SSO 与 IDaaS 的核心区别
- SSO(Single Sign-On,单点登录):解决“一次登录,多处通行”的体验与接入问题。
- IDaaS(Identity as a Service,身份即服务):解决“身份从哪来、怎么管、怎么验证、怎么回收、怎么审计”的平台能力问题。
更准确的关系是:SSO 是 IDaaS 的重要能力之一,但不是全部。
1)它们各自“管什么”
SSO 主要管“登录体验与接入”
典型能力包括:
- 统一登录入口(登录页/门户)
- 登录后在不同系统间“免登/自动登录”
- 常见协议:SAML、OIDC/OAuth2、CAS(有些也支持 LDAP/AD)
IDaaS 主要管“身份全生命周期与治理”
典型能力包括(不只SSO):
- 目录/身份源:员工/外包/伙伴的账号从哪里来(HR、AD/LDAP、钉钉/企微等)
- 统一认证与SSO:一个地方验证身份、发放票据/Token
- MFA(多因素认证):短信/OTP/生物识别/硬件Key
- 权限与策略:RBAC/ABAC、条件访问(时间/地点/设备/IP等)
- 自动化治理:入职/转岗/离职自动开通与回收、异常检测、审批流
- 审计与合规:登录日志、权限变更记录、可追溯审计
- 扩展能力:API/SDK、用户自助、设备管理、Zero Trust 衔接等
2)概念对比表(最直观)
| 维度 | SSO | IDaaS |
|---|---|---|
| 本质 | “功能/能力集”(单点登录) | “平台/产品形态”(云化身份服务) |
| 解决的问题 | 登录繁琐、密码太多、重复登录 | 身份来源分散、权限失控、离职回收难、审计缺失、安全风险 |
| 典型包含 | SSO、登录页、协议适配 | SSO + 目录/身份源 + MFA + 策略 + 自动化 + 审计等 |
| 交付形态 | 可能是组件/模块、或单独SSO产品 | 多为 SaaS/云托管(也可能私有化/混合云) |
| 对企业价值 | 提升用户体验、减少重置密码 | 降低运维成本、降低泄露风险、满足合规审计 |
3)它们的关系:SSO ⊂ IDaaS(子集关系)
可以把IDaaS 理解为“身份中台/身份云”,而SSO 是它的前台能力之一:
IDaaS(身份即服务) ├── 目录/身份源(HR/AD/IM通讯录…) ├── 统一认证与 SSO(登录页/令牌发放/会话管理) ├── MFA(多因素认证) ├── 策略与访问控制(条件访问/ABAC) ├── 自动化治理(入职/离职/转岗权限) └── 审计与安全(日志/告警/合规报告)4)你该怎么向老板/同事解释
- “SSO 让我们少输密码;IDaaS 让我们知道谁是谁、谁能进哪里、什么时候能进、且离职后立刻关掉。”
采购时如何描述自身所需要的是SSO,还是IDaaS?
在采购谈判中,很多坑都是因为**“供需双方对名词的理解不在一个频道上”**造成的。供应商可能会把一个简单的“登录页”吹成强大的“IDaaS”,或者把必须要做的“SSO”当成昂贵的增值服务来报价。
为了在不暴露自家IT底牌的同时,精准拿到你想要的东西,你可以参考以下这份**“采购需求描述指南”**。
一、 核心原则:先看“管不管账号”,再看“管不管登录”
在动笔写需求之前,先在心里问自己一个问题:
- 我只想解决“登录麻烦”(少记密码、少重置密码) ➡️ 你要的是SSO。
- 我还想解决“账号混乱”(入职自动开通、离职自动删号、谁能看什么数据) ➡️ 你要的是IDaaS。
二、 采购需求描述模板(可直接复制进RFP/合同)
场景 1:你只想要 SSO(单点登录)
目标:员工只需在你们公司的统一门户(或钉钉/企微)登录一次,点击图标就能直接进我的系统,不用再输一遍账号密码。
需求描述可写为:
1. 统一身份认证与单点登录(SSO)要求
- 协议支持:系统须原生支持标准单点登录协议,至少包含OIDC (OpenID Connect)或SAML 2.0,禁止仅提供非标准的私有接口。
- 对接方式:支持与第三方身份认证中心(如企业微信、钉钉、AD域或我方指定的IDaaS平台)进行免密对接。
- 功能表现:用户在中心平台完成认证后,访问本系统时自动登录,无需二次输入用户名和密码;支持全局单点登出(在一处退出,所有关联系统同步下线)。
- 字段映射:支持将第三方身份源的账号、姓名、手机号、所属部门等基础字段,自动映射至本系统的用户档案中。
场景 2:你想要 IDaaS(身份治理平台)
目标:我要建立一个全公司的“身份大本营”。所有系统的权限都从这里下发,HR招了人我这边自动有号,HR把人开了我这边瞬间封号。
需求描述可写为:
2. 统一身份管理与权限治理(IDaaS/IAM)要求
- 身份源集成:平台须支持作为统一身份源,能够主动同步来自上游系统(如钉钉/企业微信/飞书通讯录、HR系统、AD域)的组织架构与用户信息。
- 自动化全生命周期管理:支持配置策略,实现员工入职/转正/调岗/离职时,在各业务系统中的权限自动开通、变更或一键回收,杜绝“幽灵账号”。
- 统一权限模型:支持基于角色的访问控制(RBAC)及细粒度的权限策略配置,可集中下发各子系统的菜单、按钮及数据级别的访问权限。
- 安全审计:提供统一的登录日志、操作审计日志导出功能,支持异常登录行为(如异地登录、暴力破解)的风险告警。
三、 供应商常见套路与你的“反击话术”
在谈判桌上,你可能会遇到以下几种情况,建议提前准备好应对口径:
套路 1:偷换概念,拿“普通登录”冒充“SSO”
- 供应商说:“我们的系统自带登录页面,支持账密登录、手机验证码,这就是单点登录呀。”
- 你的反击:“不对。我们要的不是‘能登录’,而是‘免登’。请提供标准 SAML/OIDC 接口文档,我们需要拿着文档去跟公司的统一门户做配置。如果你们不支持标准协议,那就是不满足需求。”
套路 2:把“SSO”包装成“IDaaS”漫天要价
- 供应商说:“做单点登录属于IDaaS高级模块,要加收20万定制费。”
- 你的反击:“SSO只是身份系统的最基本功能。我们要求的是基于标准协议的配置化对接,不需要你们帮我建用户中心,也不需要你们管我员工的增删改查。如果只是做个协议适配,这属于基础交付范畴,不应收取高额开发费。”(注:如果真要收钱,只付接口调试的人天费)
套路 3:拿“表单代填”忽悠你
- 供应商说:“我们系统比较老,做不了接口,但我们可以用‘表单代填’(模拟键盘输入账号密码)来实现单点登录。”
- 你的反击:“表单代填不安全(容易泄露明文密码),且不稳定。如果系统不支持标准协议,我们将在评分表中扣除‘系统集成能力’的分数,并建议降低该系统的采购优先级。”
💡 总结
在写采购需求时,记住一个口诀:
- 谈SSO,死磕“标准协议(SAML/OIDC)”;
- 谈IDaaS,死磕“上游同步(HR/IM)”和“下游下发(权限自动化)”。
)
