Giới thiệu Tính năng
Đăng nhập một lần (SSO) là một phương pháp xác thực cho phép người dùng xác thực an toàn với nhiều ứng dụng và trang web chỉ bằng một bộ thông tin đăng nhập duy nhất. SSO là một trong những giải pháp phổ biến nhất để tích hợp doanh nghiệp.
Quy trình Phát triển
Chuẩn bị Phát triển Đăng nhập Một Lần
1. Tìm hiểu những điều bạn nên biết trước khi phát triển.
a. Đăng nhập một lần (SSO) là gì?
Đăng nhập một lần (SSO) là một phương pháp xác thực cho phép người dùng sử dụng một bộ thông tin đăng nhập để truy cập vào nhiều ứng dụng liên quan.
Ví dụ, bạn có thể truy cập YouTube và Gmail dưới dạng người dùng đã đăng nhập chỉ bằng cách đăng nhập một lần vào Google.
b. SSO bắt đầu từ IdP và SP là gì?
-
Nhà cung cấp định danh (IdP) là trung tâm xác thực lưu trữ thông tin người dùng. Nó thiết lập phiên làm việc với người dùng trong xác thực bắt đầu từ IdP.
-
Nhà cung cấp dịch vụ (SP) là đơn vị cung cấp dịch vụ cho người dùng cuối. SP yêu cầu xác thực từ IdP để xác minh quyền truy cập của người dùng đã xác thực với ứng dụng.
Ví dụ, IdP có thể là hệ thống nhân sự của công ty, và SP là Jodoo.
c. SAML là gì?
Security Assertion Markup Language (SAML) là một giao thức cho phép SSO và giúp IdP truyền thông tin ủy quyền đến SP. Nó được tích hợp trong nhiều hệ thống như Windows AD và Apereo CAS.
d. JWT là gì?
JSON Web Token (JWT) là định dạng token bảo mật có cấu trúc dùng để truyền thông tin giữa các bên. Nó chứa các đối tượng JSON được mã hóa, bao gồm thông điệp do người dùng định nghĩa và một số trường xác thực phụ trợ, như chữ ký và thời hạn hết hạn.
2. Hiểu cách thức hoạt động.
SAML là tiêu chuẩn XML mở được sử dụng để trao đổi thông tin xác minh danh tính giữa SP và IdP. SAML 2.0, CAS, và API tùy chỉnh đều dựa trên giao thức này.
-
Nhà cung cấp dịch vụ (SP): là Jodoo.
-
Nhà cung cấp định danh (IdP): là hệ thống xác thực nội bộ hoặc bên thứ ba được doanh nghiệp sử dụng.
Khi người dùng đăng nhập qua IdP, người dùng sẽ được xác thực bằng IdP và sau đó được chuyển hướng về Jodoo. Nếu không thể xác thực danh tính IdP, người dùng sẽ được đưa đến trang đăng nhập IdP để xác thực trước khi chuyển hướng về Jodoo.
3. Biết cách cấu hình.
Jodoo hỗ trợ đăng nhập một lần và đóng vai trò là SP trong quá trình này. Giả sử quản trị viên bật tính năng đăng nhập một lần khi thành viên chưa đăng nhập truy cập Jodoo, Jodoo sẽ chuyển hướng yêu cầu tới địa chỉ IdP do quản trị viên cấu hình. Nếu thành viên đã đăng nhập IdP, IdP sẽ đọc thông tin người dùng trong phiên làm việc và trả lại cho Jodoo qua cấu hình. Sau đó Jodoo xác nhận thành viên và cung cấp dịch vụ tiếp theo. Quy trình như sau.
Phương pháp Cấu hình
Jodoo hỗ trợ ba phương thức SSO:
|
Cách Cấu hình |
Mô tả |
Ưu/ Nhược điểm |
Kịch bản |
|
SAML 2.0 |
Viết tắt của Security Assertion Markup Language. Sử dụng một IdP thống nhất để xác minh danh tính người dùng. Sau khi người dùng được xác thực, IdP trả về Assertion bảo mật và thông tin người dùng đã xác thực cho Jodoo. Jodoo sau đó liên kết người dùng với hệ thống tài khoản của mình. |
Ưu điểm: Đây là giao thức được áp dụng rộng rãi. Nếu chức năng cần thiết đã được tích hợp sẵn, việc cấu hình và tái sử dụng rất dễ dàng. SAML có thể dùng với các nhà cung cấp dịch vụ xác thực như OneLogin. Nhược điểm: Nếu chức năng cần thiết chưa được tích hợp sẵn, việc triển khai SAML có thể phức tạp. Người dùng có thể cần phát triển lớp tích hợp riêng, tốn thời gian và công sức. |
Phù hợp với kịch bản chức năng đã tích hợp sẵn hoặc người dùng có kiến thức sâu rộng. |
|
API Tùy chỉnh |
Một giao thức SAML đơn giản hóa, cho phép khách hàng doanh nghiệp điều chỉnh giao diện SSO hiện có của họ để gọi dịch vụ và trả về tham số theo yêu cầu của Jodoo, đồng thời trả về thông tin người dùng đã xác thực cho Jodoo để hoàn tất liên kết tài khoản. |
Ưu điểm: Giao thức được thiết kế thân thiện và đơn giản, dễ cho nhà phát triển nắm bắt và thực hiện. Nhược điểm: Vì là giao thức riêng biệt của Jodoo, người dùng cần phát triển lớp tích hợp riêng để kết nối. |
Phù hợp với kịch bản người dùng phát triển giao diện tùy chỉnh tích hợp với Jodoo. |
|
CAS |
Cho phép người dùng truy cập nhiều ứng dụng chỉ với một lần nhập thông tin xác thực (như tên đăng nhập và mật khẩu) vào một máy chủ CAS trung tâm. |
Ưu điểm: Giao thức được áp dụng rộng rãi, tương thích với nhiều hệ thống và nền tảng. Nhược điểm: Nếu chức năng cần thiết chưa được tích hợp sẵn, người dùng có thể cần phát triển lớp tích hợp riêng. |
Phù hợp với kịch bản chức năng đã tích hợp sẵn. |
Nếu bạn gặp vấn đề, hãy liên hệ với Đội ngũ Hỗ trợ của chúng tôi.
