Single sign-on

Estágio da Internet tem um grande número de aplicações de aumentar consideravelmente a eficiência do trabalho e qualidade de vida para todos. No entanto, um grande número de aplicações têm de autenticação diferente e modo de autorização, o que permite que o usuário requer muita memória para o nome de usuário e senha, e vários logins e a necessidade de usar o sistema de registro, o que torna a experiência do usuário é muito ruim. Portanto, o single sign-on sistemas (SSO, Single Sign-on) surgiu.

As aplicações comuns Existem dois casos:

• Em uma unidade, é necessário o uso de uma pluralidade de diferentes aplicações de sistemas funcionais, como a empresa terá um sistemas financeiros dedicados, as vendas de sistemas de CRM, pessoal da OA, sistema de correio, se cada sistema com o sistema de certificação de contas separadas, dará equipe grande angústia, enquanto inconveniente para gerenciar. Por isso, é necessário projetar um login solução unificada.
• App agora é a era da explosão, se cada aplicativo requer um ID de login separado e senha, gerenciamento de usuários certamente não é conveniente, é necessário para projetar uma solução multi-plataforma para um pouso autorizado, tais como: I pousou uso Taobao Alipay autoridade de certificação quando aterragem, aterragem autorizar o uso de micro-canal, quando o microblogging.

SSO está definido em vários aplicativos, os usuários só precisam logar uma vez para acessar todas as aplicações de confiança mútua. Xiao Bian hoje para explorar o acima de dois casos, a diferença entre os processos e práticas de aplicação com todos.

OAuth2.0

OAuth 2.0 é uma rede aberta para autorizar o acordo, que permite aos usuários o acesso a sites de terceiros permitem que os usuários armazenar as informações e recursos em um site, tais como informações de conta, fotos, contatos, etc., sem a necessidade de fornecer para um site de terceiros conta e senha em um web site.

O processo de autorização do OAuth é como se segue:

1, o usuário abre o cliente, o cliente necessitam de autorização.

2, o usuário concorda com a autorização do cliente.

3, a licença de cliente ainda fornecido ao token de autorização do servidor de camada de aplicação.

4, após o servidor de autorização para autenticar o cliente, concordou em liberar o token.

5, o cliente usa um símbolo, recursos de aplicativos para o servidor de recursos.

6, confirme os recursos do servidor símbolo, o open source cliente.

Cena OAuth Descrição:

Por exemplo, pequenas séries antes de os restos são mais tempo para manchetes de uso para obter as últimas informações informações, recente entender vibrato fogo, baixou o vibrato, você pode usar as manchetes como o acesso não autorizado ao selecionar a página de registro

Multi-plataforma multi-login por mais cooperação entre empresas através da Internet para ajudar uns aos outros para verificar a identidade do usuário, site do fornecedor de eletricidade amplamente utilizado sites de redes sociais conta o login multi-plataforma, os clientes podem jogar drenagem, reduzindo o limiar para a compra pela primeira vez, marketing, monitoramento e outros efeitos.

LDAP

LDAP é um baseado em Lightweight Directory Access Protocol, significa Lightweight Directory Access Protocol, é uma consulta, navegar e pesquisar banco de dados otimizado consiste em um, ele organiza os dados em uma estrutura de árvore, semelhante ao mesmo diretório do arquivo.

LDAP single sign-on de autenticação é principalmente para mudar a política de autenticação existente, tornando as necessidades de software são autenticados pelo servidor LDAP na autenticação de identidade unificada, todas as informações do usuário é armazenado no AD Server, um usuário final necessidades de usar o serviço interno da empresa tempo, precisa ser autenticado pelo servidor AD.

Todo o processo de início de sessão LDAP consiste dos quatro passos seguintes:

1, a conexão com o servidor LDAP.

2, se ligam ao servidor LDAP.

3, executar a operação necessária no servidor LDAP.

4, libera a conexão com o servidor LDAP.

Cena LDAP Descrição:

serviços empresariais que exigem autenticação de um monte, um monte de pessoas precisam se lembrar de senhas, mesmo se a mesma senha para estes serviços, há um grande risco de segurança. Por exemplo, a nossa empresa tem JIRA, confulence, gitlab, Norte Floresta e outros sistemas,

cenários de uso é melhorar ao usuário uma perfeita experiência de navegação em toda a empresa com múltiplos locais (nome de domínio), por exemplo, pode haver vários sistemas internos para lidar com serviços diferentes (OA, e-mail, finanças, etc.), desde que o usuário em um sistema estadia logado, você pode acessar sem ter que logar novamente para outros sistemas internos.

CAS

SSO é apenas uma estrutura, um design e CAS é um meio de alcançar o SSO. Ambos relação abstrato e concreto.

Esse modelo de serviço de autenticação CAS Central (Central Authentication Service), o acordo é para a aplicação para fornecer autenticação de identidade confiável single sign-on do sistema, originalmente desenvolvido pela Universidade de Yale. CAS é composta de duas partes: CAS Server e CAS cliente. CAS Server requer uma implantação separada, o principal responsável pela certificação do usuário; CAS Cliente é responsável por tratar as solicitações do cliente para acesso a recursos protegidos, se necessário logado redirecionado para o servidor CAS.

CAS detalhado fluxo como mostrado:

sumário

Vários sign-on único sistemas introduzidos hoje, tem alta segurança, pode cumprir melhor as necessidades de single sign-on sistema.

• protocolo OAuth pode ser amplamente utilizado na Internet, com base em uma enorme quantidade de usuários de grandes empresas, pode reduzir o custo de registrar a promoção de pequenos sites, e pode fazê-lo partilha mais conveniente de recursos.
• protocolo LDAP para usuários corporativos, através do protocolo LDAP, pode gerir melhor a autorização do empregado e de acesso entre os vários sistemas da empresa.
• modelo CAS, como uma autoridade de desenvolvimento do sistema, tem a boa compatibilidade e segurança, é amplamente utilizado em grandes universidades e outras grandes organizações podem usar o encaixe bem feito e um monte de gente um monte de sistema.

De acordo com suas próprias necessidades, escolher um diferente sign-on único sistema para atender os usuários-alvo.

Hoje é aprendido dia!