http://www.huilan.com/tabid/70/Default.aspx 中科汇联|站
SSO
l一用户认证介绍Q?/span>
SSO
Q?/span>
Single Sign-on
Q即单次dQ指用户只需向网l验证(卌明他或她的n份)一ơn份,之后无需另外验证w䆾Q就可访问所有被授权的网l资源。这里的|络资源包括从打印机和其它硬Ӟ到应用程序、文件和其它数据的一切资源,它们可以散布于整个企业内q行不同操作pȝ的不同类型的服务器上?/span>
企业用户在构?/span>
SSO
pȝ的时候,一般采用徏立独立认证^台的方式q行构徏Q在q个认证q_上实现用戯̎L集中l一理Q实现对用户操作的权限控Ӟ实现对用h作行为的审计?/span>
1.
用户通过认证客户端登录认证服务器Q认证服务器Ҏ该用L授权q回相应的授权信?/span>
2.
用户Ҏ授权信息讉K相应的服务器
3.
中科汇联
SSO
理器通过q程和本地管理认证和授权q_
目前实现
SSO
的技术主要有两种Q?/span>
1.
利用自动化登录技术,来屏蔽用L录不同系l的q程Q?/span>
2. 采用一个具?/span> SSO 功能的协议来完成。无论用哪一U方式来实现 SSO Q都有一个共同的q程需要完成,是最初的dq程?/span>
采用自动化登录技术,是屏蔽用户d目标pȝ的过E,原来用户在用目标系l的时候,需要输入用户名和口令(或者其他认证方式)Q自动化技术能够通过一些脚本自动ؓ用户输入口o和用户名Q而整个登录过E对用户透明。这U方式一般对目标pȝ较ؓ透明Q能够通过脚本完成对绝大多数目标系l的dq程。但是登录脚本的~写和用对于用h较专业,要求较高?/span>
采用h
SSO
功能的协议来完成的一个典型代表就是?/span>
Kerberos
协议Q?/span>
Kerberos
协议提供了采用票据来讉K目标pȝQ这也是目前采用的一U比较流行的单点d技术;但是q种技术有一定的不Q就是它需要对目标pȝ或目标服务进?/span>
Kerberos
化,q就限制它对一些封闭系l的应用如网l设备上的应用;因ؓ在目前的很多的网l设备上都不支持
Kerberos
认证?/span>
如果把以上两U技术进行有机的l合Q就能比较好地解册些问题,中科汇联
SSO
讉K理q_Q可以以Ll合方式支持以上两种认证技术,实现灉|。其讉K程如左图所C?/span>
中科汇联
SSO
理q_Z开放性设计架构,Z业应用间实现账户l一理Qؓ企业用户提供单次dQؓ企业理提供Z角色的授权机Ӟq_支持包括应用E序Q网l设备、网l资源访问、操作系l等多层面的资源讉K理?/span>
SSO
l一用户认证pȝ功能Q?/span>
l
SSO
单点登陆服务
Q?/span>
单点d为用h供统一视角的、个性化?/span>
Web
内容与服务,通过对于Z
Email
的方式,也可以设|ؓ其他唯一用户认证方式Q实现良好的用户体验、更好的安全性,q低了׃密码遗失所产生的支持费用。ƈ可以Ҏ每个用户的需求和讉K权限LCؓ其提供个性化的页面,而那些没有被授权讉K的内容在面上则不显C,q样减了被黑客攻ȝ机率Q提高了安全pL?/span>
l
权限理与群l管?/span>
Q系l提供对于统一用户认证pȝ自己的管理员权限的分z与理Q方便管理员l护用户权限和安全。群l的理Q可以大大提高管理者的效率Q降低管理者的工作量?/span>
l
安全理?/span>
IP
qo
Q包括对于用户信息的加密处理和传输,保证用户信息的安全性和不可盗用性。ƈ通过
IP
地址qo的功能,实现对于用户或用L?/span>
IP
qo的功能,解决pȝ的管理的方便性和应用的安全性的问题?/span>
l
pȝ日志和数据备份恢?/span>
Q系l提供对于系l日志的记录和用h据的备䆾和恢复的理Q解军_U黑客攻LN备䆾的需要,保证pȝ的安全?/span>
l
其它应用
SDK
接口
Q系l的
SDK
接口包括用户登陆认证接口Q用户信息修Ҏ口,多语a支持接口{,方便其他应用pȝ调用使用?/span>
l
应用pȝl一消息接口
Qؓ了实现对?/span>
OA
Q业务系l等各种审批事项以及消息提醒的功能,在系l中Q我们采用统一消息接口Q实现对于同步和异步消息的传输处理,q样可以在自q工作台面上实现快速的消息查看功能Q方便各U业务的快速处理能力。同时系l可以提供对?/span>
MSN
?/span>
Message
的支持能力以及对于手机短?/span>
SMS
的消息扩展支持的能力。这样就可以形成一整套完整的消息相应机Ӟ实现l一的消息管理?/span>
]]>