摘要:在数字化转型的浪潮中,企业内部系统越来越多,员工需要频繁切换多个系统,记忆多个账号密码,这不仅降低了工作效率,还带来了安全隐患。因此,企业统一登录平台的建设显得尤为重要。本文将从产品设计的角度,深入探讨企业统一登录平台的设计理念、基础概念、关键模块设计以及落地
在数字化转型的浪潮中,企业内部系统越来越多,员工需要频繁切换多个系统,记忆多个账号密码,这不仅降低了工作效率,还带来了安全隐患。因此,企业统一登录平台的建设显得尤为重要。本文将从产品设计的角度,深入探讨企业统一登录平台的设计理念、基础概念、关键模块设计以及落地细节,希望能帮到大家。
从做对外产品到内部产品后,愈发感觉统一认证登录的妙用。统一认证登录不仅在便捷上有效果,也是企业安全的第一道水闸。对于大部分企业而言,内部系统多多少少会有一点统一认证的建设,这里从产品视角来讲一下如何设计企业统一登录系统。
做产品先明确痛点,统一登录本质解决的问题是当员工每天要在 5-8 个业务系统间反复横跳的痛苦,虽然有诸多密码工具,但是记忆密码的痛苦堪比背单词。更危险的是,权限管理像漏水的水管,重复记忆的弱密码成了最薄弱环节。而入职离职时权限同步滞后形成安全真空期,权限孤岛让 IT 管理成本倍增。借助单点登录的理念,借助统一认证登录后用户只需要登录一次就可以访问所有相互信任的应用系统。
我在技术中台不仅需要负责效能提升,也需要统一认证系统重构账号安全体系。一方面,统一认证系统通过整合用户身份验证流程,员工入职一个账号登录所有有权限的提供,权限统一管控,提升了使用体验。另外一方面,标准化接口为未来扩展提供了灵活性,比如后续新开发的内部系统可以借助统一认证标准接口快速接入上线。一切的一切,目标是让内部系统登录安全又便捷。
二、统一认证的 4 大产品设计理念从产品设计视角拆解统一认证登录系统的核心需求,构建以用户为中心的无感登录体验,从被动防御向主动风险防控体系的升级,技术架构需采用标准化接口协议与模块化扩展能力,支撑多终端多场景的快速接入适配;可以通过轻量化接入模式保障业务系统的快速迭代;同时建立全链路自动化处理机制。
从这个角度来讲,登录体验很重但是却不容易。一般而言,登录逻辑同时关联着注册、重置密码、关联账号等逻辑。不过好在用户直接来源 HR 系统。作为企业内部系统可以先忽略这一块。
这里整理了 4 大产品设计理念,如下:
理念一:用户视角,让登录 “无感”
设计原则:一次登录,全局通行,如飞书的 “免登态” 设计。
案例:自动续期 token、跨端无缝切换(PC 端扫码登录→移动端免二次验证)
理念二:安全原则,从 “被动防御” 到 “主动风控”
最小权限原则:默认拒绝,按需授权(RBAC+ABAC 混合模型)。
动态安全策略:异地登录强制 MFA、高危操作二次验证(结合设备指纹、IP 白名单)
理念三:架构标准化,支撑未来 10 年业务扩展
协议标准化:兼容 OAuth2.0、SAML2.0、OpenID Connect
松耦合设计:账号中心与业务系统解耦或耦合(避免 “牵一发而动全身”)
理念四:成本意识,用技术替代人力
自动化:批量导入 / 同步组织架构(对接 HR 系统 API)
自服务:员工自助修改密码、解绑设备(减少 IT 工单)
总结一下,产品设计理念可以通过将身份管理抽象为“用户无感、系统智能、架构弹性、运维自动化” 的中台能力,为后续业务系统接入提供良好基础。
三、统一认证基础概念解析3.1 有哪些角色参与?
在设计统一认证前,需要提前了解一些基本概念。在统一认证会包含身份管理,涉及到两个关键主体:身份提供商(IdP)和服务提供商(SP)。
简单来说,身份提供商(IdP)是企业的”数字身份证签发中心”,负责用户身份存储、认证服务、安全策略执行,比如像型代表包括企业 AD、飞书账号体系、钉钉账号体系和 Azure AD 等等。而服务提供商(SP)就是业务的”门禁验证系统”,通过集成 IdP 接口实现资源访问控制,仅允许通过认证的用户访问 CRM、OA 等内部系统或 SaaS 应用,形成 “统一签发 – 分散验证” 的身份管理闭环。
需要注意的是,IdP(身份提供者)和 SP(服务提供者)的概念起源于 SAML 2.0 协议,不过在 OIDC(OpenID Connect)和 OAuth 2.0 等其他标准协议里,也能看到与之类似的角色,只是在不同协议中的名称和具体实现方式有所不同,通过 IdP 和 SP 可以让产品经理快速抽象计算语言里复杂的不同主体。
3.2 有哪些认证协议?
现代认证协议发展多年,有诸多主流协议如AD、CAS、SAML、OAuth2、OIDC等等。形象比喻一下,认证协议如同数字世界的「边防检查站」:用户(旅客)通过出示凭证(护照 / 签证),验证方(边防系统)通过标准化流程(检查、盖章)确认身份合法性,并通过信任传递机制(国际协议)实现跨系统访问权限的发放与验证。互联网最常用的是 OAuth2和 OIDC,OAuth 2 协议主要用于资源授权。OIDC 则是 OAuth 2.0 协议的超集,能够认证用户并完成资源授权。在可以选择 OIDC 的情况下,应该选择 OIDC。
不同认证协议在不同企业也有不同实时路线:
教育机构常用 CAS+SAML混搭:CAS处理校内系统 SSO,SAML对接校外科研平台。之前做云平台时就发现高校基本使用 CAS 协议,单点登录必备。企业内部升级路径往往为 AD→ADFS(SAML)→OIDC,类似燃油车→混动车→纯电车的渐进式改造,最终实现如AD做用户存储+OIDC做认证层。互联网产品推荐 OIDC+JWT 组合,如同给每个用户配备可编程的电子身份证。3.3 认证和授权有什么区别?
在开发或管理应用程序时,认证(Authentication)与授权(Authorization)是保障系统安全的两个核心环节,尽管两者常被混淆,但其职责截然不同。如同在做用户管理的产品设计时,认证就是“用户”,授权则是“角色”。认证旨在确认用户身份的真实性,回答 “你是谁” 的问题,例如通过用户名密码、指纹或面部识别等方式验证用户身份。授权则是基于认证结果,决定用户是否有权限访问特定资源或执行操作,回答 “你能做什么” 的问题,例如根据角色分配文件读写权限。简单来说,认证是验证你的身份的过程,而授权是验证你有权访问的过程。
认证是验证用户身份真实性的核心安全机制,通过用户提供的凭据(如用户名 / 密码、生物特征、手机验证码等)确认其身份合法性。核心目标是回答 “你是谁”,防止身份冒充。常见方式包括单因素认证(如密码)和多因素认证(MFA,结合密码 + 指纹 + 短信等),后者通过叠加不同验证因素显著提升安全性。在系统登录、支付交易等场景中,认证确保只有合法用户能访问资源,是构建安全体系的第一道防线。
授权是在系统完成用户身份认证后,依据预先设定的规则或策略,对用户访问特定资源(像数据、功能、设备等)的权限进行判定和分配的过程。其核心在于明确用户“能做什么”,防止越权操作。常见的授权方法有基于角色的访问控制(RBAC)、基于属性的访问控制(ABAC)等。比如在机场,乘客通过身份认证后,登机牌决定其可登机的航班,这就是授权的体现。授权是保障系统安全的重要环节,确保用户仅能获取其被允许的资源和服务。
现代协议常结合两者:OIDC 负责认证(颁发 ID Token),OAuth 2.0 处理授权(颁发 Access Token),SAML 2.0 则通过断言同时传递身份与权限信息。理解这对概念的差异与协作,在做产品设计时也有了技术基础。
3.4 什么是联邦认证?
前面讲了很多角色和协议,这里来了解下认证系统离不开的另外一个概念:联邦认证。简单来说,联邦认证(Federated Authentication)与 身份提供者(IdP)、服务提供者(SP)、认证协议的关系可概括为:联邦认证是目标,IdP 与 SP 是核心角色,认证协议是技术桥梁。
如果没有联邦认证概念,就如你现在的各类账号信息分散在不同的站点和应用每次访问一个新的站点都要注册一个新的用户名和密码账号。用户无需在多个系统重复注册,通过信任联盟协议实现跨平台身份互通。其核心是将认证权交给可信的第三方身份提供商(IdP),服务提供商(SP)仅负责权限管理。
最典型的场景莫过于现在 app 都有的第三方登录。例如用户访问网站时,可选择微信扫码登录(微信作为IdP),网站通过OAuth2/OIDC协议获取用户基础信息,省去注册流程。企业场景中,员工使用微软Azure AD账号登录多个SaaS应用也属联邦认证,实现“一次认证,全网通行”,既提升用户体验,又降低账号管理成本。
四、落地细节:5 大模块设计4.1 统一账号设计
大多数企业在数字化初期,都会基于 LDAP/AD 域搭建基础认证体系,员工通过域账号登录邮箱、OA 等系统。但随着业务扩展,也会有部分团队嫌麻烦未接入域控自己搭建账号体系,又或者使用域控但是兼容最新的协同工具登录,比如飞书、钉钉或者企业微信等平台登录。这里先写统一账号中心,关键点就是在不推翻旧系统的前提下,把这些分散的账号整合为统一身份体系。
以上图为例,统一账号中心可将 LDAP/AD 作为可信身份源接入。例如,在 Keycloak 中配置 LDAP 身份提供程序,将域账号的sAMAccountName映射为全局唯一工号,departmentNumber同步为飞书部门标签。
这里极力推荐使用开源的 Keycloak 开源方案搭建企业内部统一认证,作为一个开源 N 年且拥有成熟生态的软件,基本可以实现开箱即用,比如预置微信、钉钉、飞书等 10 + 第三方登录方式,内部平台研发一般人不多,这可以减少很大开发量,另外协议也比较兼容,全面支持 OAuth2.0、OpenID Connect、SAML2.0 等国际标准,最后支持可视化管理界面,非技术人员也能通过 Admin Console 完成角色权限配置、审计日志查询等等操作。
关于 Keycloak 更多知识,可以查看 github 官方文档。这里不再做过多赘述。
4.2 认证流程设计
统一认证登录核心在于使用一个域账号以及飞书就能登录内部所有有权限的系统,可以做到三个优化决如认证链生命周期管理、统一认证登录页和测试生产环境隔离。
认证链生命周期管理:这里就体现 Keycloak 另外一个好处好处了,原生支持支持 “认证链” 设计,比如新员工入职发送账号密码,首次登录提示改密码,N 天定期要求强制改密码,离职了自动销户。大概流程图如下:
统一认证登录页:产品多了就有个问题,登录入口的样式都难以统一。这里可以打造零学习成本的登录入口,统一页面采用企业品牌视觉(LOGO + 主色调)。此外,页面主按钮调用飞书的按钮自动完成身份验证并跳转系统,全程
测试生产环境隔离:平衡开发效率与安全性,可以通过 Keycloak 环境变量配置,测试环境禁用 MFA 并延长密码有效期至 365 天,生产环境强制开启动态令牌 + 人脸识别,结合独立回调 URL 与测试用户 ID 前缀 test_ 等策略。好的认证流程设计,是让员工 “感觉不到登录的存在”。通过流程规范、体验优化、环境隔离的组合策略,让内部员工登录也能更友好,打造零学习成本的登录入口。
4.3 权限管理设计
从产品设计视角看,权限管理的核心是用规则控制风险,用策略释放效率。说白了,就是允许接入的内部系统可以无需搭建自己的权限方案,可以直接接入认证后在后台配置。在权限管理角度其实有两种主流方案选择:RBAC(基于角色)与 ABAC(基于属性)。
RBAC(基于角色)是只要在 B 端领域做过产品经理都或多或少有所了解的一种权限方案。
它的核心在于把权限和角色绑定,再将角色分配给用户,从而达成权限管理。
就像给 “财务总监” 角色赋予预算审批权,给 “普通员工” 角色赋予基础数据查看权。其优点十分显著,一是降低了管理复杂度,角色可以批量进行授权;二是契合企业的组织架构,权限的分配逻辑清晰易懂;三是能快速实现权限的回收与调整。
不过,RBAC 也存在明显的局限性,比如角色的定义较为僵化,难以应对动态的业务场景,容易造成权限的冗余或者缺失。
举例来说,在跨部门协作时,RBAC 就显得力不从心,而且在需要对权限进行细粒度控制时,它也难以满足需求。
ABAC(基于属性)是一种以动态属性为核心的授权模型,通过用户属性(如部门、职级)、资源属性(如文件类型、敏感度)、环境属性(如时间、IP 地址)及操作类型(如读取、删除)的组合条件,实现细粒度的访问决策。其核心在于打破角色的静态限制,例如允许 “北京分公司销售经理在工作日 9:00-18:00 修改客户报价单”,而无需预先定义角色。
这里其实可以参考 Authing (一家做身份中台的 SaaS 厂商)的权限系统,将资源、角色、权限授权统一组合到一个权限分组中
ABAC 的优势在于它打破了角色的限制,能够实现对权限的精准控制,非常适合业务复杂、场景多变的企业。然而,ABAC 也存在一些缺点,比如规则的配置和维护成本较高,需要专业的人员来操作。
一般来说,对于内部系统不多的小型企业而言,更推荐使用 RBAC 而非 ABAC,简单明了。而对于中大型企业,在实际应用中,混合使用 RBAC 和 ABAC 往往能达到更好的效果。企业可以先用 RBAC 搭建基础的权限框架,再用 ABAC 来处理例外情况。
4.4 安全设计
做统一认证的还有一大好处就是更安全了,统一认证平台可以提供多样登录适配需求,登录提醒预警风险,审计日志追溯操作,全面提升系统安全防护的能力。
在安全登录方式上,可以构建多因素认证,包含 MFA 认证、手机短信认证等。这里需要注意一点允许接入认证系统的应用自主选择适配的认证方式。针对高敏感系统,可启用 MFA 强认证以保障安全;普通内部系统飞书/钉钉登录即可,这样可以平衡安全性与使用便捷性。
登录提醒功能层面,用户每次登录均触发提示机制。正常登录时,清晰展示登录时间、地点等信息;若检测到陌生设备、异地登录等危险场景,立即弹出警告提示,并同步向用户绑定终端推送风险通知,强化用户对登录安全的感知。
审计日志模块主要是完整记录用户登录、操作等行为数据,覆盖操作时间、用户账号、执行动作、影响对象等关键信息。可以支持快速检索与回溯,满足企业合规审计要求和后续出了问题的追溯。
4.5 兼容性设计
作为企业内部的统一认证平台,如缺乏兼容性,将面临可能被业务系统边缘化的风险:你无法强制其他团队使用你的产品。因此,好用是关键,兼容是基础。
这里简单说几个维度的兼容设计,最最最重要的是认证与授权分离架构释放业务灵活性。
统一认证中心负责身份核验(如飞书扫码 / MFA),授权逻辑由各系统自主实现(如 ABAC/RBAC)。这种解耦设计既保障身份安全,又允许业务系统自定义权限策略,避免 “一刀切” 引发的抵触,降低系统碎片化风险。
此外,现在移动端办公也比较常见,需要做多端适配能力保障用户体验一致性。支持 PC、移动端、平板等设备,兼容主流浏览器,避免因设备差异导致的登录失败。
还有一点比较关键的,需要让内部其他系统接入更方便,通过标准化接口支持多语言 SDK(Java/Python/Go)与开放协议(OAuth2.0/RESTful),内部系统可快速完成认证集成,降低接入门槛。
兼容性缺失的代价是业务部门 “用脚投票”。若平台无法满足差异化需求(如特殊设备接入、定制化授权逻辑),业务系统将被迫自建账号体系,导致身份数据割裂、维护成本激增。因此,兼容性不仅是技术能力,更是统一认证的关键 。只有让业务系统 “用得爽、改得了、接得住”,统一认证平台才能真正成为企业认证平台。
五、最后的最后需要注意的是,在做统一认证平台时,要避免 “一刀切” 安全策略,比如对所有系统强制启用 MFA 和短信认证,导致用户体验下降。此外,也需要格外主要开发生产环境的隔离问题,可以为开发 / 测试 / 生产环境分配独立的客户端 ID、密钥及回调 URL,通过域名区分(如dev.example.com与prod.example.com)。
统一登录平台的核心价值在于 “连接而非控制”,需通过差异化策略满足多元需求,通过解耦架构降低业务耦合,通过兼容性设计保障业务黏性,最终实现 “一套认证体系支撑百种业务形态” 的可持续迭代。
零度Pasca,,人人都是产品经理专栏作家。关注前沿技术趋势,理性数据主义者;热爱阅读,坚信输出是沉淀输入的最好方式,致力于用产品思维解决用户共性问题。
本文原创发布于人人都是产品经理,未经许可,禁止转载
题图由作者提供
该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。
来源:人人都是产品经理
