单点登录系统，单点登录和普通登录的区别

一、此机构已开通单点登录是什么意思

单点登录是指用户只需要登录一次就可以访问所有相互信任的应用系统。

单点登录其中有一个非常关键的步骤，这个步骤与服务器端验证令牌方式无关，用最早的共享会话方式或当前的令牌方式，标识到浏览器端。用户登录成功后，浏览器如何在其他域名中存储和共享令牌相同的域名非常简单。令牌存储在cookie中路径设置在顶级域名下，以便所有子域都可以读取cookie中的令牌。这就是分享网络的方式。通常，运营和维护内部控制审计系统和4A系统都包含这一功能。其目的是简化账户登录流程，保护账户和密码的安全，统一管理账户。

二、单点登录最佳方案

以下是单点登录的常见方案：

1.基于标准协议的方案，如SAML、OAuth、OpenIDConnect等。

2.密码同步方案，将用户账号和密码同步到不同的应用程序或系统中。

3.统一用户存储方案，使用单一的用户存储和权限控制系统，如LDAP或ActiveDirectory。

4.代理认证方案，使用认证代理服务器将用户的身份验证请求转发到不同的应用程序或系统中。

5.基于API的方案，使用API接口实现应用程序或系统之间的身份验证和授权。

6.基于虚拟身份方案，使用虚拟身份验证系统为用户提供一个单一的身份，以访问多个应用程序或系统。

综合考虑，基于标准协议的方案是单点登录最佳的方案之一，因为它具有可扩展性、灵活性和标准化的优势。但具体的方案应该根据业务需求、技术要求、安全性等因素进行选择和部署。

三、sso单点登录方案

有两个选择：

选择一：ERP专用用户账号。即ERP有自己的账号，每个用户需要向ERP申请账号和密码

选择二：用户电脑的Domain账号。简单理解就是电脑开机账号/密码。

如果使用选择一：ERP专用用户账号，那么单点登录流程是：

（前提：用户未登录）用户访问CRM登录页，手动输入用户名/密码。

登录请求被重定向到SSO认证中心。

SSO认证通过。

CRM登录成功。

此时访问别的ERP子系统，则自动登录成功，无需手动登录。

如果使用选择二：用户电脑的Domain账号，那么单点登录的方案有2种：

SSO认证中心实现CAS登录

（前提：用户未登录）用户访问CRM系统。CRM自动发送登录请求到SSO认证中心。

SSO使用CAS机制，用用户电脑的Domain账号进行登录认证。

SSO认证通过。

CRM自动登录成功。

此时访问别的ERP子系统，则自动登录成功，无需手动登录。

CRM实现CAS登录

（前提：用户未登录）用户访问CRM系统。CRM自动生成登录请求。

CRM使用CAS机制，用用户电脑的Domain账号进行登录认证。

CRMSSO认证通过。

CRM自动登录成功。

但是此时访问别的ERP子系统并不会实现自动登录。