返回
单点登录案例教程

单点登录案例教程

ID:18788413

大小:2.87 MB

页数:19页

时间:2018-09-24

单点登录案例教程_第1页
单点登录案例教程_第2页
单点登录案例教程_第3页
单点登录案例教程_第4页
单点登录案例教程_第5页
资源描述:

《单点登录案例教程》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、单点登录学习教材单点登录学习教材11前言22SSO前提22.1统一用户管理22.2统一认证33SSO常见解决方案44邮政实行SSO需求分析45SSO产品研究55.1CAS55.1.1简介55.1.2CAS结构体系55.1.3CAS协议65.1.4安全性75.1.5应用实践85.1.5.1下载文件版本85.1.5.2Server端部署95.1.5.2.1SSL方式95.1.5.2.2非SSL方式105.1.5.3Client端部署105.1.5.4认证接口实现125.1.5.4.1数据库135.1.5.4.2LDAP145.1.5.5CAS单点退

2、出155.1.5.6扩展CAS界面165.1.5.7应用系统改造175.1.5.7.1改造要点175.1.5.7.2致发框架改造实现185.1.5.7.3门户单点登录场景应用185.2JOSSO19191前言多年以来,广东邮政根据各种业务信息水平的需要构建了相应的应用系统,由于这些应用系统一般是在不同的时期开发完成的,各应用系统由于功能侧重、设计方法和开发技术都有所不同,也就形成了各自独立的用户库和用户认证体系。随着业务应用系统的不断增加,用户不断收藏各业务系统的访问地址,系统使用时不断反复登录,影响工作效率,影响业务信息化带来的快捷性和高效性

3、。此外,多个应用平台有多个用户管理,各系统的用户维护工作非常繁琐。特别是随着局内对应用系统安全规范的发布,对用户管理和认证都有较高的要求,因此建立一套统一的单点登录系统(引伸为统一门户系统)具有切实的实际意义。2SSO前提单点登录的英文名称为SingleSign-On,简写为SSO,它是一个用户认证的过程,允许用户一次性进行认证之后,就访问系统中不同的应用;而不需要访问每个应用时,都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。实现SSO的有两大前提,分别是统一用户管理和统一认证,其中统一用户管理又是实现统一认证的基础。2

4、.1统一用户管理移动和电信都已实现了统一用户管理,邮政做为类似的集团性公司,对组织机构内所有应用实行统一的用户信息的存储和管理。统一用户管理要遵循以下两个基本原则:Ø统一性原则:实现对目前已知用户类型进行统一管理;对包括分支机在内的整个组织机构内的所有用户进行用户目录复制和统一管理;对户的用户体系和各应用系统各自独立的用户体系进行统一管理;对员工的加入和离开进行整个生命周期的管理。Ø可扩充性原则:能够适应对将来扩充子系统的用户进行管理。19统一的用户信息存储可基于:Ø数据库方式:支持将统一的用户信息存储于各大主流数据库中,如Oracle、DB2

5、、SQLServer、Sybase、MySQL等;对于邮政,一般选择Oracle。ØLDAP目录方式:支持将统一的用户信息存储于LDAP目录中,主流LDAP服务器如DominoLDAP、SunOneDirectoryServer、OpenLDAP、MSActiveDirectory、NovellNDS、NetscapeDirectoryServer等。SunOneDirectoryServer有企业版,有免费版可用;OpenLDAP为开源LDAP实现。统一用户管理不是本学习笔记的重点,网上一篇文章讲解得很好。参考:1.1统一认证单点登录,在狭义

6、上将就是统一认证,商业的和开源的统一认证产品都很多,本文对单点登录研究的主要内容在统一认证。一般说来,统一认证体系中,至少包含如下三种角色:ØUser(多个)ØWeb应用(多个)ØSSO认证中心(1个)虽然SSO实现模式千奇百怪,但万变不离其宗:ØWeb应用不处理User的登录,否则就是多点登陆了,所有的登录都在SSO认证中心进行。ØSSO认证中心通过一些方法来告诉Web应用当前访问用户究竟是不是张三/李四。ØSSO认证中心和所有的Web应用建立一种信任关系,SSO认证中心对用户身份正确性的判断会通过某种方法告之Web应用,而且判断结果必须被W

7、eb应用信任。191SSO常见解决方案Ø基于domain的方案原理:应用A在a.domain.com,B在b.domain.com,如果设cookie的时候,设domain为domain.com,那在A、B上都可以访问到这个cookie了。(cookie的domain、path、port、version、secure相同)。该方案特点:1、不能够跨域2、在网络中传送用户名和密码3、只支持J2EE应用Ø基于gateway的方案实际部署的时候,对所有应用的请求,都要通过一个gateway转发一下,比如用一个L4的交换机顶在前面Ø基于tooken传递

8、的方案主要是以耶鲁大学的CAS项目为基础。具体的应用看不到用户的密码。由CAS执行授权,只有CAS能看到用户的密码。这样增加发安全性,因为用户名和密码

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。