SSO 单点登录原理

单点登录（Single Sign-On，SSO）是一种身份验证机制，允许用户在一个系统上完成身份验证后，在其他相关系统中无须再次输入用户名和密码即可访问。其工作原理主要包括以下步骤：

1. **初始登录**: 用户在任意一个受支持的应用（称为"Identity Provider", IDP）上进行登录，如企业的自建门户或外部认证服务提供商如Google或Microsoft Azure。

2. **身份验证**: 用户提供的凭据（如用户名、密码）被IDP验证，如果验证成功，会生成一个安全令牌（如JWT）。

3. **令牌传递**: 该令牌包含了用户的标识信息以及授权信息，会被发送到用户想要访问的每个应用（称为"Service Provider", SP），并且通常存储在SP与IDP之间共享的安全通道（如OAuth2.0 Token Endpoint）中。

4. **跨系统验证**: 当用户访问SP时，SP从共享的通道请求并获取令牌，然后验证它的有效性，包括有效期和密钥签名。如果验证通过，就认为用户已经通过IDP的身份验证。

5. **自动登录**: 用户无需再次输入用户名和密码，直接在SP上显示已登录状态，享受后续的服务。

相关问题

SSO单点登录的实现原理

单点登录（Single Sign-On，简称SSO）是一种身份认证和授权机制，允许用户使用一组凭据（如用户名和密码）登录到多个应用程序或系统中，而无需为每个应用程序单独进行认证。

SSO的实现原理通常涉及以下几个主要组件：

1. 身份提供者（Identity Provider，简称IdP）：身份提供者是负责用户身份验证和授权的中心服务。它维护用户的身份信息，并为用户生成令牌（Token）。

2. 服务提供者（Service Provider，简称SP）：服务提供者是需要接受SSO认证的应用程序或系统。它依赖于身份提供者来验证用户身份，并根据用户的授权信息提供相应的服务。

3. 用户代理（User Agent）：用户代理是指用户使用的浏览器或移动设备等客户端应用程序。用户代理在用户登录时与身份提供者进行交互，并在成功认证后将令牌发送给服务提供者。

下面是SSO的基本实现流程：

1. 用户访问服务提供者的应用程序，并尚未进行身份验证。
2. 服务提供者检测到用户未经身份验证，将用户重定向到身份提供者的登录页面。
3. 用户在身份提供者的登录页面上输入凭据（如用户名和密码）进行身份验证。
4. 身份提供者验证用户的凭据，并生成一个令牌，其中包含有关用户身份和授权的信息。
5. 身份提供者将令牌返回给用户代理。
6. 用户代理将令牌发送给服务提供者。
7. 服务提供者接收到令牌后，向身份提供者验证令牌的有效性和真实性。
8. 验证成功后，服务提供者将用户标识为已经通过身份验证，并为用户提供相应的服务。

SAP SSO单点登录

SAP Single Sign-On (SSO) 是一种身份管理解决方案，它允许用户在一个系统中进行一次身份验证后，能够无感知地安全访问多个相关的 SAP 应用程序和系统。SAP SSO 的核心目标是提高用户体验、简化安全管理并增强安全性。

1. **原理**：
SSO 基于 Kerberos 或者 SAML（Security Assertion Markup Language）等标准协议，通过一个集中式的身份验证服务器，用户只需输入一次用户名和密码，系统会验证这些信息后，生成一个安全令牌（或称为 session ticket），这个令牌包含了用户的权限信息，可以在多个受保护的应用之间共享，从而避免了每次切换应用都需要重新登录的过程。

2. **优势**：
- **效率提升**：减少了登录次数和验证时间，提高了工作效率。
- **安全性**：通过集中式管理，减少了每个应用程序单独存储用户凭证的安全风险。
- **易于管理**：统一的身份管理策略，便于审计和合规性要求。

3. **应用场景**：
SAP SSO 可以应用于 SAP NetWeaver 环境中的企业门户（EP）、SAP HANA 云平台、SAP Business Suite 和其他 SAP 应用程序。