資源描述:
《單點(diǎn)登錄技術(shù)文檔》由會(huì)員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1、北京選擇軟件科技有限公司技術(shù)文檔版權(quán)所有��,按GPL規(guī)則發(fā)布單點(diǎn)登錄技術(shù)文檔張昀*2006.12說明:本文檔在我們最大努力范圍之內(nèi)確保其正確性����、實(shí)效性和可觀性,但并不代表所有的觀點(diǎn)都是正確的��,而僅代表個(gè)人看法��。如發(fā)現(xiàn)不當(dāng)之處,請多指教���,謝謝�!另外���,本文并不是給初學(xué)者看的�。雖然我們盡可能把每個(gè)概念和操作步驟都說得比較明白���,但是如果您對于Linux系統(tǒng)不是很熟的話��,很多操作仍然可能存在困難����。這種情況下我們建議您直接下載虛擬機(jī)安裝試用����,邊實(shí)踐邊學(xué)習(xí)。聯(lián)系郵件:mypersonal1971@gmail.com�。1、單點(diǎn)登錄概述單點(diǎn)登錄的英文名稱為SingleSign-On����,簡寫為SSO��,它是一個(gè)用
2����、戶認(rèn)證的過程��,允許用戶一次性進(jìn)行認(rèn)證之后�,就訪問系統(tǒng)中不同的應(yīng)用;而不需要訪問每個(gè)應(yīng)用時(shí)�,都重新輸入密碼。IBM對SSO有一個(gè)形象的解釋“單點(diǎn)登錄�、全網(wǎng)漫游”。SSO將一個(gè)企業(yè)內(nèi)部所有域中的用戶登錄和用戶帳號管理集中到一起�����,SSO的好處顯而易見:1.減少用戶在不同系統(tǒng)中登錄耗費(fèi)的時(shí)間����,減少用戶登錄出錯(cuò)的可能性2.實(shí)現(xiàn)安全的同時(shí)避免了處理和保存多套系統(tǒng)用戶的認(rèn)證信息3.減少了系統(tǒng)管理員增加����、刪除用戶和修改用戶權(quán)限的時(shí)間4.增加了安全性:系統(tǒng)管理員有了更好的方法管理用戶,包括可以通過直接禁止和刪除用戶來取消該用戶對所有系統(tǒng)資源的訪問權(quán)限對于內(nèi)部有多種應(yīng)用系統(tǒng)的企業(yè)來說����,單點(diǎn)登錄的效果是十分明
3�����、顯的���。很多國際上的企業(yè)已經(jīng)將單點(diǎn)登錄作為系統(tǒng)設(shè)計(jì)的基本功能之一。1.1 單點(diǎn)登錄產(chǎn)品商業(yè)SSO軟件l專門的SSO商業(yè)軟件n主要有:Netgrity的Siteminder����,已經(jīng)被CA收購。Novell公司的iChain��。RSA公司的ClearTrust等�����。l門戶產(chǎn)品供應(yīng)商自己的SSO產(chǎn)品��,n如:BEA的WLES����,IBM的TivoliAccessManager,Sun公司的identityServer,Oracle公司的OID等����。第38頁北京選擇軟件科技有限公司技術(shù)文檔版權(quán)所有,按GPL規(guī)則發(fā)布上述商業(yè)軟件一般適用于客戶對SSO的需求很高����,并且企業(yè)內(nèi)部采用Domino、SAP��、Sieble等
4�����、系統(tǒng)比較多的情況下�����。單點(diǎn)登錄產(chǎn)品通常需要在應(yīng)用軟件中增加代理模塊��,而商業(yè)SSO產(chǎn)品主要針對大型軟件制作了代碼模塊��。因此�,商業(yè)SSO軟件除了價(jià)格問題外���,另一個(gè)重要問題就是對客戶自己的應(yīng)用系統(tǒng)支持未必十分完善�����。開源SSO軟件lOpenssonhttps://opensso.dev.java.net/nOpenSSO基于SunJavaSystemAccessManager����,是Sun公司支持的一個(gè)開源的SSO項(xiàng)目。nOpenSSO體系結(jié)構(gòu)設(shè)計(jì)合理����,功能比較強(qiáng)大。然而缺點(diǎn)是客戶端支持不夠廣泛����,似乎只是對基于J2EE的應(yīng)用支持的比較好。ljossonhttp://www.josso.org/n這是另
5�、一個(gè)Java寫的單點(diǎn)登錄產(chǎn)品,通常認(rèn)為比OpenSSO更成熟一些����。nJOSSO支持的客戶端包括Java,PHP和ASP�。lCASnhttp://www.ja-sig.org/products/cas/n這是耶魯大學(xué)開發(fā)的單點(diǎn)登錄產(chǎn)品,也是我們最后選定的單點(diǎn)登錄產(chǎn)品�����。nCAS的優(yōu)點(diǎn)很多,例如設(shè)計(jì)理念先進(jìn)��、體系結(jié)構(gòu)合理�、配置簡單、客戶端支持廣泛�����、技術(shù)成熟等等�����。以后我們還要仔細(xì)介紹�����。經(jīng)過廣泛分析和比較�,最后我們選定CAS作為我們的單點(diǎn)登錄產(chǎn)品。我們確信這是目前能夠找到的最好的開源單點(diǎn)登錄產(chǎn)品���。1.2 單點(diǎn)登錄的實(shí)現(xiàn)機(jī)制SSO的實(shí)現(xiàn)機(jī)制不盡相同���,大體分為Cookie機(jī)制和Session機(jī)制兩大類
6、���。WebLogic通過Session共享認(rèn)證信息����。Session是一種服務(wù)器端機(jī)制�����,當(dāng)客戶端訪問服務(wù)器時(shí)��,服務(wù)器為客戶端創(chuàng)建一個(gè)惟一的SessionID�,以使在整個(gè)交互過程中始終保持狀態(tài),而交互的信息則可由應(yīng)用自行指定���,因此用Session方式實(shí)現(xiàn)SSO�,不能在多個(gè)瀏覽器之間實(shí)現(xiàn)單點(diǎn)登錄��,但卻可以跨域����。WebSphere通過Cookie記錄認(rèn)證信息。Cookie是一種客戶端機(jī)制��,它存儲的內(nèi)容主要包括:名字、值�、過期時(shí)間、路徑和域�����,路徑與域合在一起就構(gòu)成了Cookie的作用范圍���,因此用Cookie方式可實(shí)現(xiàn)SSO���,但域名必須相同。目前大部分SSO產(chǎn)品采用的是Cookie機(jī)制�,CAS也是如此
7、���。注意�����,這種機(jī)制要求實(shí)現(xiàn)單點(diǎn)登錄的應(yīng)用�,其余名必須是相同的�。例如:a.chinacreator.com,b.chinacreator.com就可以經(jīng)過配置后實(shí)現(xiàn)SSO。以CAS為例�,使用Cookie實(shí)現(xiàn)單點(diǎn)登錄的原理圖如圖1所示����。第38頁北京選擇軟件科技有限公司技術(shù)文檔版權(quán)所有����,按GPL規(guī)則發(fā)布l首先����,單點(diǎn)登錄分為“服務(wù)端”和“客戶端”。服務(wù)端就是單點(diǎn)登錄服務(wù)器�,而客戶端通常是“函數(shù)庫”或者“插件”。需要使用單點(diǎn)登錄的應(yīng)用程序����,需要
