办公安全平台 SASE(Secure Access Service Edge)支持基于OIDC的SSO(Single Sign On,单点登录),也称为身份联合登录。本文介绍SASE SSO的基本概念,帮助您深入了解单点登录能力。
什么是SASE SSO
单点登录(Single Sign-On,简称 SSO)是一种用户身份验证过程,允许用户使用一套登录凭证(例如用户名和密码)来访问多个或相关联的系统。简而言之SSO使得用户在一次登录后,就可以无需再次输入凭证,直接访问同一身份验证系统下的其他应用程序和服务。
SASE SSO是指SASE服务作为身份提供商(IdP),与服务提供商(SP)的登录凭证做映射,最终实现使用SASE提供的身份源单点登录到企业的业务应用。
概念 | 说明 |
身份提供商(IdP) | 一个包含有关外部身份提供商元数据的RAM实体,身份提供商可以提供身份管理服务。 |
服务提供商(SP) | 利用IdP的身份管理功能,为用户提供具体服务的应用,SP会使用IdP提供的用户信息。 |
OIDC | OIDC(OpenID Connect)是建立在OAuth 2.0基础上的一个认证协议。OAuth是授权协议,而OIDC在OAuth协议上构建了一层身份层,除了OAuth提供的授权能力,它还允许客户端能够验证终端用户的身份,以及通过OIDC协议的API(HTTP RESTful形式)获取用户的基本信息。 |
OIDC令牌 | OIDC可以给应用签发代表登录用户的身份令牌,即OIDC令牌(OIDC Token)。OIDC令牌用于获取登录用户的基本信息。 |
客户端ID | 您的应用在外部IdP注册的时候,会生成一个客户端ID(Client ID)。当您从外部IdP申请签发OIDC令牌时必须使用该客户端ID,签发出来的OIDC令牌也会通过 |
颁发者URL | 颁发者URL由外部IdP提供,对应OIDC Token中的 |
SASE SSO应用场景
SASE身份可以与企业已有的SSO服务通过OIDC协议进行打通,当企业员工登录企业应用门户时,可以使用SASE的身份作为SSO服务的身份进行登录,无需企业员工在进行帐密或扫码登录。
SASE SSO工作原理
SSO的工作原理依赖于一个中央认证服务器,该服务器负责验证用户的凭证并发出一个令牌或票据。SASE SSO中SASE作为身份提供商(IdP),集成SSO系统的应用程序作为服务提供商(SP)。
SASE SSO的工作流程如下:
能力优势
提高用户体验
企业员工只需要登录SASE App后,便可以关联SASE App登录的身份源直接访问基于OIDC的SSO系统的应用程序,从而提升了用户体验。
保障安全性
使用SASE App的身份进行登录,保障员工在访问办公应用时安全防护能力实时在线。