联合认证概览
“SiX统一认证/授权”身份应用提供了一个开箱即用、完全符合 OIDC/OAuth2 标准的身份提供者(IdP)。该身份提供者同时也支持SAML2,允许客户端根据集成需求选择使用OIDC/OAuth2或SAML2协议进行身份验证。
开发者可以轻松部署一个可品牌化、可配置的 IdP,配置工作量极小。
该平台在架构上实现了认证与授权的解耦,从而支持灵活的集成方式和清晰的职责分离。同时,它也支持联合认证(Federated Authentication),允许 IdP 将用户认证委托给外部的身份提供者。
提示
从客户端角度来看,它可以作为 OIDC/OAuth2 客户端或 SAML2 客户端与“SiX统一认证/授权”上创建的 IdP 进行交互,而无需关心该 IdP 如何处理后端认证逻辑。
提示
联合后, 您的IdP用户将可以额外获得MFA, 个人身份数据分享管控等功能, 更多: 数据安全 & 隐私概览
提示
在本文档中,“联合认证”指的是认证委托。当“SiX统一认证/授权”租户中的 IdP 接收到认证请求时,它会将该请求委托给配置的外部身份提供者。
为什么联合身份认证至关重要
联合身份认证为何对无缝集成意义非凡
在部署软件时(无论是本地化部署还是SaaS解决方案),客户通常更倾向于使用现有的企业账户(例如Active Directory中的员工凭证),而非为每个系统单独创建登录账号。然而,您的软件仍需依赖可靠的身份认证机制来正常运行,通常会为每个用户分配唯一的内部ID。
如果每个第三方软件都使用自己的认证系统,就会形成数据孤岛:同一用户在不同系统中拥有不同的ID,导致端到端集成变得异常繁琐。缺乏统一的身份标识,跨平台关联用户数据将成为重大挑战。
解决方案:与企业IdP实现联合认证
通过与客户现有的身份提供商(IdP,如企业Active Directory)进行联合认证,可以彻底解决这一问题。其运作流程如下:
用户认证:当用户访问您的软件时,系统会将其重定向至企业IdP进行登录。
全局用户ID:认证成功后,您的系统将获得包含用户全局唯一ID(例如不可变的对象ID)的令牌。
本地账户映射:您的软件会创建一个本地用户账户,分配内部ID,并将其与IdP提供的全局ID关联。
无缝集成:在端到端集成过程中,全局用户ID将成为跨所有联合系统统一数据的关键信息。
使用“SiX统一认证/授权”实现联合认证的优势
通过“SiX统一认证/授权”,您可以轻松实现这种联合认证。如果所有第三方软件均采用相同方案,客户将获得以下收益:
✅ 单点登录(SSO) —— 用户只需登录一次即可访问所有集成系统。
✅ 强化安全 —— 为用户启用多因子认证(MFA)和权限管控。
✅ 数据互通性 —— 通过全局身份标识关联跨平台用户数据,彻底消除信息孤岛。
实施联合身份认证,不仅能简化访问流程、提升安全性,更能打破系统壁垒实现无缝集成——最终为客户交付更卓越的使用体验。
使用“SiX统一认证/授权”联合认证的典型案例
🔐 支持的联合身份提供者选项
| 编号 | 联合身份提供者 (IdP) | 描述 | 典型使用场景 | 凭证存储位置 | 凭证数据是否经过“SiX统一认证/授权”服务器? |
|---|---|---|---|---|---|
| 1 | 无 | 不使用联合认证 | “SiX统一认证/授权” | 是 | |
| 2 | OIDC IdP | 发起联合 IdP 同时作为 OIDC 客户端 | 与外部 OIDC 提供者实现单点登录(SSO) | 被联合 IdP | 否 |
| 3 | SAML2 IdP | 发起联合 IdP 同时作为 SAML2 客户端 | 与外部 SAML2 提供者(如 Okta)实现单点登录 | 被联合 IdP | 否 |
| 4 | HTTP/HTTPS IdP | 通过 REST API 实现认证 | 通过自定义 HTTP(S) 接口对接企业 AD | 被联合 IdP | 是 |
| 5 | 自定义 IdP | 将加密的认证流程转发给外部 IdP | 高级自定义集成(如老旧系统) | 被联合 IdP | 否 |