淺談單一登入Single Sign-On

淺談單一登入Single Sign-On

Single Sign-On ( SSO )

在現代化的企業組織中,電子化的資訊管理系統多不勝數。而每位員工在使用企業內部資訊系統,必然要有最少一組的帳號及密碼,來登入使用。

 

伴隨著企業組織的成長,內部資訊管理系統也會相應擴充、或是建置全新的系統。這時若有一套規劃完善的單一登入系統( Single Sign-On ),有幾種好處:

  • 第一:不用重新建立使用者帳號,
  • 第二:不用重新設定權限、
  • 第三:資訊安全稽核軌跡紀錄,
  • 第四:減少記憶密碼,降低使用者排斥新系統,
  • 第五:可以有多種認證方式(帳密、CA憑證、識別證)

 

單一登入就是一套在幫助員工只需記憶一組帳號密碼,就能使用企業內部不同的資訊系統。在撰寫這篇文章的同時,我們經常困惑,這麼好用、便利的系統整合解決方案,推動起來怎麼這麼困難。

 

我們經常在各大企業中簡報單一登入系統,遭遇的阻礙可說是不勝枚舉,認真地歸納幾項要素,不外乎就是成本考量,不想花太多錢規劃基礎建設,不想讓員工太輕鬆,大部分的企業主老闆們,其實都是很認真地述說,都已經花錢讓員工來上班投入生產,已經不太願意再花錢讓員工可以更輕鬆的做事情…………..

 

要談單一登入,最重要的一件事情就是先做好目錄服務!目錄服務是將人的資料(老闆、管理階層、員工、外派…)利用檔案目錄的方式進行管理,將人的資料依資料的類別、型態、資料格式,以人為單位編製成一套目錄。常見的系統有Windows Active Directory、OpenLDAP、Novell eDirectory…等等。

 

用資料庫來存放人的資料可以嗎?通常不會給予這樣的建議,因為資料庫存放的資料經常是用來運算,拿來存放靜態的資料是大材小用。所以建議是採用支援LDAP協定的軟體做成目錄服務管理系統。

 

上述目錄服務並非只是用來儲存人的資料,最重要的功能就是認證、授權

 

認證:
識別登入者的身分,常見的認證方式有帳號密碼驗證、CA憑證

 

授權:
使用者登入應用程式後,依目錄服務身分識別角色權限

 

通訊錄:
可應用於郵件、簡訊等通訊使用

 

命名規則:
將記錄的資料,以編輯目錄的方式給予一連串有效、好管理的命名規則!例如AA0001~AZ9999。舉例來說,使用國內的身分證字號A123456789,取後四碼加上英文就會產生一組AA6789的帳號。第二位使用者的身分證R123456789,由於後四碼與第一位使用者重複,就可以加上規則產生AB6789。如此就可以避開產生相同帳號但是不同使用者的窘境。

 

紀錄:
利用目錄服務的授權紀錄,來檢視使用者的登入是否合法,取得軌跡紀錄,控管資訊安全

 

目錄服務著重再落實管理的概念,好的目錄服務就是讓企業減少管理工作的負擔,才能有效地執行應用程式的單一登入整合。


發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料