摘要：本期内容来说说单点登录（SSO）里两个容易混淆的概念：门户单点登录和域单点登录。在宁盾科技视频号《关键：定位您的身份管理问题出在“账号”还是“认证”上》时提到过，统一认证服务实现了用户一次登录即可访问多个应用系统，无需重复输入凭据（账号密码）。员工感知到的通常

本期内容来说说单点登录（SSO）里两个容易混淆的概念：门户单点登录和域单点登录。在宁盾科技视频号《关键：定位您的身份管理问题出在“账号”还是“认证”上》时提到过，统一认证服务实现了用户一次登录即可访问多个应用系统，无需重复输入凭据（账号密码）。员工感知到的通常是一个 Portal 门户，这个门户是访问多个应用系统的统一入口。这就是门户单点登录。另外一个是解决统一认证问题，即域单点登录。

域单点登录是指在企业内网办公环境，员工用公司域内的电脑访问某个应用时，如文件服务器、内部系统，无需再次输入账号密码，系统会自动完成身份验证。直白来说，也就是员工登录加域后的电脑后，可自动登录到应用、文件服务器、内部系统等。其本质是通过操作系统的 Kerberos 协议，将用户登录 Windows 时的域身份安全传递至应用系统。域单点登录不强调门户，强调域，它的信任基础是基于操作系统的 AD 域身份，适用于必须加入域的计算机，也就是企业内网或 VPN 接入企业的电脑。

门户单点登录是指在移动办公、跨域资源、多云应用、SaaS 服务访问环境中，员工访问 OA、邮箱、CRM 系统以及外部人员（合作伙伴、服务商）访问 SRM 供应商关系管理等系统时，被重定向跳转至门户进行一次认证后，无需重复输入账号密码即可无缝访问所有集成应用。用户可使用任意终端访问，包括移动端、外部计算机，因为它强调的是门户，而门户集成的应用，一般都是基于 Web 的，所以无论用户是从浏览器或者如企微、钉钉、飞书等客户端的内置 WebView 浏览器都可以访问。

可以看出，门户单点登录和域单点登录在认证体验、认证架构、技术机制、适用场景上都有明显区别。不过在技术探讨中，如果没有特别说明是“域环境”，上下文也没有提到“域”（Domain）或者“AD 活动目录”，则默认指的是基于 SAML、OAuth 等标准 SSO 协议的门户单点登录。这是为什么呢？

域单点登录是局域网时代的技术遗产，门户单点登录则是云和移动化时代的标准。域单点登录出现更早，但不能就此认为它是当前主流，它就像老式机械钥匙，只能在自家门锁使用。而门户单点登录像智能门禁卡，所有合作大楼通用。现在大家提到“钥匙”时更多指智能门禁卡这种。在项目中明确客户想要什么，可以这么提问：是要电脑开机后应用直接登录进去，还是浏览器打开应用后在一个门户认证后直接登录进去。

其实这两种单点登录机制也能互相配合使用。例如，用户采用域账号密码登录进电脑后，单点登录门户基于电脑域身份直接登录访问，门户中集成的应用系统再基于门户的身份自动登录。这样从电脑登录的一次域认证到访问具体应用全流程实现单点登录的体验，可以理解为这些应用系统间接地做到了域单点登录。这样做的好处在于应用系统无需做改造。因为域单点登录技术对于现在的应用来说，其支持性并不高，如果要实现域单点登录，很多应用就得改造二开，应用数量多的话，代价非常大。但现在的应用系统对 SAML、OAuth 等门户单点登录（SSO）的支持性会更好，这样就只需门户这一层做改造，让门户支持域单点登录即可，门户里的大量应用系统就无需改造二开了。

本文提到的域单点登录，通常是指 AD 域环境下的能力。现在像宁盾身份域控这种第三方域，也能提供域单点登录服务。域单点登录最大的特点就是在域内，终端加入哪个域，就由那个域的服务提供域单点。宁盾提供了便捷的域单点登录集成接口，和 AD 的 Kerberos 那套老方法不一样。

来源：宁盾