常見的企業應用情況
企業內部的信息化一般都是一個過程中的 ,起初企業為了部分管理的需要,會上線幾個信息化系統;后來對這塊慢慢重視,信息系統會越來越多。開始,只有一兩個系統時,員工還好,靠腦袋還能記得住帳號名密碼,但是后面系統多,使用的系統超過4個后,開始有點記不住了。特別是偶爾使用系統,需要經常要聯系系統負責人,重置帳號密碼;
但是,重置密碼這件事情,在小公司還算好,大家相互認識;但是在大公司,就比較麻煩,大家相互不認識,就要讓張三自己來證明自己是張三,這種事情不可避免;總不能隨便有人打電話過來就重置密碼吧。當然,系統本身可以增加一些自助的密碼找回功能,但是每個系統都增加這個功能無疑是加重了項目的成本。
這種現狀,很多員工都喜歡設置一樣的密碼,那問題來了,有些業務系統要求密碼定期更換的,系統一多以后,員工自己都不知道有幾個系統需要修改密碼,自然定期修改密碼這件事情變得不靠譜。
企業怎么做呢?
統一認證+單點登錄的解決方案,很好的解決這個問題。登錄功能都集中在SSO Server上,所有的信息系統都去掉登錄和帳號管理功能,直接對接SSO Server;統一認證服務解決所有系統都用一套帳號密碼。
這種結構,用戶只要一套帳號名密碼,由統一認證服務分配。其中一個系統的密碼修改了,所有的登錄帳號密碼都修改(其實只有一套帳號名密碼)。進入任何系統,都只需要登錄SSO Server就可以了,大大方便了用戶。系統之間的跳轉,也無需登錄。
對開發來說,也省事,系統無需登錄功能了。這兩塊功能如果要做好還是比較花時間的,不要覺得登錄功能開發簡單,要開發一個安全的登錄功能,比如登錄失敗多少次,就彈出驗證碼;登錄出現多少次錯誤,就禁用帳號;只允許一個帳號一台設備登錄;等等功能,還有忘記自助找回功能等,都是1個人月的開發量肯定完不成的;
對安全來說,安全登錄加固只要對SSO Server和統一認證服務加固就可以了,
集成的事情,以后再講吧。
當然,集中認證固然后好處,也帶來其他問題;
原先所有的登錄服務都是分散在各個系統中,性能不太會產生瓶頸;但是現在就不一樣的,比如一個系統並發20個,那10個系統就是200的並發,對於一般的系統200並發還是比較高的。如果處理不當,應用和數據庫都會是瓶頸;
故障風險也集中了,登錄如果出現問題,那業務系統當然就進不去了,對業務就會產生影響。
登錄是系統中安全最重要的一塊,登錄模塊跟帳號體系有關,基本上帳號模塊安全上出問題了,那整個系統安全上就出問題了。所以,對於登錄模塊來說,其安全性要以接入系統安全登錄最高的那個要求;比如,接入系統有三級等保的要求,那登錄模塊也需要到達這個安全級別。
那怎么應對呢
三方面,系統的性能擴展、持久層增加緩存,安全測評監控等手段。具體以后再講。
最后,謝謝各位能看到完本段文章。
文章的PPT可以到這個地址下載。
另外,大家對CAS想了解的話,可以來我的CAS中文文檔站點(http://www.cassso-china.cn)來瞅瞅。
