轻松入门CAS系列(1)-轻松看懂企业单点登录的解决方案
常见的企业应用情况
企业内部的信息化一般都是一个过程中的 ,起初企业为了部分管理的需要,会上线几个信息化系统;后来对这块慢慢重视,信息系统会越来越多。开始,只有一两个系统时,员工还好,靠脑袋还能记得住帐号名密码,但是后面系统多,使用的系统超过4个后,开始有点记不住了。特别是偶尔使用系统,需要经常要联系系统负责人,重置帐号密码;
但是,重置密码这件事情,在小公司还算好,大家相互认识;但是在大公司,就比较麻烦,大家相互不认识,就要让张三自己来证明自己是张三,这种事情不可避免;总不能随便有人打电话过来就重置密码吧。当然,系统本身可以增加一些自助的密码找回功能,但是每个系统都增加这个功能无疑是加重了项目的成本。
这种现状,很多员工都喜欢设置一样的密码,那问题来了,有些业务系统要求密码定期更换的,系统一多以后,员工自己都不知道有几个系统需要修改密码,自然定期修改密码这件事情变得不靠谱。
企业怎么做呢?
统一认证+单点登录的解决方案,很好的解决这个问题。登录功能都集中在SSO Server上,所有的信息系统都去掉登录和帐号管理功能,直接对接SSO Server;统一认证服务解决所有系统都用一套帐号密码。
这种结构,用户只要一套帐号名密码,由统一认证服务分配。其中一个系统的密码修改了,所有的登录帐号密码都修改(其实只有一套帐号名密码)。进入任何系统,都只需要登录SSO Server就可以了,大大方便了用户。系统之间的跳转,也无需登录。
对开发来说,也省事,系统无需登录功能了。这两块功能如果要做好还是比较花时间的,不要觉得登录功能开发简单,要开发一个安全的登录功能,比如登录失败多少次,就弹出验证码;登录出现多少次错误,就禁用帐号;只允许一个帐号一台设备登录;等等功能,还有忘记自助找回功能等,都是1个人月的开发量肯定完不成的;
对安全来说,安全登录加固只要对SSO Server和统一认证服务加固就可以了,
集成的事情,以后再讲吧。
当然,集中认证固然后好处,也带来其他问题;
原先所有的登录服务都是分散在各个系统中,性能不太会产生瓶颈;但是现在就不一样的,比如一个系统并发20个,那10个系统就是200的并发,对于一般的系统200并发还是比较高的。如果处理不当,应用和数据库都会是瓶颈;
故障风险也集中了,登录如果出现问题,那业务系统当然就进不去了,对业务就会产生影响。
登录是系统中安全最重要的一块,登录模块跟帐号体系有关,基本上帐号模块安全上出问题了,那整个系统安全上就出问题了。所以,对于登录模块来说,其安全性要以接入系统安全登录最高的那个要求;比如,接入系统有三级等保的要求,那登录模块也需要到达这个安全级别。
那怎么应对呢
三方面,系统的性能扩展、持久层增加缓存,安全测评监控等手段。具体以后再讲。
最后,谢谢各位能看到完本段文章。
文章的PPT可以到这个地址下载。
另外,大家对CAS想了解的话,可以来我的CAS中文文档站点(http://www.cassso-china.cn)来瞅瞅。