核心企業

CORE ENTERPRISE
當前位置:網站首頁>軟件開發 > 正文內容

單點登錄(SSO)—簡介

 

單點登錄SSO(Single Sign-On)是身份管理中的一部分。SSO的一種較為通俗的定義是:SSO是指訪問同一服務器不同應用中的受保護資源的同一用戶,只需要登錄一次,即通過一個應用中的安全驗證后,再訪問其他應用中的受保護資源時,不再需要重新登錄驗證。

目前的企業應用環境中,往往有很多的應用系統,如辦公自動化(OA)系統,財務管理系統,檔案管理系統,信息查詢系統等等。這些應用系統服務于企業的信息化建設,為企業帶來了很好的效益。但是,用戶在使用這些應用系統時,并不方便。用戶每次使用系統,都必須輸入用戶名稱和用戶密碼,進行身份驗證;而且應用系統不同,用戶賬號就不同,用戶必須同時牢記多套用戶名稱和用戶密碼。特別是對于應用系統數目較多,用戶數目也很多的企業,這個問題尤為突出。問題的原因并不是系統開發出現失誤,而是缺少整體規劃,缺乏統一的用戶登錄平臺,使用SSO技術可以解決以上這些問題。一、使用SSO的好處主要有
(1)方便用戶
用戶使用應用系統時,能夠一次登錄,多次使用。用戶不再需要每次輸入用戶名稱和用戶密碼,也不需要牢記多套用戶名稱和用戶密碼。單點登錄平臺能夠改善用戶使用應用系統的體驗。
(2)方便管理員
系統管理員只需要維護一套統一的用戶賬號,方便、簡單。相比之下,系統管理員以前需要管理很多套的用戶賬號。每一個應用系統就有一套用戶賬號,不僅給管理上帶來不方便,而且,也容易出現管理漏洞。
(3)簡化應用系統開發
開發新的應用系統時,可以直接使用單點登錄平臺的用戶認證服務,簡化開發流程。單點登錄平臺通過提供統一的認證平臺,實現單點登錄。因此,應用系統并不需要開發用戶認證程序。
二、實現SSO的技術主要有
(1)基于cookies實現,需要注意如下幾點:如果是基于兩個域名之間傳遞sessionid的方法可能在windows中成立,在 unix&linux中可能會出現問題;可以基于數據庫實現;在安全性方面可能會作更多的考慮。另外,關于跨域問題,雖然cookies本身不跨域,但可以利用它實現跨域的SSO。
(2)Broker-based(基于經紀人),例如Kerberos等;
這種技術的特點就是,有一個集中的認證和用戶帳號管理的服務器。經紀人給被用于進一步請求的電子的身份存取。中央數據庫的使用減少了管理的代價,并為認證提供一個公共和獨立的"第三方"。例如Kerberos、Sesame、IBM KryptoKnight(憑證庫思想)等。
(3)Agent-based(基于代理)
在這種解決方案中,有一個自動地為不同的應用程序認證用戶身份的代理程序。這個代理程序需要設計有不同的功能。比如, 它可以使用口令表或加密密鑰來自動地將認證的負擔從用戶移開。代理被放在服務器上面,在服務器的認證系統和客戶端認證方法之間充當一個"翻譯"。例如 SSH等。
(4)Token-based,例如SecurID、WebID、
現在被廣泛使用的口令認證,比如FTP,郵件服務器的登錄認證,這是一種簡單易用的方式,實現一個口令在多種應用當中使用。
(5)基于網關
Agent and Broker-based,這里不作介紹。
(6)基于安全斷言標記語言(SAML)實現,SAML(Security Assertion Markup Language,安全斷言標記語言)的出現大大簡化了SSO,并被OASIS批準為SSO的執行標準。開源組織OpenSAML 實現了 SAML 規范,可參考http//www.opensaml.org。
三、SUN SSO技術

SUN SSO技術是Sun Java System Access Manager產品中的一個組成部分。
Sun 的新身份管理產品包括Sun Java System Identity Manager、Sun Java System Directory Server Enterprise Edition 和 Sun Java System Access Manager,以上三者為Sun Java Identity Management Suite (身份識別管理套件)的組成部分,它們與Sun Java Application Platform Suite、Sun Java Availability Suite、Sun Java Communications Suite、Sun Java Web Infrastructure Suite組成Java ES。具有革新意義的這一系列產品提供端到端身份管理,同時可與 60 多種第三方資源和技術實現互操作,集成產品可以從SUN公司網站下載,一般以Agent軟件方式提供,是業內集成程序最高、最為開放的身份管理解決方案之一。
在Sun 的新身份管理產品中,Sun Java System Access Manager是基中的一個重要組成部分,Java Access Manager基于J2EE架構,采用標準的API,可擴展性強,具有高可靠性和高可用性,應用是部署在Servlets容器中的,支持分布式,容易部署且有較低的TCO。通過使用集中驗證點、其于角色的訪問控制以及 SSO,Sun Java System Access Manager 為所有基于 Web 的應用程序提供了一個可伸縮的安全模型。它簡化了信息交換和交易,同時能保護隱私及重要身份信息的安全。
四、CAS 介紹
CAS(Central Authentication Service),是耶魯大學開發的單點登錄系統(SSO,single sign-on),應用廣泛,具有獨立于平臺的,易于理解,支持代理功能。CAS系統在各個大學如耶魯大學、加州大學、劍橋大學、香港科技大學等得到應用。
Spring Framework的Acegi安全系統支持CAS,并提供了易于使用的方案。Acegi安全系統,是一個用于Spring Framework的安全框架,能夠和目前流行的Web容器無縫集成。它使用了Spring的方式提供了安全和認證安全服務,包括使用Bean Context,攔截器和面向接口的編程方式。因此,Acegi安全系統能夠輕松地適用于復雜的安全需求。Acegi安全系統在國內外得到了廣泛的應用,有著良好的社區環境。
CAS 的設計目標
(1)為多個Web應用提供單點登錄基礎設施,同時可以為非Web應用但擁有Web前端的功能服務提供單點登錄的功能;
(2)簡化應用認證用戶身份的流程;
(3)將用戶身份認證集中于單一的Web應用,讓用戶簡化他們的密碼管理,從而提高安全性;而且當應用需要修改身份驗證的業務邏輯時,不需要到處修改代碼。
CAS 的實現原理
CAS(Central Authentication Server)被設計成一個獨立的Web應用。實現原理非常簡單。

CAS創建一個位數很長的隨機數(ticket)。CAS把這個ticket和成功登錄的用戶以及用戶要訪問的service聯系起來。例如,如果用戶 peon重定向自service S,CAS創建ticket T,這個ticket T允許peon訪問service S。這個ticket是個一次性的憑證;它僅僅用于peon和僅僅用于service S,并且只能使用一次,使用之后馬上會過期,即ticket通過驗證,CAS立即刪除該ticket,使它以后不能再使用。這樣可以保證其安全性。
關于ST,在取一個ST時,即使用delete Ticket(ticketId)同時將一次性的ST刪除;而對于TGT或PT,則通過reset Timer(ticketId)以更新TGT或PT的時間。在CAS服務端返回的ST中只能得出用戶名。
另外,CAS3.0版本也已經發布了,現在最新的版本是3.03,希望CAS3.0在向下兼容的同時,更能向我們提供一些新東西。

SUN SSO 實現原理
SSO的核心在于統一用戶認證,登錄、認證請求通過IDENTITY SERVER服務器完成,然后分發到相應應用。
SUN SSO是java Access Manager的一個組成部分,SSO基于Cookie實現解釋如下:
(1)Policy Agent on Web or Application Server intercepts resource requests and enforces access control;
(2)Client is issued SSO token containing information for session Validation with Session service.
(3)SSO token has no content- just a long random string used as a handle.
(4)Web-based applications use browser session cookies or URL rewriting to issue SSO token.
(5)Non Web applications use the SSO API(Java/c) to obtain the SSO token to validate the users identity. SUN SSO 的應用
這里說的應用是指Sun Java System Access Manager的應用。成功應用例子很多,包括德國電信等公司的應用,國內也有大量高校在使用,也有相當多的其它行業的應用。 SUN SSO的開源
Sun 將發布其網絡驗證與網絡單點登錄技術,給一項新的開放源代碼計劃“Open Web Single Sign-On”(Open SSO)。OpenSSO網站位于:[url]https://opensso.dev.java.net/[/url]。該網站對OpenSSO的概述為:This project is based on the code base of Sun Java(tm) System Access Manager Product, a core identity infrastructure product offered by Sun Microsystems.
OpenSSO 計劃的第一部份源代碼,將于今年年底完成,基本的版本將于明年3月份發布,而完整的版本可能要等到明年五月份。Sun 采用與Solaris 操作系統相同的共同開發暨流通授權(Common Development and Distribution License)方式。  
内蒙古 11 选 5 开奖结果 内蒙古11选5手机版 内蒙古11选5走势图表 内蒙古11选5基本走势图 内蒙古11选5开奖 内蒙古11选5历史记录 内蒙古11选5手机版 内蒙古11选5走势图表 内蒙古11选5基本走势图 内蒙古11选5开奖 内蒙古11选5历史记录