摘要：針對這種情況，友戶通特定開發(fā)了聯(lián)邦用戶中心來支持企業(yè)的自有用戶中心。友戶通支持通過協(xié)議使用企業(yè)內(nèi)部的支持協(xié)議的用戶中心賬號進行登錄。友戶通目前支持標(biāo)準(zhǔn)協(xié)議以及友戶通自定義協(xié)議可供企業(yè)集成。

友戶通做用友云的用戶系統(tǒng)也一年多了，經(jīng)常聽實施、售前等說要私有化部署友戶通，原因無非是企業(yè)的考慮到用戶安全性和單一用戶賬號的需求。但由于用戶管理的復(fù)雜性，友戶通部署與維護并不容易，因此經(jīng)常糾結(jié)在用戶系統(tǒng)是用友戶通云服務(wù)還是要私有化部署。
企業(yè)私有化IT服務(wù)服務(wù)發(fā)展到幾天已經(jīng)很豐富，企業(yè)內(nèi)部可能部署了幾十上百的應(yīng)用程序，企業(yè)對于這些應(yīng)用的用戶通常采取統(tǒng)一的用戶中心來進行管理。
針對這種情況，友戶通特定開發(fā)了聯(lián)邦用戶中心來支持企業(yè)的自有用戶中心。讓我們一起來看看這個聯(lián)邦用戶中心是如何支持企業(yè)自有用戶中心的。
一、為什么要使用聯(lián)邦身份認(rèn)證
未使用聯(lián)邦身份認(rèn)證時
o企業(yè)自有用戶中心的用戶不能訪問用友云各個應(yīng)用
企業(yè)應(yīng)用有自己的用戶中心（以下稱為：自有IdP），通過自有IdP認(rèn)證的用戶無法直接訪問用友云。

o用戶管理復(fù)雜
管理員需要分別在兩個系統(tǒng)中為用戶創(chuàng)建賬號。
o用戶操作繁瑣
用戶訪問兩個系統(tǒng)時需要使用兩個系統(tǒng)的賬號登錄，需要記住兩套密碼。
使用聯(lián)邦身份認(rèn)證后
o自有IdP用戶可以直接訪問用友云
用戶在企業(yè)自有IdP認(rèn)證通過后，可直接訪問用友云應(yīng)用，無需再次經(jīng)過友戶通認(rèn)證。企業(yè)管理員也無需在友戶通中重復(fù)創(chuàng)建用戶。

o用戶管理簡單
企業(yè)管理員只需要在企業(yè)自有IdP中為用戶創(chuàng)建賬號，用戶即可同時訪問兩個系統(tǒng)，降低了管理復(fù)雜度。
o用戶操作方便
用戶在本企業(yè)IdP中登錄即可訪問企業(yè)應(yīng)用和用友云應(yīng)用，使用方便，流暢。
o深度融合
企業(yè)內(nèi)部應(yīng)用與用友云在用戶系統(tǒng)上已經(jīng)打通，在用戶打通的基礎(chǔ)上可根據(jù)場景進行進一步的融合。
二、友戶通支持哪些種類的企業(yè)IdP
目前友戶通已經(jīng)支持了LDAP、CAS、OAuth2等標(biāo)準(zhǔn)協(xié)議的企業(yè)IdP，還支持友戶通自定義的Token機制的IdP.除了友戶通自定義的Token機制支持的企業(yè)IdP需要一定的開發(fā)量，其他協(xié)議的企業(yè)IdP只需要在友戶通進行配置就可以使用了，完全不需要進行開發(fā)。
友戶通的聯(lián)邦用戶身份認(rèn)證未來還將繼續(xù)擴展所支持的協(xié)議，很快就會增加對SAML2協(xié)議的支持。SAML2協(xié)議將不需要友戶通和企業(yè)IdP之間有直接網(wǎng)絡(luò)連接就可以進行聯(lián)邦用戶身份認(rèn)證。
三、使用友戶通的聯(lián)邦身份認(rèn)證有什么體驗
體驗一：部署實施簡單
只需要三步甚至兩步就可以部署實施完成企業(yè)IdP與友戶通的集成
步驟一：根據(jù)需要部署yhtagent（企業(yè)IdP在內(nèi)網(wǎng)，而友戶通需要訪問企業(yè)IdP）
步驟二：在友戶通中配置聯(lián)邦身份認(rèn)證。
步驟三：在訪問用友云的鏈接里加上thirducid參數(shù)（參數(shù)值由第二步確定）。

聯(lián)邦身份認(rèn)證中心配置界面
體驗二：用戶使用方便
步驟一：登錄企業(yè)IdP（LDAP用戶中心則可直接在友戶通登錄界面通過特殊用戶名進行登錄）。
步驟二：在同一個瀏覽器里打開帶thirducid參數(shù)的用友云鏈接地址，就可登錄用友云。
企業(yè)用戶在內(nèi)部應(yīng)用和用友云應(yīng)用之間的切換非常方便。
對于企業(yè)客戶來說，其員工信息可以得到保護，云服務(wù)的實施變得更加簡單。
四、技術(shù)挑戰(zhàn)與實現(xiàn)
挑戰(zhàn)一：支持LDAP協(xié)議的企業(yè)IdP時，如何確定用戶應(yīng)該在哪里驗證。
企業(yè)內(nèi)部的用戶管理經(jīng)常使用AD域來管理，其支持LDAP協(xié)議來進行用戶查詢，用戶名密碼驗證等。
友戶通支持通過LDAP協(xié)議使用企業(yè)內(nèi)部的支持LDAP協(xié)議的用戶中心賬號進行登錄。LDAP協(xié)議已經(jīng)很成熟了，對接起來并不難，麻煩在于什么時候，去哪個LDAP用戶中心驗證用戶。針對這個問題，我們使用了兩種方式來解決。
支持方式一：通過特殊用戶名來確定企業(yè)IdP
在配置LDAP用戶中心時，為每個LDAP用戶中心配置一個唯一標(biāo)識符，在登錄的用戶名，加上一個“@”符號和唯一標(biāo)識符，這樣，友戶通就能識別這個用戶是需要使用哪個LDAP用戶中心去驗證了。這種方式適合主動打開用友云服務(wù)的應(yīng)用，在登錄主動輸入域賬號進行登錄。

支持方式二：通過URL里的參數(shù)來確定企業(yè)IdP
在訪問登錄頁面的URL里增加一個參數(shù)thirdUCId，這樣在友戶通系統(tǒng)里，通過thirdUCId查詢到的企業(yè)IdP是LDAP用戶中心，就可以到相應(yīng)的地方去驗證用戶了。這種方式適合在企業(yè)內(nèi)部的系統(tǒng)里嵌入URL鏈接穿透到用友云服務(wù)的場景。

挑戰(zhàn)二：如何從企業(yè)IdP單點登錄到用友云
很多企業(yè)經(jīng)過了很多輪的信息化，部署了很多應(yīng)用，企業(yè)為了方便員工賬號管理及登錄管理，通常采用支持單點登錄的用戶系統(tǒng)來統(tǒng)一管理用戶賬號，及支持單點登錄。
這些企業(yè)如果也購買了用友云的應(yīng)用，企業(yè)需要使用自己的用戶賬號進行登錄，以方便進行用戶管理。
針對這種需求，友戶通支持CAS、OAuth、SAML標(biāo)準(zhǔn)的單點登錄用戶中心，登錄了企業(yè)自有用戶中心后能夠直接登錄用友云，而不需要再次輸入用戶名和密碼。
支持方式一：使用CAS協(xié)議
友戶通和企業(yè)IdP之間，走標(biāo)準(zhǔn)CAS協(xié)議，即友戶通到企業(yè)IdP申請發(fā)放ticket，企業(yè)IdP發(fā)放ticket之后重定向到友戶通，友戶通到企業(yè)IdP驗證ticket，驗證成功后即可登錄友戶通。

企業(yè)IdP負(fù)責(zé)發(fā)放ticket和驗證ticket并返回用戶信息，友戶通的負(fù)責(zé)向企業(yè)IdP申請發(fā)放ticket，得到ticket后調(diào)用企業(yè)IdP驗證驗證ticket并得到用戶信息，并讓用戶登錄到友戶通中。
友戶通在申請企業(yè)IdP發(fā)放ticket和驗證ticket過程中，瀏覽器主頁面處于等待狀態(tài)，子頁面iframe負(fù)責(zé)申請發(fā)放ticket和驗證ticket的接口調(diào)用。
該方式實現(xiàn)的難點
1、怎么確定去哪個企業(yè)IdP申請ticket從而登錄呢？咋們來個故技重施，通過URL里的一個參數(shù)thirducid來決定去哪個企業(yè)IdP去申請發(fā)放ticket.
2、友戶通登錄頁既要在已經(jīng)登錄了企業(yè)IdP時能夠自動登錄，又要在未登錄企業(yè)IdP時顯示友戶通登錄界面，兩方又不在同一個域里，如何做到跨域呢？這里，我們使用了一個巧妙的方式，也是充分利用CAS標(biāo)準(zhǔn)。在CAS用戶中心里，如果已經(jīng)登錄的話，將會發(fā)放ticket，并且重定向到service參數(shù)指定的url上。前端登錄界面開啟一個iframe去企業(yè)IdP申請ticket，同時service地址為友戶通接口，這個接口驗證企業(yè)IdP發(fā)放的ticket，并發(fā)放一個友戶通登錄token，返回一個頁面將父頁面（登錄頁面）導(dǎo)航到友戶通自動登錄url，從而登錄進入友戶通。

圖1-2 友戶通集成企業(yè)IdP協(xié)作圖
下面我們來看看具體是怎么實現(xiàn)的。
（1）企業(yè)IdP配置。將企業(yè)IdP的信息配置到友戶通中，包括企業(yè)IdP的ticket發(fā)放地址，驗證地址，用戶信息的格式，以及發(fā)放ticket和驗證ticket時需要的一些參數(shù)的配置，以便在單點登錄過程中使用。
（2）登錄服務(wù)申請企業(yè)IdP發(fā)放ticket.登錄服務(wù)通過url里的參數(shù)thirducid，查詢到企業(yè)IdP的相關(guān)配置，將申請發(fā)放ticket的地址ticketrequesturl提供給前端JavaScript，前端JavaScript打開一個隱藏的iframe，將iframe的src設(shè)置為ticketrequesturl，企業(yè)IdP將檢測瀏覽器是否登錄過且有效，如果登錄過且有效，則發(fā)放ticket，跳轉(zhuǎn)到ticketrequesturl里的service參數(shù)的地址上，該地址為IT服務(wù)里的驗證企業(yè)IdP ticket接口。
（3）驗證企業(yè)IdP ticket接口（第（2）條里用來作為service地址）。本接口接收企業(yè)IdP發(fā)放的ticket，以及代表那個企業(yè)IdP的thirducid，通過調(diào)用相應(yīng)的企業(yè)IdP的驗證ticket的接口，如果ticket合法，企業(yè)IdP會返回相應(yīng)的用戶信息，友戶通將根據(jù)配置解析出用戶信息，產(chǎn)生一個友戶通單點登錄token（友戶通的登錄服務(wù)接口可通過此token單點登錄到友戶通中），并返回一個頁面（運行在iframe中），此頁面將會將父頁面重定向到友戶通的登錄服務(wù)接口（包含友戶通單點登錄token），走完標(biāo)準(zhǔn)友戶通的單點登錄流程后將登錄進入到友戶通。
支持方式二：使用OAuth2協(xié)議
使用OAuth2協(xié)議和CAS協(xié)議差別不大，只需要將CAS協(xié)議中申請Ticket替換成申請code，驗證ticket替換成通過code獲取accessToken及用戶信息即可。
挑戰(zhàn)三：如何從友戶通單點登錄到企業(yè)IdP
先登錄友戶通，然后登錄企業(yè)IdP.如果實現(xiàn)了企業(yè)IdP登錄到友戶通，那么自然會有需求從友戶通登錄到企業(yè)IdP.不過，這種方式需要企業(yè)IdP做一些定制開發(fā)。
友戶通目前支持CAS、oauth2標(biāo)準(zhǔn)協(xié)議以及友戶通自定義協(xié)議可供企業(yè)IdP集成。未來將支持SAML2的協(xié)議供企業(yè)IdP集成。
友戶通提供前端登錄狀態(tài)檢測js（支持jsonp），可檢測友戶通是否已經(jīng)登錄以及進行CAS發(fā)票。
友戶通還提供了js方法獲取oauth2的code（支持jsonp），供oauth2方式進行單點登錄實現(xiàn)。
挑戰(zhàn)四：企業(yè)用戶中心外網(wǎng)無法訪問
企業(yè)自有用戶中心通常是部署在企業(yè)內(nèi)網(wǎng)的，外網(wǎng)訪問不了。這種情況一般有幾種解決方式。
第一種：讓企業(yè)開辟外網(wǎng)端口，讓外網(wǎng)能訪問，但這種方式會讓企業(yè)的內(nèi)部用戶中心暴露在公網(wǎng)，企業(yè)可能會有一定的顧慮。
第二種：將外網(wǎng)調(diào)用變成內(nèi)網(wǎng)調(diào)用，在企業(yè)內(nèi)部部署一個應(yīng)用當(dāng)做中介，只暴露這個新部署的應(yīng)用。
我們選擇了第二種方式，這種方式不會暴露企業(yè)的用戶中心到公網(wǎng)上，打消企業(yè)的顧慮。需要開發(fā)一個應(yīng)用當(dāng)做中介，我們稱為代理（下稱yhtagent）。yhtagent和友戶通直接的通信采用HTTPS保密通信，如果企業(yè)還嫌不夠安全，可以在消息內(nèi)部在使用AES或者RSA等對稱或者非對稱加密算法進行加密，從而保證通信內(nèi)容的絕對安全。

使用YhtAgent時的聯(lián)邦身份認(rèn)證
LDAP類型的用戶中心，Yhtagent實現(xiàn)友戶通到企業(yè)單向代理；CAS類型的用戶中心，Yhtagent實現(xiàn)友戶通到企業(yè)雙向代理。