成熟企业级技术平台 MVE-010-SSO 平台

概览

UMS 平台

PASSPORT 平台

SSO 平台

PERMISSION 平台

应用管理

审计中心

IGA（Identity Governance & Administration，身份治理与管理）平台

跳板机 / 堡垒机（Jump Server / Bastion Host）

相关开源项目

可以参考一下老马开源的项目：

敏感词核心库: https://github.com/houbb/sensitive-word

敏感词控台：https://github.com/houbb/sensitive-word-admin

日志脱敏：https://github.com/houbb/sensitive

加密工具：https://github.com/houbb/encryption-local

chat

一、平台定位

1️⃣ 核心目标

• 一次登录，访问多系统：用户仅需一次身份验证即可访问企业所有授权系统。
• 集中认证管理：统一管理登录、会话、Token 和安全策略。
• 跨系统授权与审计：为下游应用提供认证结果并记录审计日志。
• 支持多协议与多终端：Web、移动端、第三方应用统一接入。

2️⃣ 在企业体系中的位置

IAM 平台
├── UMS（用户管理）
├── Passport（统一认证 & SSO）
├── Permission（权限引擎）
├── App-Manage（应用管理）
└── Audit（审计与合规）

• SSO 平台本质：提供跨系统统一会话和认证信任，是 Passport 的关键能力模块。
• 上游依赖 UMS 提供用户信息
• 下游为 应用系统 / 权限引擎 / 审计平台 提供认证和会话信息

---

二、核心功能模块

SSO 平台
├── 单点登录认证
├── 会话管理
├── Token / Cookie 管理
├── 多协议支持
├── 多终端支持
├── 风控与安全策略
└── 审计与报表

1️⃣ 单点登录认证

• 用户仅登录一次即可访问多个应用
• 支持基于票据、Token 或 Cookie 的信任机制
• 可与 Passport 平台结合，实现身份统一认证

2️⃣ 会话管理

• 管理跨系统用户会话
• 会话生命周期管理（创建、刷新、过期、注销）
• 多设备、多终端会话控制
• 会话状态同步（跨应用、跨域）

3️⃣ Token / Cookie 管理

• JWT / OAuth2 Token / SAML Assertion 支持
• Token 生成、签发、验证与刷新
• 支持跨域 Cookie 共享，保证浏览器端多应用统一登录

4️⃣ 多协议支持

• SAML 2.0
• OAuth2 / OpenID Connect (OIDC)
• CAS / Kerberos（企业内部应用）
• 自定义 API Token

5️⃣ 多终端支持

• Web 浏览器
• 移动端 APP（iOS / Android）
• 第三方集成应用（API / SDK）

6️⃣ 风控与安全策略

• 异地登录识别
• 异常设备登录阻断
• 高风险操作二次认证（MFA）
• 登录策略配置（白名单、黑名单、IP 策略）

7️⃣ 审计与报表

• 登录事件日志
• 会话创建 / 销毁 / 异常事件
• 跨系统访问记录
• 支持合规审计（ISO / SOC / GDPR）

---

三、核心技术能力

能力	说明
跨域信任	支持多域名、跨子系统统一登录
Token / Assertion 管理	支持 JWT / SAML / OAuth2，统一验证
高可用与分布式	支持高并发登录和跨数据中心部署
安全策略执行	MFA、异地阻断、设备绑定、会话控制
多协议适配	支持 Web、移动、API 多协议认证
审计能力	登录与访问事件全链路记录，满足合规要求

---

四、与其他系统的关系

应用系统 / 服务
       ↓
      SSO (Passport)
       ↓
     UMS (用户信息)
       ↓
 Permission / Audit

• 上游：应用系统请求 SSO 登录

• 下游：

  • UMS 提供用户信息和状态验证
  • Permission 获取认证结果后做授权
  • Audit 记录跨系统登录与操作事件

---

五、企业级架构设计

1️⃣ 逻辑架构

SSO Platform
├── 认证引擎
│   ├── 用户认证 (用户名/密码, OAuth2, SAML)
│   ├── MFA 风控认证
│   └── 第三方身份接入
├── 会话管理
│   ├── 会话创建 / 刷新 /注销
│   ├── 多终端会话控制
│   └── 跨系统同步
├── Token / Cookie 管理
│   ├── JWT / SAML Assertion
│   ├── Token 验证与刷新
│   └── 跨域 Cookie 支持
├── 安全策略与风控
│   ├── 异地登录识别
│   ├── 异常设备阻断
│   └── 登录策略配置
├── 接口与集成层
│   ├── REST / OIDC / SAML API
│   └── SDK / CLI
└── 审计与报表
    ├── 登录事件
    ├── 会话异常
    └── 风控事件报表

2️⃣ 核心数据表示例

• sso_user_session：用户跨应用会话信息
• sso_token：Token / Assertion 信息
• sso_login_log：登录事件审计表
• sso_mfa：多因素认证配置与状态表
• sso_risk_event：异常登录与风控事件

---

六、典型功能场景

场景	描述
企业门户统一登录	用户登录一次即可访问所有内部系统
Web + 移动端 SSO	手机 APP 与浏览器端登录同步会话
第三方系统接入	OAuth2 / SAML 统一接入企业身份
异地登录阻断	异常 IP 或设备触发 MFA 或阻断登录
会话管理	用户注销或超时会话自动清理
审计合规	登录、会话、异常事件全量记录

---

七、建设价值

1. 提升用户体验：一次登录访问多系统，无需重复认证
2. 安全性提升：统一会话控制 + 风控策略降低安全风险
3. 降低开发成本：应用系统无需单独实现认证逻辑
4. 支撑权限体系：下游 Permission / Access Engine 依赖 SSO 验证
5. 审计与合规：跨系统访问可追踪、满足合规要求

• 概览
• 相关开源项目
• chat
  • 一、平台定位
    • 1️⃣ 核心目标
    • 2️⃣ 在企业体系中的位置
  • 二、核心功能模块
    • 1️⃣ 单点登录认证
    • 2️⃣ 会话管理
    • 3️⃣ Token / Cookie 管理
    • 4️⃣ 多协议支持
    • 5️⃣ 多终端支持
    • 6️⃣ 风控与安全策略
    • 7️⃣ 审计与报表
  • 三、核心技术能力
  • 四、与其他系统的关系
  • 五、企业级架构设计
    • 1️⃣ 逻辑架构
    • 2️⃣ 核心数据表示例
  • 六、典型功能场景
  • 七、建设价值