資源描述:
《單點登錄案例教程》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1�����、單點登錄學(xué)習(xí)教材單點登錄學(xué)習(xí)教材11前言22SSO前提22.1統(tǒng)一用戶管理22.2統(tǒng)一認(rèn)證33SSO常見解決方案44郵政實行SSO需求分析45SSO產(chǎn)品研究55.1CAS55.1.1簡介55.1.2CAS結(jié)構(gòu)體系55.1.3CAS協(xié)議65.1.4安全性75.1.5應(yīng)用實踐85.1.5.1下載文件版本85.1.5.2Server端部署95.1.5.2.1SSL方式95.1.5.2.2非SSL方式105.1.5.3Client端部署105.1.5.4認(rèn)證接口實現(xiàn)125.1.5.4.1數(shù)據(jù)庫135.1.5.4.2LDAP145.1.5.5CAS單點退
2���、出155.1.5.6擴(kuò)展CAS界面165.1.5.7應(yīng)用系統(tǒng)改造175.1.5.7.1改造要點175.1.5.7.2致發(fā)框架改造實現(xiàn)185.1.5.7.3門戶單點登錄場景應(yīng)用185.2JOSSO19191前言多年以來��,廣東郵政根據(jù)各種業(yè)務(wù)信息水平的需要構(gòu)建了相應(yīng)的應(yīng)用系統(tǒng)�����,由于這些應(yīng)用系統(tǒng)一般是在不同的時期開發(fā)完成的��,各應(yīng)用系統(tǒng)由于功能側(cè)重����、設(shè)計方法和開發(fā)技術(shù)都有所不同,也就形成了各自獨立的用戶庫和用戶認(rèn)證體系���。隨著業(yè)務(wù)應(yīng)用系統(tǒng)的不斷增加��,用戶不斷收藏各業(yè)務(wù)系統(tǒng)的訪問地址�����,系統(tǒng)使用時不斷反復(fù)登錄�����,影響工作效率�����,影響業(yè)務(wù)信息化帶來的快捷性和高效性
3��、�����。此外���,多個應(yīng)用平臺有多個用戶管理,各系統(tǒng)的用戶維護(hù)工作非常繁瑣���。特別是隨著局內(nèi)對應(yīng)用系統(tǒng)安全規(guī)范的發(fā)布����,對用戶管理和認(rèn)證都有較高的要求��,因此建立一套統(tǒng)一的單點登錄系統(tǒng)(引伸為統(tǒng)一門戶系統(tǒng))具有切實的實際意義�����。2SSO前提單點登錄的英文名稱為SingleSign-On����,簡寫為SSO,它是一個用戶認(rèn)證的過程���,允許用戶一次性進(jìn)行認(rèn)證之后����,就訪問系統(tǒng)中不同的應(yīng)用�;而不需要訪問每個應(yīng)用時,都重新輸入密碼�����。IBM對SSO有一個形象的解釋“單點登錄、全網(wǎng)漫游”����。實現(xiàn)SSO的有兩大前提,分別是統(tǒng)一用戶管理和統(tǒng)一認(rèn)證�,其中統(tǒng)一用戶管理又是實現(xiàn)統(tǒng)一認(rèn)證的基礎(chǔ)。2
4�����、.1統(tǒng)一用戶管理移動和電信都已實現(xiàn)了統(tǒng)一用戶管理����,郵政做為類似的集團(tuán)性公司,對組織機構(gòu)內(nèi)所有應(yīng)用實行統(tǒng)一的用戶信息的存儲和管理����。統(tǒng)一用戶管理要遵循以下兩個基本原則:?統(tǒng)一性原則:實現(xiàn)對目前已知用戶類型進(jìn)行統(tǒng)一管理;對包括分支機在內(nèi)的整個組織機構(gòu)內(nèi)的所有用戶進(jìn)行用戶目錄復(fù)制和統(tǒng)一管理�;對戶的用戶體系和各應(yīng)用系統(tǒng)各自獨立的用戶體系進(jìn)行統(tǒng)一管理;對員工的加入和離開進(jìn)行整個生命周期的管理���。?可擴(kuò)充性原則:能夠適應(yīng)對將來擴(kuò)充子系統(tǒng)的用戶進(jìn)行管理�。19統(tǒng)一的用戶信息存儲可基于:?數(shù)據(jù)庫方式:支持將統(tǒng)一的用戶信息存儲于各大主流數(shù)據(jù)庫中,如Oracle��、DB2
5����、��、SQLServer���、Sybase��、MySQL等���;對于郵政,一般選擇Oracle�����。?LDAP目錄方式:支持將統(tǒng)一的用戶信息存儲于LDAP目錄中��,主流LDAP服務(wù)器如DominoLDAP�����、SunOneDirectoryServer、OpenLDAP�、MSActiveDirectory、NovellNDS��、NetscapeDirectoryServer等�。SunOneDirectoryServer有企業(yè)版,有免費版可用����;OpenLDAP為開源LDAP實現(xiàn)。統(tǒng)一用戶管理不是本學(xué)習(xí)筆記的重點���,網(wǎng)上一篇文章講解得很好����。參考:1.1統(tǒng)一認(rèn)證單點登錄���,在狹義
6���、上將就是統(tǒng)一認(rèn)證,商業(yè)的和開源的統(tǒng)一認(rèn)證產(chǎn)品都很多���,本文對單點登錄研究的主要內(nèi)容在統(tǒng)一認(rèn)證��。一般說來���,統(tǒng)一認(rèn)證體系中�,至少包含如下三種角色:?User(多個)?Web應(yīng)用(多個)?SSO認(rèn)證中心(1個)雖然SSO實現(xiàn)模式千奇百怪�����,但萬變不離其宗:?Web應(yīng)用不處理User的登錄��,否則就是多點登陸了�,所有的登錄都在SSO認(rèn)證中心進(jìn)行����。?SSO認(rèn)證中心通過一些方法來告訴Web應(yīng)用當(dāng)前訪問用戶究竟是不是張三/李四。?SSO認(rèn)證中心和所有的Web應(yīng)用建立一種信任關(guān)系���,SSO認(rèn)證中心對用戶身份正確性的判斷會通過某種方法告之Web應(yīng)用�����,而且判斷結(jié)果必須被W
7�、eb應(yīng)用信任。191SSO常見解決方案?基于domain的方案原理:應(yīng)用A在a.domain.com�,B在b.domain.com,如果設(shè)cookie的時候�����,設(shè)domain為domain.com����,那在A、B上都可以訪問到這個cookie了��。(cookie的domain�、path、port���、version���、secure相同)。該方案特點:1��、不能夠跨域2�、在網(wǎng)絡(luò)中傳送用戶名和密碼3、只支持J2EE應(yīng)用?基于gateway的方案實際部署的時候����,對所有應(yīng)用的請求�����,都要通過一個gateway轉(zhuǎn)發(fā)一下���,比如用一個L4的交換機頂在前面?基于tooken傳遞
8、的方案主要是以耶魯大學(xué)的CAS項目為基礎(chǔ)���。具體的應(yīng)用看不到用戶的密碼���。由CAS執(zhí)行授權(quán)�,只有CAS能看到用戶的密碼。這樣增加發(fā)安全性���,因為用戶名和密碼
