上一篇的《企業環境中的賬戶與身份管理 之:1-認識》中講到了什麼是身份,什麼是身份信息,身份信息有哪些,進行身份信息的統一管理,是要解決什麼樣的根本問題 。。
如我所猜想的那樣,在回覆裏面馬上有人想到了單點登錄。因爲我們的工作中,談到賬戶,就一定會有登錄的事情。。其實,有關與賬戶的管理,賬戶信息管理與單點登錄,本身就是兩個緊密聯繫的東西。所以我們會看到,比如IBM的TIM和TAM,Oracl的OIM和OAM很多時候,都是綁在一起銷售的。
但是,如果我們的IT環境大到一定的程度,這兩個系統就應該有一個明確的區分。因爲從IT管理上來說,賬戶信息的管理,和實現單點登錄驗證,是完全不同的兩項工作。
下面的時間,就花一點時間,希望能幫助大家認識對它們之間的區別,有所幫助
何謂單點登錄
所謂單點登錄,http://en.wikipedia.org/wiki/Single_sign-on,這裏有一個比較正式和詳細的定義。
雖然上文是英文的,無論是中文還是英文,僅從字面意義上都很容易猜出一個大概意思。單點,就是指大家都去一個地方,同一個地方;登錄,就是去那同一個地方要乾的事情。。所以很簡單,就是說所有的用戶,都去同一個地方進行登錄,進行身份的驗證。
我們先不去討論單點登錄的好處、和功能,相信大家多少都有一定了解。我們先來看看這樣一個單點登陸過程。
上圖可以看出,這個業務系統本身的驗證模塊,其實並沒有進行驗證的工作,而是將發來的請求,提交到了第三方進行驗證。然後第三方經過驗證後,無需告訴應用系統詳細的情況,只需要告訴他,這個用戶是否可以允許通過,就OK了。。那麼這只是一個應用系統和一個第三方驗證系統之間的過程。。如果說,有好多個業務系統,都去找這同樣一個驗證系統來進行驗證,那麼,這個系統,就是我們所謂的單點登錄系統。相信這點肯定沒有疑問。
有何特點
我們再來分析一下,如果需要充當這樣一個第三方的單點登錄系統,需要具備什麼條件。簡單分析就可以發現:
第一,單點登錄系統中必須同時保存賬戶名和密碼,且賬戶名需要保證唯一性
第二,單點登錄系統必須有一個專門的服務,來處理一系列賬戶名和密碼的比對工作
第三,單點登錄系統會時刻偵聽由業務系統發來的代理請求,需要針對每一個請求,必須做出答覆,並且這個答覆只會回覆給提交請求的系統。
第四,單點登錄系統接收的是賬戶名和密碼兩種數據,而返回的是不同與兩前者的第三種數據
對比分析
看到這裏,我們再來與賬戶信息管理系統的特點進行一些對比:
第一,賬戶信息管理系統中,是不會包含密碼信息的。並且,用戶名是有可能出現重名的。因爲它的數據唯一性是通過比如員工工卡號等方式實現的。
第二和第三點,在賬戶信息管理系統中,根本就不存在驗證的服務。而他最重要的工作,是將由HR系統或者其他某個唯一的信息來源獲得的數據,向所有與它對接的系統進行數據更新。
第四,賬戶信息管理系統會把接收到的更新數據,老老實實的傳達給其他系統。而不是轉達另一種信息。
小結
經過以上的一些分析,相信大家應該可以看出這兩個系統之間的根本區別了。
所以,簡單來說,賬戶管理系統,管理的對象是信息,是屬性信息,是與人有關的屬性信息,是將與某個人有關的屬性信息同步到所有與某人有關的業務系統當中。它最大意義在於保證不同業務系統中的數據一致性。
而單點登錄系統,它是一個權威,是一個門神。一個人想進來,所有的通道入口都必須徵得它的同意,從而確保了一個企業整體IT環境的安全。當然,還有另一個極大的好處,實際上也是實現單點登錄系統的初衷,就是它能夠使用戶只需要到一個地方進行驗證,就可以登錄到所有的IT資源中了。它的意義在於降低用戶身份驗證的複雜度,同時在安全性上獲得一定的提高。
通過上面一些簡短的比較,相信應該對賬戶信息管理和單點登錄系統的區別,能夠有一些比較根本的認識。。
也歡迎各位拍磚,大家共同討論,共同學習。。