`
FengShen_Xia
  • 浏览: 279310 次
  • 性别: Icon_minigender_1
  • 来自: 东方水城
社区版块
存档分类
最新评论

应用整合中SSO的技术实现

    博客分类:
  • Web
阅读更多

在税务行业信息化发展的关键阶段,应用整合已经非常重要,而应用整合的表现层首先要实现的就是单点登陆(SSO,Single sign-on的缩写),以下是笔者结合南京地税进行应用整合中SSO的技术实现

南京地税目前有多种企业应用,包括征管系统、行政系统、辅助决策系统、公文系统、人事系统、电子地图、邮件系统等等,这些应用主要是采用三层体系结构(IE 6.0+weblogic portal7.0 +weblogic server7.0 +oracle 9i)来构架。所有的用户登陆需要通过weblogic portal进行。

我们在系统中使用SSO来实现用户通过一次认证(authentica te)来存取多个受保护的资源,也就是说,用户随后对受保护资源的存取,将不会导致每一次都要用户提供认证的信息,只需要一次认证即可。

 

一、SSO实现原理

1、概念:SSO的一种偏向技术的说法:用户只需登陆一次,就可使用多个SSO enable的应用系统。

(1)、单一的登陆点。理想的情况是用户通过任何应用系统都能进行SSO,这对于基于Web的系统是可行的。这种单一的登陆点在整个系统的设计中是唯一认证用户的地方,由登陆点将SSO token(针对不同的C/S,B/S应用可能还需要传递用户名,口令)传递给应用系统,应用系统利用SSO token来进行用户已认证的验证。我们将这个单一的登陆点称为SSO Entry。

(2)、SSO enable意味着对应用系统的修改不可避免。并不是任何系统都能够使用SSO,只有那些符合SSO规范,使用SSO AP I的应用系统才具有SSO的功能。简单地说就是要修改已有的应用系统,屏蔽已有的应用系统的用户认证模块,使用系统提供的SSO API来验证用户,以及对用户的操作进行授权。

(3)、需要统一的认证,权限信息库。通常,认证与授权管理模块以一种应用专有的方式实现,系统的授权模型、认证,授权信息存贮结构与访问控制逻辑与应用的业务逻辑之间耦合紧密。这种设计与实现方式的缺点是显而易见的:由于认证、授权模块与应用逻辑之间的紧耦合使得认证、授权模块很难进行扩展与维护;认证、授权模块的设计与编码需要很大的工作量,而且很难在不同的应用系统之间共享与重用。这也是越来越多企业应用需要SSO的原因之一。

SSO要求有统一的认证,权限存放库。但现实中,有的系统无法使用外部的认证,授权信息库,所以就需要在应用系统和Portal Server之间进行认证,同时进行授权信息的数据同步。

2、实现描述:在用户成功登录 weblogic Portal之后,系统提供的Login Delegate机制来为用户登录到其有权可以使用的应用系统。系统提供Logout Delegate机制实现用户的注销功能(即SSO logout)。

用户存取由Portal SSO保护的若干资源,SSO会话服务(Session/SSO Service)提供了授权的证明,这样就不再需要用户重新进行身份验证了。在这种方式下,即使用户要访问不同的域(weblogic domain)的应用,我们提供的Portal SSO Service为其保持会话服务。

同时,SSO还包括的与登录恰恰相反的,统一的注销点,即用户一旦从Portal注销,则亦当从所有参与Portal SSO的应用注销。此处有一个例外,就是当用户从Portal登录并转向一个应用后,经过一段时间后可能会出现用户的该应用的会话还有效时用户的Portal会话过期时,此时用户将只能使用该应用,直到该用户再次登录Portal。

3、通过SSO Agent:当用户试图通过浏览器 存取受保护的应用资源时,系统提供安装在不同应用上的SSO Agent来截取用户对资源的请求,并检查请求是否存在会话标识符,即token。如果token不存在,请求就被传递给Portal SSO,在Portal SSO上会话服务负责创建会话token,然后认证服务将提供登陆页面以验证用户。

4、创建会话Token:在用户身份验证之前,会话服务就创建了会话token。token为随机产生的Portal   Server 会话标识符,该标识符代表了一个确定用户的特定会话。创建会话token后,认证服务把token插入cookie中在用户的浏览器中设定cookie。在token被设定的同时,该用户将会看到一个登陆页面。

5、用户认证:用户收到登陆页面和会话token后,填入合适的认证信息。当用户提交登陆页面后,这些认证信息就被发给认证提供者(authentication pro vider)(LDAP服务器,RADIUS服务器等)进行验证。一旦认证提供者成功验证了认证信息,用户就被认为是通过了认证。Identity Server会从用户的token中取出会话信息并将会话状态设为有效。此后,用户就可以访问这些受保护的资源。

6、cookie和会话token:Cookie是由Web服务器创建的信息包,并传递给浏览器。Cookie 保存类似用户习惯等Web服务器产生的信息。它本身并不表明用户通过了认证。Cookie是特定于某个域的。在Identity Server的实现中,cookie由会话服务产生,并由认证服务设定。而且,Identity Server的cookie是会话cookie,存储在内存中。会话token由会话服务创建并插入Cookie。会话token利用安全随机数发生器产生,并包含Portal Server特有的会话信息。在存取受保护的资源之前,用户由认证服务验证,并创建SSO token。

 

二、SSO技术实现

1、SSO entry

SSO entry 作为系统唯一的登陆点将完成如下的功能:

(1)提供用户身份认证的登陆页面;
(2)根据用户的权限,显示可供用户使用的应用系统;
(3)调用用户选择的应用系统(B/S或C/S均可);
(4)为应用系统传递SSO Token(针对不同的C/S,B/S应用可能还需要传递用户名,口令);
(5)关闭SSO;
(6)SSO token失效后,关闭SSO entry。

注意SSO entry 并不提供通知应用系统SSO token已失效的功能,这一问题并不大,因为SSO token失效后,SSO entry 已被关闭。用户只有重新认证,才能获取新的SSO token。

2、SSO 部署



上面是整个系统的部署的示意图。白色的立方体表示应用系统。浅蓝色的立方体表示Portal SSO平台。从上图可以看出:各个应用系统各个应用系统与SSO entry发生联系。SSO entry 需要向应用系统传递SSO Token,用户名,口令;启动应用系统。

3、SSO实现方式

SSO 的实现方式按照应用系统与Portal Server的交互程度分为三种。需要指出这些SSO的实现方式并没有优略之分,不同的实现方式适应不同的应用环境。解决现实中遇到的不同问题。真单点登陆: 通过SSO entry认证后,应用系统利用SSO API同Portal Server通信,验证用户是否经过认证。新开发的应用系统大多使用这种SSO的实现方式。这种方式需要对应用系统的认证模块进行修改。伪单点登陆:通过SSO entry认证后,应用系统还要自己进行用户的认证。这种方式适用于那些无法修改认证模块的应用系统。我们应用系统的整合采用该方式进行。整合第三方软件的单点登陆:Tarantella和Citrix都是将C/S应用系统转化为Web应用的第三方软件系统。在某些应用环境下,这类软件将发挥其作用。这种SSO实现方式在实施中并不使用,列出这种使用方式主要用来展现Identity Server的扩展性。

4、SSO的实现

(1)用户从Portal登录


说明:以上蓝色区域为Portal Server上的服务,白色为需要与Portal进行SSO的应用,绿色为每个应用的SSO Entry。代理登录的具体过程:用户首先登录Portal,Portal处理完登录后,启动代理登录,为用户登录应用系统,Portal把用户转向到应用系统,应用系统再把用户在征管系统的sessionID转发给Portal,登录代理(Login Delegate)把用户在征管系统中的sessionID和用户id发到征管系统的SSO Service进行登记,Portal把用户访问转向征管系统SSOEntry,征管系统SSOEntry通过用户的sessionID得到SSOService中记录的用户在Portal的用户userID,并把当前用户认可为此Portal userID对应的在征管系统中的用户,征管系统把用户访问转回Portal。接着登录代理再对SSO应用列表中的其它应用进行代理登录。代理登录完成,用户被重定向到Portal的相关页面。

用户访问应用系统:之后,当用户访问征管的某个应用时,征管系统发现该用户还未经认证,则将其sessionID与SSOService中登记的uid/sessionID比较,如果存在匹配,则认证通过,将用户id与session相关联。之后用户就可以直接访问征管系统了。

(2)SSO单点注销



说明:

(1)用户注销总是从Portal开始;
(2)注销代理(Logout Delegate)将注销消息发到各应用的SSO Logout Entry;
(3)应用的SSO Logout Entry注销本地的用户会话记录;
(4)注销Portal上的用户会话记录。

 

三、安全性分析

Portal SSO的安全性需要从几个方面理解:

1.客户登录Portal Server之后SSO到应用的安全性,即SSOToken的安全性;
2.客户无SSOToken时,首先访问应用的安全性;
3.客户有SSOToken时想通过仿冒别人的有效SSOToken来进行非法的访问。

Portal Server生成的SSO token 因为需要在应用程序间传递,所以SSOToken比较容易被窃取,但Portal Server保证了SSOToken的唯一性,那些盗用合法SSOToken的人无法通过SSOToken的验证。因为SSOToken的生成收集了用户端和服务器端的很多信息,当非法用户持有效的SSOToken试图访问某应用时,该应用将通过Portal Server的SSOService进行SSOToken验证时,SSOToken的这些信息以及Portal Server的安全算法确保了盗用者即使拿到合法用户的SSOToken也无法通过SSOToken的有效性验证。所以SSOToken的安全性也得到了保证。

用户没有SSOToken的时候,如果客户要访问某应用,如果用户没有该应用的会话信息也没有Portal的SSOToken,则该用户必须先通过Portal的认证并SSO到该应用;如果用户已经在应用登录成功(可能是该应用保留了原有的认证入口,用户通过该入口访问此应用,也有可能是用户从Portal 登录后,通过SSO访问该应用,经过一段时间后,用户的Portal SSOToken已经过期,但是用户在该应用中的会话仍然保持有效),则用户可以继续使用该应用系统而无需重新认证。但是如果用户想访问Portal或者与Portal进行SSO的其它应用的话,则用户须经过Portal的认证并拿到SSOToken。所以在这种情况下SSOToken也是安全的。

每个用户的SSOToken只在其当次会话过程中有效,离开其当次会话,SSOToken即被视作无效,因此这种情况下也是安全的。

 

 

来源:CCW

分享到:
评论

相关推荐

    java单点登录的实现与应用整合中SSO的技术实现.rar

    Java单点登录(Single Sign-On,简称SSO)是一种网络身份验证...这份"java单点登录的实现与应用整合中SSO的技术实现.pdf"资料应该涵盖了这些关键点,并提供了详细的指导和示例,对于理解和实践Java SSO具有很高的价值。

    java单点登录的实现与应用整合中SSO的技术实现

    SSO技术的应用通常涉及到多系统间的身份验证整合,使得用户只需要一次登录就能访问所有授权的应用系统。以下将详细探讨几种实现SSO的方法及其应用。 1. **商业SSO解决方案**: - **Siteminder**:由Netgrity开发,...

    java单点登录的实现与应用整合中SSO的技术实现.docx

    Java 单点登录实现与应用整合中的 SSO 技术实现 Java 单点登录是指在多个系统中,只需要登录一次,就可以访问所有相关系统的功能,提高了用户体验和系统安全性。本文将介绍 Java 单点登录的实现方法,并讨论如何在...

    java单点登录的实现与应用整合中SSO的技术实现.pdf

    Java单点登录(Single Sign-On, SSO)是企业级应用整合中常用的一种技术,它允许用户在一次登录后即可访问多个相互关联的应用系统,无需重复输入凭证。本篇文章主要探讨了Java环境下SSO的实现策略及其在实际项目中的...

    SSO(单点登录) 技术的实现

    SSO(Single Sign-On)单点登录是一种身份验证机制,允许...SSO技术的实现涉及多方面的考虑,包括安全性、用户体验、系统集成和合规性。理解其原理和挑战,并结合最佳实践,可以帮助企业构建出高效、安全的SSO系统。

    XX电信应用整合技术方案建议.pdf

    为应对上述挑战,BEA Systems(现已被Oracle收购)提出了一套全面的应用整合技术方案——AquaLogic User Interaction (ALUI),旨在通过统一的界面和服务整合,实现业务流程的优化与个性化服务的提供。 ##### ALUI...

    CAS实现sso单点登录原理

    SSO(Single Sign-On)是目前比较流行的服务于企业业务整合的解决方案之一,SSO使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 SSO体系中的角色主要有三种: 1. User(多个) 2. ...

    jforum与web项目的整合(通过Cookie实现SSO)

    标题 "jforum与web项目的整合(通过Cookie实现SSO)" 涉及的是将开源的JForum论坛系统与其他Web应用程序进行集成,并利用Cookie技术实现单点登录(Single Sign-On,简称SSO)。SSO允许用户在一个应用系统中登录后,...

    SharePoint2010配置SSO单点登录

    - **Kerberos**:一种网络认证协议,通过票证(ticket)来验证用户对网络资源的请求,是SSO实现中常用的认证方式。 - **CardSpace**:微软开发的一种数字身份管理工具,旨在提供更安全、更私密的在线身份验证方法。 ...

    java SSH SSO实例客服端

    总结来说,Java SSH SSO客户端实例是一个结合了Struts2、Spring和Hibernate框架,利用SSO技术为用户提供统一登录体验的项目。开发者通过这个实例可以学习到如何整合这些框架,以及如何实现和配置SSO服务,提升应用的...

    SSO项目介绍.docx

    SSO(Single Sign-On,单点登录)是一种身份验证...总之,SSO技术是现代企业信息化建设中的重要组成部分,它通过整合认证过程,提高了用户体验,简化了系统管理,同时也为企业提供了更高效、更安全的身份验证解决方案。

    SSO单点登录解决方案

    在"百度_身份认证吧_谈谈应用整合中的单点登录(SSO)系统"讨论中,可能会涉及到实际应用中遇到的问题和解决策略,例如跨域认证、安全策略的设置、多环境下的部署方案等。文件夹".files"通常存储了这些网页的附件,...

    SSO+WEBDEMO对以前的项目进行稍微的调整

    5. **HTTP重定向和重写**:SSO实现中,浏览器和服务器间的交互往往涉及到HTTP重定向和URL重写,以确保用户在不感知的情况下完成登录过程。 6. **跨域问题**:在多个Web应用间实现SSO时,可能会遇到跨域问题,需要...

    sso demo 工程

    【标题】"sso demo 工程"是一个用于身份验证单点登录(Single Sign-On,简称SSO)的示例项目。SSO是一种允许用户在多个应用系统中使用一次登录,即可...对于想要了解或实践SSO技术的人来说,这是一个非常宝贵的资源。

    SSO.rar_domino_sso

    在"SSO.rar_domino_sso"这个主题中,我们将深入探讨如何实现J2EE应用服务器(如IBM WebSphere、Oracle WebLogic等)与Lotus Domino服务器之间的SSO整合。 一、SSO的基本原理 SSO的核心思想是通过共享一种安全的...

    单点登录SSO解决方案之SpringSecurity+JWT实现.docx

    ### 单点登录SSO解决方案之SpringSecurity+JWT实现 #### 一、单点登录(SSO)概述 单点登录(Single Sign-On,简称SSO)是一种认证机制,允许用户仅通过一次登录就能访问同一域下的多个应用程序和服务。这种机制...

Global site tag (gtag.js) - Google Analytics