讓 EIP 帳號、身分驗證與單一簽入集中管理
EIP 員工入口網通常需要與企業既有帳號系統整合,讓員工可使用公司帳號登入平台,並依照組織、部門、角色與系統權限取得對應服務。透過 LDAP、SAML、OpenID Connect、OAuth 2、Kerberos 或 Token-Based SSO 等方式,可降低重複帳號維護成本,並提升入口平台的登入一致性與權限控管能力。
帳號認證與單一簽入整合範圍
EIP 帳號整合不只是登入方式設定,也包含使用者資料同步、群組角色對應、單一簽入流程、權限控管與登出機制。企業可依照既有 IT 架構、資安政策與使用情境,選擇適合的認證協定與整合方式。
帳號來源整合
可與 LDAP、Microsoft Active Directory、Microsoft Entra ID 或既有帳號資料來源整合,減少重複建立帳號與人工維護作業。
單一簽入認證
支援 SAML、OpenID Connect、OAuth 2、CAS、Kerberos 或 Token-Based SSO 等常見企業登入模式。
角色與權限對應
可依帳號屬性、群組、部門或角色設定 EIP 內部權限,控制入口頁面、功能模組與內容檢視範圍。
支援協定 / 工具類型
企業可依照既有身分識別平台與安全政策,採用不同的認證協定。以下整理常見帳號整合方式與適用情境,實際導入時會依系統版本、網路環境、IdP 設定與安全規範進行確認。
| LDAP / Microsoft AD | 適合企業內部已使用 Microsoft Active Directory 或 LDAP 目錄服務的環境,可作為帳號、組織與群組資料來源,搭配 EIP 權限進行使用者管理。 |
|---|---|
| OpenID Connect | 常見於現代身分識別平台整合,可搭配 Keycloak、Okta、Auth0、Google Login、Microsoft Entra ID 等 IdP 使用,作為 EIP 單一簽入機制。 |
| SAML 2.0 | 常用於大型企業級認證整合,可支援 IdP 或 SP 模式,適合與企業既有 SSO 平台或身分識別服務串接。 |
| CAS | 可整合 CAS 認證中心,例如 Yale CAS 架構,適用於既有系統已採用 CAS 作為集中登入服務的環境。 |
| Kerberos / SPNEGO | 適合 Windows 網域環境下的靜默登入或內網登入情境,可降低使用者在內部網路重複輸入帳號密碼的頻率。 |
| OAuth 2 | 適用於需要授權存取、API 串接或外部應用授權流程的情境,可配合企業應用整合與身分驗證架構規劃。 |
| Token-Based SSO | 可透過 HTTP Header、Cookie、Session 參數或加密 Token 方式傳遞登入狀態,適合與既有 Portal、Reverse Proxy 或外部認證閘道整合。 |
| FIDO2 / 無密碼認證 | 可依企業安全政策評估導入無密碼、多因素或硬體金鑰相關認證機制,強化高敏感系統或管理者帳號的登入安全。 |
常見整合流程
帳號整合通常會依照企業現況逐步確認,避免只完成登入串接,卻未處理角色、權限、群組與資料同步問題。建議從帳號來源、登入流程、權限對應與測試驗收四個面向規劃。
確認帳號來源
盤點 LDAP、AD、IdP、HR 系統或既有會員帳號來源,確認使用者資料欄位與同步方式。
選擇認證協定
依企業現有 SSO 平台選擇 SAML、OpenID Connect、CAS、Kerberos 或 Token-Based SSO。
對應角色權限
將部門、職稱、群組或角色對應至 EIP 站台、頁面、功能模組與內容權限。
測試登入情境
驗證首次登入、停用帳號、群組異動、登出流程、Session 逾時與跨系統導轉結果。
導入時需要確認的技術項目
- 帳號唯一識別欄位,例如使用者 ID、Email、員工編號或目錄服務帳號。
- 使用者資料同步方式,例如登入時同步、排程同步或由外部系統主動推送。
- 組織、部門、群組與角色的對應規則,避免登入成功但權限無法正確套用。
- SSO 登入入口、登出 URL、Session 逾時與跨系統登出行為。
- 內外網存取規則、Reverse Proxy、Load Balancer、HTTPS 與安全標頭設定。
- 管理者帳號、例外帳號與緊急維護帳號的登入策略。
- 測試環境、正式環境與 IdP 設定差異,避免正式切換時發生登入中斷。
適用情境
企業內部員工入口
員工使用公司帳號登入 EIP,查看公告、文件、表單、待辦事項與內部服務。
集團與多站台入口
依公司別、地區、部門或角色進入不同入口站台,顯示對應資訊與服務。
高安全控管系統
搭配多因素認證、無密碼認證或集中 IdP 管理,提高管理者與敏感資料存取安全性。
相關規格與延伸說明
帳號整合通常會與 EIP 權限、多站台、應用系統整合與資訊安全設定一起規劃。以下頁面可搭配參考。