這篇文章一起來看看「當使用者使用 SSO 登入後，背後系統發生的事情」。如果你在軟體業工作，下次可以留意自家公司是使用哪一種方式來實作，能對產品的背後運作更加了解

上篇文章 講完了 SSO 是什麼、SSO 的兩種設計協定後，這篇文章一起來看看「當使用者使用 SSO 登入後，背後系統發生的事情」。

以 SAML 為例，看 SSO 的運作方式

當使用者登入 Gmail 時，背後實際上發生了

1. 輸入組織的的 Gmail，例如 chichu@pmstoolbox.com
2. Gmail Server 發現使用者使用「企業 Google 帳號」登入，對使用者的瀏覽器發出 SAR (SAML Authentication Request，SAML 授權請求)
3. 使用者的瀏覽器被轉址 (redirect) 到「身分提供商 (Identity Provider)」網站 ，例如 Okta, Auth0, onelogin…等
4. 身分提供商在使用者的瀏覽器介面上顯示登入頁面 (帳號/密碼)，使用者輸入帳號/密碼
5. 使用者的瀏覽器將加密後的帳號/密碼送回至身分提供商
6. 身分提供商產生「簽署核可的 SAML 聲明 (Signed SAML assertion)」，並送回至使用者瀏覽器
7. 瀏覽器將「簽署核可的 SAML 聲明」送至 Gmail
8. Gmail 驗證「簽署核可的 SAML 聲明」來自企業使用的身分提供商
9. Gmail 返回受保護的內容 (例如使用者的郵件內容)

PS. SAML 聲明 (SAML assertion)是一個經過加密簽署的 XML 文件，內容包含 (1) 使用者資訊 (2) 使用者能夠取用的服務。

來看使用者登入 SSO 之後，瀏覽其他應用程式的流程

當使用者登入 workday (Service Provider)時，背後實際上發生了

1. 使用者在 workday 的登入頁面上，輸入 chichu@pmstoolbox.com
2. workday 頁面對使用者的瀏覽器發出 SAR (SAML Authentication Request)
3. 使用者的瀏覽器被導流至 (redirect) 身分提供商 (Identity Provider) ，例如 Okta, Auth0, onelogin…等
4. 因為使用者已經登入 SSO，因此跳過登入步驟。身分提供商產生「簽署核可的 SAML 聲明 (Signed SAML assertion)」
5. 身分提供商將「「簽署核可的 SAML 聲明」送回至使用者瀏覽器
6. 瀏覽器將「簽署核可的 SAML 聲明」送至 workday (Service Provider)
7. workday 驗證「簽署核可的 SAML 聲明」來自企業使用的身分提供商 (Identity Provider)
8. workday 允許使用者使用服務

SAML 和 OpenID 的差異，工程團隊如何選？

這兩者的實作細節有差異，但大觀念是類似的。

兩者

• 都有經過加密
• 多數 Identity Provider 兩者都有支援

因此工程團隊在選擇時，主要是考量到協定與串接上所需的工來決定的。

如果你在軟體業工作，下次可以留意自家公司是使用哪一種方式來實作，能對產品的背後運作更加了解。

這篇文章 為什麼多數網站都可以一鍵登入？解釋背後技術 SSO 的流程 ｜專家論點【朱騏】 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

當我們使用大型網路公司的服務時，大家是否發現：我們竟然可以使用同一組帳號，在多個應用服務切換。最明顯的例子就是 Google 服務，只要登入一次，就可以在以下服務切換：Gmai、YouTube、Google Meet、Google Chat、Google Analytics。但為什麼可以這樣呢？這背後使用到的技術，稱為 SSO (Single sign-on)。

當我們使用大型網路公司的服務時，大家是否發現：我們竟然可以使用同一組帳號，在多個應用服務切換。

最明顯的例子就是 Google 服務，只要登入一次，就可以在以下服務切換

• Gmail
• YouTube
• Google Meet
• Google Chat
• Google Analytics
• …

但為什麼可以這樣呢？這背後使用到的技術，稱為 SSO (Single sign-on)。

這篇文章會解釋

• SSO 是什麼
• SSO 的兩種設計協定

SSO 是什麼

SSO 是一個授權架構 (Authentication Scheme)，它提供使用者可以用單一帳號使用同一組織下的多個應用服務 (Applications)。

使用 SSO 的組織例子有

• Gmail
• workday (美國知名的財務管理 & 人力資源管理 SaaS)
• Slack
• …

SSO 省去了使用者記憶多組的麻煩，能快速在同組織的不同服務下一鍵切換。

SSO 的兩種設計協定

SSO 是以「聯合身分(federated identity)」的概念設計而成。聯合身分能夠跨多個信任的獨立系統，彼此分享使用者的身分資訊。

基於此概念，有兩種設計協定:

• OpenID Connect
• SAML (Security assertion markup language, 安全聲明標記語言)

OpenID Connect

常見的 Google Sign in 頁面就使用了 OpenID Connect。

在 Google 使用 SSO 登入後，可以用一個 Google 帳號使用以下服務

• Gmail
• YouTube
• Google Analytics

OpenID Connect 使用 JWT (JSON Web Token) 來分享身分資訊，JWT 是經過簽署的 JSON 檔案。下方是 JWT 檔案的範例:

什麼是SAML?

另外一種 SSO 設計協定。

以 XML 來分享身分資訊，在大型企業的工作環境也很常看到。例如

• Microsoft 的 AD RMS
• Dropbox
• Slack
• Salesforce
• Sentry
• Zoom
• …

用於使用者後續登入 SaaS 服務。

下一篇我們實際來說說「當使用者使用 SSO 登入 Gmail 後，背後系統間發生的事情。」

此篇文章主要參考 ByteByteGo YouTube - What Is Single Sign-on (SSO)? How It Works

這篇文章 同一組帳密可以切換多個應用服務！軟體公司常見的 SSO (Single Sign-on) 是什麼？｜專家論點【朱騏】 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。