在使用 IDaaS 前，我们首先要搞明白的 8 个问题

一、云上？本地？

为什么要将部署方式作为首要问题，因为这个是在使用 IDaaS 的功能以及服务上是有本质区别的。

云上：也就是 SaaS 服务，方便快捷，开箱即用，不需要运维，解放劳动力。但前提条件就是，需要网络的通畅。大多数企业都存在内网环境，这就意味着我们需要将网络打通，让云上的 IDaaS 服务能够无障碍的和各个应用进行通讯，数据交互。

好处：即买即用，方便快捷，产品服务会不断迭代提升，越来越好。

本地：IDaaS 也可以本地化部署，这样就避免了内网应用通讯问题，但缺点就在于需要维护服务器，并且升级更新较为繁琐。

如果企业对网络没有特殊的要求，作者推荐使用云上 IDaaS ，毕竟，现在很多云产品也能帮助企业更好迁移上云。

二、数据源及数据流向如何？

在使用 IDaaS 之前，我们需要规划整体的数据同步流向。

• 谁是数据源，数据产生者（上游是谁）？
• 下游该同步给哪些业务系统（下游是谁）？

作为数据源，我们要确保唯一，做到一处修改，处处生效，这不仅有利于公司的整体身份中台建设规划，解决身份信息孤岛问题，同时也为后续更多新上线的业务系统，打下身份数据的基础。

经典数据同步场景

1）IDaaS 作为数据源（ IDaaS -> SP）

IDaaS 作为数据源是，当进行数据的增、删、改等操作都会实时同步至业务系统。通常情况下，为保障数据的一致性，避免数据混乱，业务系统和 IDaaS 只做单项同步对接。

2）第三方业务系统作为主数据源 （SP -> IDaaS -> SP）

IDaaS 同时也支持钉钉、AD、OA、HR 等业务系统作为数据源进行数据同步。通过和 IDaaS 的打通，集中收集数据，然后再推送给业务系统。做到一处修改，处处生效。

三、是否支持多种 SSO 协议？

在这里，我推荐几种不同类型的 SSO 协议。选择正确的协议，会让应用对接 IDaaS 很加简单高效，同时，也考验 IDaaS 的 SSO 协议支持力度。用户在这里需要对不同的产品精心挑选。

我们可以从以下几个角度考虑如何选择 SSO 协议对接。

1）IDaaS 预集成

在 IDaaS 里，会提前预先集成了一些常用的 SaaS 应用，比如：钉钉、阿里云 RAM 、阿里邮箱等

2）B/S or C/S ?

通常业务系统的网络结构模式主要有两种：B/S 结构（浏览器/服务器模式）C/S 结构（客户端/浏览器模式）

B/S 结构：我们通常推荐使用：SAML、OAuth2.0、JWT、CAS 应用模板对接

3）IDaaS 标准协议

IDaaS目前主要提供四种 SSO 协议：SAML、JWT、OAuth2.0、CAS

如果您的业务系统支持上述其中的某个协议，仅需在应用模板中进行配置，然后业务系统进行少量的开发工作，即可实现 SSO 单点登录。

如果以上协议都不支持，在这里，我们将主推 JWT 模式，开发简单，容易实现。

4）代填模板

由于某些特殊情况下，业务系统不支持 IDaaS 提供的 4 种协议，同时又面临改造困难的问题。比如：系统建设时间长，联系供应商困难，或者供应商收费高昂无法进行适配改造等。

针对这种情况，可以使用表单代填来实现业务系统的单点登录，都是通过模拟用户输入账号密码方式实现。

通过下表，您可以进一步选择模板