单点登录解决方案


单点登录解决方案 单点登录解决方案 随着信息技术和网络技术在组织机构中的广泛应用,很多机构单位已经拥有 了各种各样的应用系统,如 OA 办公自动化系统、HR 人力资源管理系统、财务 系统、CRM 客户关系管理系统、企业 ERP 系统、政府网上审批系统、学校一卡 通系统、以及各种业务应用系统。 但用户要想享受到这些应用系统带来的诸多好处,就需要登录到许多不同的 应用系统中,而每个系统都要求用户遵循其独立的身份认证安全策略,比如要求 输入用户 ID 和口令。用户所使用的应用系统越多,登录时出错的可能性就会越 大,受到非法截获和破坏的可能性也会大大增加,系统的安全性就会相应降低; 而如果用户忘记了口令,不能正确的登录系统,就需要请求管理员的帮助,而且 只能在重新获得口令之前等待,造成了系统和安全管理资源的不必要的开销,降 低了系统的使用效率。有时,用户为避免这种尴尬情况的出现,也为记清楚登录 信息,通常会采用简化用户名、密码,或者在多个系统中使用相同的口令,或者 干脆将密码记录在笔记本上的做法,而这些都是会危及企业信息安全的几种不良 的习惯。 此外,通常情况下,各个应用系统都存在自己独立的用户信息数据库和授权 管理机制,故而如何实现中央用户目录数据、门户用户数据与各应用系统用户数 据之间的用户数据同步和登录帐号/密码的对照,也是信息化建设面临的重要挑 战之一。 正是基于上述安全风险和挑战,门户平台 CenGRP 提供了一站式单点登录 (SSO,Single Sign-On)功能,即通过用户的一次性鉴别登录,可获得需访问系 统和应用软件的授权,在此条件下,用户可对所有被授权的各类信息资源进行无 缝的访问,管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控 制,实现“一次登录、随处访问/全网漫游”;从而提高用户的工作效率,减少操 作时间,降低用户安全管理的复杂度,并提高信息系统整体的安全性。 通过单点登录: z 从用户角度讲,能及时的访问到所需的资源,提高了生产效率;避免了 1 单点登录解决方案 记忆多个用户名、密码,增强了用户体验; z 从安全角度讲,单点登录为其他应用系统提供了功能更强的身份认证机 制,从而提高了整体的安全性; z 从管理角度看, 单点登录有助于减少口令重复设置请求,减少了系统 维护人员的工作量。 针对一个组织内部多种异构系统应用整合的要求,CenGRP门户平台开发了自 己的单点登录系统,在设计和实现中,该系统力求达到以下目标: 1、采用开放架构,兼容主流技术,保证系统整合能力。 2、提供系统平台的配置和开发能力,降低实施难度,保护用户投资。 1、 单点登录模型 CenGRP SSO 提供一种基于动态票据或令牌的单点登录解决方案,如下图所 示: CenGRP 采用独立的认证模块和用户管理;与授权机制相结合;实现了一次 性签发的机制,并且签发的票据都有一个有效期;支持双向的身份认证,既服务 器可以通过身份认证确认客户方的身份,而客户如果需要也可以反向认证服务方 的身份;支持分布式网络环境下的认证机制,通过交换"跨域密钥"来实现。 2 单点登录解决方案 2、 单点登录技术体系结构 CenGRP 的 SSO 单点登录技术体系结构如下图所示: 其单点登录的过程为: 1、浏览器请求门户 CenGRP Login 页面; 2、CenGRP 把 SSO Server 的 LOGIN 页面导向浏览器,同时把门户的授权 页面作为 SERVICE 处理。 3、用户输入身份进行认证, SSO Server 调用认证模块处理, 到 LDAP 目 录进行用户身份、密码验证;SSO Server 设置 Cookie 给浏览器。 3 单点登录解决方案 4、SSO Server 把登录成功或失败页面导向浏览器,同时把票据 ST 送给浏 览器。 5、浏览器用 SEVICE 和票据 (ST) 通过 HTTPS 请求门户。 6、门户用 ST 到 SSO Server 进行是否登录的验证。 7、SSO Server 进行 ST 的验证,以及返回登录状态、登录 ID,和服务器票 据;门户激活授权模块进行授权,这个步骤直到 LOGOUT 才重复。 8、用户通过 SSO PORTLET 访问外部应用服务,首先要用服务器票据和外 部 SERVICE 通过 HTTPS 访问 SSO Server,进行验证。 9、SSO Server 验证服务器票据并返回访问外部应用令牌 PT。 10、SSO PORTLET 访问外部应用服务带着 PT。 11、外部应用服务的认证、日志过滤器使用 PT 通过 HTTPS 到 SSO Server 进行验证请求是否服务合法。 12、SSO Server 把门户用户、应用的用户信息返回外部应用服务的认证、日 志过滤器。门户的认证过程和外部应用的认证过程记录日志。 3、 单点登录的用户帐号信息管理 CenGRP SSO Server 将用户 UserID 与动态令牌之间的对照关系长驻内存中。 CenGRP 门户存储着用户 UserID 与所要单点登录的已有应用系统的 LoginID 之间的对照关系,其存储数据结构至少包括: z 用户 UserID z 应用系统 AppID z 应用系统的 AppUserID、口令 AppPswd 单点登录时,CenGRP SSO Server 根据用户的 UserID,所请求资源的所属的 应用系统 AppID,来确定所要登录的应用系统的 AppUserID,通过动态票据验证 实现对应用系统的单点登录。 注:除非所要单点登录的应用系统的程序逻辑必须要求传入应用系统 LoginID 对应的密码,需要在 SSO Server 中对应用系统 LoginID 对应的密码进行 加密存储;否则,在 SSO Server 中则不需要存储应用系统 LoginID 对应的密码, 4 单点登录解决方案 同样能保证系统的严格安全认证机制。 4、 单点登录功能 CenGRP 门户平台的“一次单点登录”,可获得需访问系统和应用软件的授 权,在统一用户管理(UUM)的基础上提供的多服务统一登录管理模块,通过建立 CenGRP 企业门户平台系统用户和后台信息系统用户的映射关系,实现基于门户 “用户数据库”的多项服务统一登录管理。 CenGRP 企业门户平台 SSO 功能如下: z 身份验证:身份验证是权限控制的基础。CenGRP 门户平台 SSO 提供了对 客户和服务方双向身份的验证,可采用的是 SSL 的握手协议与 Kerberos 身份认证协议相结合的方式或 PKI 证书认证方式。在用户身份通过验证 后,就可以获得系统颁发的令牌,凭借此令牌,用户能够访问受 SSO 保 护的应用系统。 z 集中的权限控制:集中的权限控制摆脱了以往复杂繁琐的 ACL 权限分配 方式,实现了基于角色的权限管理模型,可以根据用户身份和现有应用 资源建立对应的访问权限。用户登录门户后,SSO 会自动赋予其相应的 权限,用户就可以顺利的访问权限范围内的各种应用系统和资源。 z 会话管理:提供对用户访问的会话(Session)管理功能。保证每个登录用 户,都会保留一个与其唯一对应的会话;在其退出系统后,会话会被系 统取消,以防止其进入其他受保护的系统。对于门户和平台内部的应用 如 CMS 内容管理,利用与门户共享会话(Session)功能,实现对 CMS 内容 管理的自动登录。 z 令牌管理:负责为登录用户生成令牌及令牌注销。用户身份经过验证后, 系统会赋予其相应的令牌,持有该令牌,用户就可以通过 SSO 过滤器的 拦截正确的进入后台应用系统。用户被注销后,令牌也会随之失效,以 防止其再次进入系统。 z SSO 过滤器:安装于受保护应用系统的服务器上,负责对用户的访问进行 拦截,并协调 SSO Server 对用户身份进行验证。支持各种 Web Application 类型,如 JSP, Servlet, ASP, ASP.NET, .NSF, PHP, CGI 5 单点登录解决方案 等多种应用类型。提供在应用系统本地将 Single Sign On 的用户帐号映 射成该应用系统用户账号并由安装在该应用系统服务器端的 SSO 过滤器 实现自动登录的方法;SSO 过滤器能够自动解密令牌中的用户名、口令, 在应用系统本地自动模仿浏览器,基于通用的 Basic 用户密码方式、Form 表单方式;X.509 兼容证书 Digest 方式等验证方式自动接驳登录到后台 各应用系统。 z SSO 应用资源管理:对受到 SSO 保护的应用资源进行管理。通过其可以 方便的将需要保护的应用或信息资源加入到 SSO 的体系中,由 SSO 进行 统一的单点登录。此外,SSO 应用资源管理可定义应用系统是否需要单 点登录: „ 用户可以自己定义哪些应用或资源参与单点登录;哪些不参与单点 登录; „ 对于不参与单点登录的应用系统,用户在访问这些应用系统时,SSO 过滤器将不会拦截访问请求,而是直接使用应用系统的登录和身份 验证功能。 z 数据保密和数据完整性:可根据用户需求选用多种密码算法,以防止网 上传输的数据被修改、删除、插入、替换或重发,保证合法用户接收和 使用数据的真实性。 z 完整的日志审计:因为通过CenGRP 门户平台 SSO,用户必须从唯一的入 口通过单一的身份来登录所有应用系统,因此在用户的登录入口处可以 集中记录用户的访问情况,并为每个受保护的应用和资源提供详细的日 志和审计信息。这种审计记录是基于用户身份的,它可以准确地记录用 户对资源访问的详细情况,为抗否认性提供了依据,并可实现完善的审 计服务和管理。 CenGRP 门户平台通过可使用户一次登录自动访问所有授权的企业级应用 软件系统,无需记忆多种登录过程、ID 或口令,从而提高整体安全性。这个强 有力的解决方案能即时访问最终用户执行任务所需的资源,从而提高生产效率。 同时,由于 CenGRP 门户平台 SSO 采用的是集中用户映射的方式和需要集 6 单点登录解决方案 成的后台信息系统交互,因此对原有系统的改动要求较低,通过简单的配置就可 以解决大多数问题,定制开发和部署的难度和工作量大大降低,最大限度地节约 了整个系统实施的时间和成本。 此外,CenGRP 门户平台 SSO 广泛采用了业界主流和开放的技术标准和设 计模式,提供开放的、平台级的应用编程接口和管理工具,使得系统在集成新的 应用和采用新的运行平台时,具有良好的可扩展性。 4、 单点登录过滤器接口规范 SSO 过滤器安装于受保护应用系统的服务器上,负责对用户的访问进行拦 截,并协调 SSO Server对用户身份进行验证。支持各种 Web Application类型, 如 JSP, Servlet, ASP, ASP.NET, .NSF, PHP, CGI 等多种应用类型。 SSO 过滤器的使用非常简单,将以下类似示例代码加入被单点登录的应用程 序页面代码开始部分即可,如下所示: <%@ page contentType="text/html; charset=GB2312" %> <%@page import="javax.servlet.http.*,javax.servlet.*,org.ssogroup.ssoframework.util.*" %> <% HttpSession session1 = request.getSession(); User appUser = (User)session1.getAttribute(org.ssogroup.ssoframework.client.filter.AppSSOFilter. SSO_FILTER_APPUSER); RequestDispatcher dispatcher = request.getRequestDispatcher ("/page/test.jsp?userName=" + appUser.getUserName() + "&password="+appUser.getUserPassword()); dispatcher.include(request,response); %> 7
还剩6页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 15 金币 [ 分享pdf获得金币 ] 13 人已下载

下载pdf

pdf贡献者

xuezhongde

贡献于2011-10-23

下载需要 15 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf