考慮，不免會出現各個應用使用不一樣登錄協議，選擇一款支持多協議架構的產品是很是有必要。

必要的功能

做爲一個企業級單點登陸，除了兼容各類常見登陸協議之外，管理帳號這種基本的功能之外，還有哪些基礎功能是必須的呢？

1. 組織架構。

組織架構是一個應用之因此稱之爲企業級應用的基礎，這個功能不只僅是維護組織信息，更是在權限管理中做爲重要的依據，企業級應用的權限老是跟部門信息直接掛鉤的。

2. 帳號同步。

這個功能是能夠將另外一個應用的帳號數據導入到ArkID系統中並在以後的更改中保持一致，好比如今大部分企業使用釘釘做爲辦公通信軟件，釘釘內部是維護了完整的帳戶與組織信息，就能夠將釘釘的數據與ArkID進行同步，以後只須要在ArkID中進行修改便可。

3. 帳號分組。

組織架構本質上也是帳號分組的一種。因此，在ArkID中，默認有三類分組：部門，角色，標籤。你也能夠新建本身的分組。每類分組均可以維護一套相似於組織結構的樹狀形態，以知足企業對帳號管理的各類需求。

4. 應用權限管理。

控制每一個帳戶是否可以登錄相應的應用，這是權限管理最基本的功能。與帳號分組互相配合，咱們能夠配製出各類想要的權限組合。

ArkID在每一個應用的權限配置中，都設置了帳號的白名單與黑名單。若是在此設置了帳號的權限，就視爲該帳號的最終權限，無論該帳號在以後分組的狀況。

同時也按照每類分組都設置了白名單與黑名單。判斷一我的是否擁有該應用的權限，是根據其所在全部分組的集合，只要該用戶所在任意一個分組擁有該應用的權限，該用戶也就擁有該權限。

除了管理應用登錄權限外，ArkID也提供了管理應用內部權限的API，應用內權限的管理，就須要目標應用的配合才能完成。

5. 可定製登陸界面。

每一個企業都有不一樣的Logo和名稱，一個可定製的登陸界面應該是必不可少的。

6. 子管理員。

顯然靠一個管理員來管理整個公司是不靠譜的，須要子管理員來協助工做。

7. 日誌與審計。

這裏記錄了全部員工對各個應用的登陸行爲和管理員在ArkID中的全部操做。除了安全了考量，更重要的這是企業IT規範很重要的審計功能。

結語

企業能很好的利用單點登陸系統，不只僅是解決多系統形成的帳號密碼管理繁瑣的問題，更重要的是其將做爲信息化建設的基礎，在以後系統升級與擴展時能更方便，成本更低。若是你正想進行信息化升級，那麼選擇並實施單點登陸系統應該成爲你必需要作的事情。