當擁有單一簽入系統後,只需要一組帳號debby就可以登入人事系統、電子郵件、財務系統與行政系統。這不是就是用一個帳號debby來整合後端四個應用系統的帳號,這不是帳號整合的話,那什麼才算是帳號整合?先別急,我們先來看看,單一簽入到底是如何辦到一個帳號來登入到後面四個系統。
單一登入系統會事先將每一個系統的帳號密碼記住在SSO系統裡,因此當debby點到電子郵件時,SSO系統會將事先記錄的郵件帳號密碼做代登方式登入到郵件系統裡去。其餘的系統也是一樣的作法。聰明的你應該會發現單一簽入系統所整合起來的帳號會有需多漏洞。
- 單一簽入系統在整帳號之前,必須先有後端應用系統的帳號密碼。而帳號還是必須依靠各個系統人員來建立。
- 當每個系統實施定期修改密碼時,必須更新單一簽入的各個系統的帳號密碼對應表。如果沒有更新,就沒有辦法登入。如不改密碼又會照成資安的漏洞與缺失。
- 人員異動時,如換單位或是換權限等等;單一簽入根本幫不上忙,還是必須靠後端各個系統管理人員來維護與異動。
- 人員離職時,後端系統的刪除帳號或是停用,還是必須依靠系統管理人員來做。
從操作面看起來是整合帳號沒有錯,可是從後端系統為運的角度,卻是沒有任何的幫助。而帳號整合的精髓是管理帳號的生命週期 ,從帳號的新增 (Create)、異動 (Update)、刪除 (Delete),只需做一次,而其餘的系統不需再做。如此可以減輕系統管理者的負擔,也可增加資安的安全,尤其是對離職人員的帳號刪除。試想你管200台機器,今天有3個人離職,你打算花多久的時間刪除這一些帳號?
