成都心情

    隨著 IT 系統(tǒng)所支撐的業(yè)務(wù)程序的激增，用戶和系統(tǒng)管理者都面對(duì)同一個(gè)日益復(fù)雜的，進(jìn)行作業(yè)功能操作的界面。典型情況下，用戶不得不在多個(gè)系統(tǒng)上進(jìn)行登陸，這將迫使同一個(gè)登陸對(duì)話框多次出現(xiàn)，每個(gè)系統(tǒng)都調(diào)用不同的用戶名和驗(yàn)證信息。而系統(tǒng)管理者則面臨在每個(gè)系統(tǒng)管理用戶帳號(hào)，并為了以一種協(xié)同的方式訪問而維持完整的強(qiáng)制安全策略。對(duì)于用戶這種采用遺傳方式登陸到多系統(tǒng)的說明如下：

    
                                    采用遺傳方式的用戶登陸多系統(tǒng)

    在歷史上，一個(gè)分布式計(jì)算機(jī)系統(tǒng)由各個(gè)組件作為獨(dú)立安全域裝配而成。這些組件由包含關(guān)聯(lián)操作系統(tǒng)和應(yīng)用程序的獨(dú)立平臺(tái)組成。
   
    這些組件作為官能上的獨(dú)立域，終端用戶必須自己獨(dú)立辨別和驗(yàn)證他想要交互的那些域。該場(chǎng)景在上圖已有說明。終端用戶最初通過和主域（Primary Domain）交互來建立會(huì)話。在上圖中被稱做主域登陸（Primary Domain Sign-On），并且需要終端用戶提供一組可用的用戶信息，例如用戶名和密碼。主域會(huì)話典型的由操作系統(tǒng)會(huì)話外殼在代表終端用戶環(huán)境的終端用戶機(jī)器上運(yùn)行獲得的（比如：程序?qū)傩裕h(huán)境變量和根目錄）。通過主域會(huì)話外殼，用戶可以調(diào)用其他的域服務(wù)，比如平臺(tái)或應(yīng)用程序。
   
    要調(diào)用二級(jí)域（Secondary Domain）服務(wù)，終端用戶需要進(jìn)行二級(jí)域登陸（Secondary Domain Sign-on）。并要求終端用戶再次提供用戶信息，終端用戶不得不引導(dǎo)一個(gè)獨(dú)立的登陸對(duì)話框進(jìn)行驗(yàn)證。二級(jí)域會(huì)話是典型的操作系統(tǒng)外殼或程序外殼，再一次代表終端用戶環(huán)境。從管理的角度上看，采用遺傳方式需要獨(dú)立的管理每個(gè)域，而且是多用戶帳戶管理界面。權(quán)衡可用性和安全上的考量，需要在企業(yè)中為多個(gè)不同域部署一種協(xié)同機(jī)制以及可集成的用戶登陸功能以及用戶帳號(hào)管理功能。提供這種協(xié)同和集成的服務(wù)有益于為企業(yè)提供真實(shí)的開銷，通過：
   
    減少用戶登陸到獨(dú)立域花費(fèi)的操作時(shí)間，同時(shí)也降低了進(jìn)行登陸操作時(shí)失敗的機(jī)率。
    通過減少必要的用戶句柄和記住多組認(rèn)證消息，增強(qiáng)了安全性。
    減少了時(shí)間的花費(fèi)，改善了響應(yīng)，通過系統(tǒng)管理員為系統(tǒng)增加、刪除、修改用戶訪問權(quán)。
    通過增強(qiáng)系統(tǒng)管理員維護(hù)用戶帳號(hào)配置的完整性，來改善安全。采用協(xié)同一致的方式禁止或取消獨(dú)立用戶訪問所有系統(tǒng)資源。

                                           單用戶登陸到多用戶

    這種服務(wù)被稱做單點(diǎn)登陸（Single Sign-On）。不管怎樣，該服務(wù)對(duì)于終端用戶和管理方面都同樣重要。這種方式在上圖中有所體現(xiàn)。在單點(diǎn)登陸方式，系統(tǒng)必須從用戶收集數(shù)據(jù)，作為主登陸的一部分，所有的身份和用戶信息必須提供給用戶驗(yàn)證系統(tǒng)，以便每個(gè)二級(jí)域進(jìn)行潛在的交互。
   
    這些信息由終端用戶作為主域登陸過程的一部分提供，可在下面幾個(gè)方面為二級(jí)域提供登陸：
   
    直接方式，用戶提供的信息直接作為二級(jí)域的第二次登陸的一部分。
    間接方式，用戶提供的信息被用于找回存儲(chǔ)在單點(diǎn)登陸管理數(shù)據(jù)庫(kù)上的其他用戶的標(biāo)識(shí)和用戶信息。取回的信息接著被用于基本的二級(jí)域登陸操作。
    立即方式，與二級(jí)域建立會(huì)話作為初始會(huì)話的確立。意味著程序的客戶將在第一次登陸操作時(shí)同時(shí)自動(dòng)調(diào)用并建立通信。
    臨時(shí)存儲(chǔ)或緩存，應(yīng)用于終端用戶偶爾請(qǐng)求二級(jí)域服務(wù)的情況。
   
    從管理的角度來看，單點(diǎn)登陸模式提供一種單一用戶管理界面，所有的組件域?qū)⒁詤f(xié)同和同步的方式管理。
   
    單點(diǎn)登陸模式在安全方面的重要意義在于：
   
    二級(jí)域與主域的信任關(guān)系：
   
        正確地?cái)嘌越K端用戶的身份和驗(yàn)證信息。
        保護(hù)為使用未經(jīng)許可的二級(jí)域而驗(yàn)證終端用戶身份的驗(yàn)證信息。
       
    當(dāng)主、從域之間通訊受到威脅，比如中途攔截或丟失（eavsdropping）引起可能的偽裝攻擊，驗(yàn)證信息應(yīng)被保護(hù)起來。


請(qǐng)注意！引用、轉(zhuǎn)貼本文應(yīng)注明原譯者：Rosen Jiang 以及出處：http://www.aygfsteel.com/rosen