2020国产成人精品视频,性做久久久久久久久,亚洲国产成人久久综合一区,亚洲影院天堂中文av色

分享

SSO技術(shù)總結(jié)

 Joshua 2006-02-20
SSO技術(shù)簡(jiǎn)介
      SSOSingle Sign-On,單點(diǎn)登錄)是身份管理中的一部分。SSO的一種較為通俗的定義是:SSO是指訪問(wèn)同一服務(wù)器不同應(yīng)用中的受保護(hù)資源的同一用戶,只需要登錄一次,即通過(guò)一個(gè)應(yīng)用中的安全驗(yàn)證后,再訪問(wèn)其他應(yīng)用中的受保護(hù)資源時(shí),不再需要重新登錄驗(yàn)證。
SSO與身份管理軟件背景

   目前的企業(yè)應(yīng)用環(huán)境中,往往有很多的應(yīng)用系統(tǒng),如辦公自動(dòng)化(OA)系統(tǒng),財(cái)務(wù)管理系統(tǒng),檔案管理系統(tǒng),信息查詢系統(tǒng)等等。這些應(yīng)用系統(tǒng)服務(wù)于企業(yè)的信息化建設(shè),為企業(yè)帶來(lái)了很好的效益。但是,用戶在使用這些應(yīng)用系統(tǒng)時(shí),并不方便。用戶每次使用系統(tǒng),都必須輸入用戶名稱和用戶密碼,進(jìn)行身份驗(yàn)證;而且,應(yīng)用系統(tǒng)不同,用戶賬號(hào)就不同,用戶必須同時(shí)牢記多套用戶名稱和用戶密碼。特別是對(duì)于應(yīng)用系統(tǒng)數(shù)目較多,用戶數(shù)目也很多的企業(yè),這個(gè)問(wèn)題尤為突出。問(wèn)題的原因并不是系統(tǒng)開(kāi)發(fā)出現(xiàn)失誤,而是缺少整體規(guī)劃,缺乏統(tǒng)一的用戶登錄平臺(tái)。
   使用SSO技術(shù)可以解決以上這些問(wèn)題,SSO是身份管理中的一部分,關(guān)于安全與身份管理軟件市場(chǎng),可參考:http://www./ablix/archive/2005/12/28/25804.html

使用SSO的好處

   使用SSO的好處主要有:

      (1)方便用戶

   用戶使用應(yīng)用系統(tǒng)時(shí),能夠一次登錄,多次使用。用戶不再需要每次輸入用戶名稱和用戶密碼,也不需要牢記多套用戶名稱和用戶密碼。單點(diǎn)登錄平臺(tái)能夠改善用戶使用應(yīng)用系統(tǒng)的體驗(yàn)。

      (2)方便管理員

   系統(tǒng)管理員只需要維護(hù)一套統(tǒng)一的用戶賬號(hào),方便、簡(jiǎn)單。相比之下,系統(tǒng)管理員以前需要管理很多套的用戶賬號(hào)。每一個(gè)應(yīng)用系統(tǒng)就有一套用戶賬號(hào),不僅給管理上帶來(lái)不方便,而且,也容易出現(xiàn)管理漏洞。

      (3)簡(jiǎn)化應(yīng)用系統(tǒng)開(kāi)發(fā)

   開(kāi)發(fā)新的應(yīng)用系統(tǒng)時(shí),可以直接使用單點(diǎn)登錄平臺(tái)的用戶認(rèn)證服務(wù),簡(jiǎn)化開(kāi)發(fā)流程。單點(diǎn)登錄平臺(tái)通過(guò)提供統(tǒng)一的認(rèn)證平臺(tái),實(shí)現(xiàn)單點(diǎn)登錄。因此,應(yīng)用系統(tǒng)并不需要開(kāi)發(fā)用戶認(rèn)證程序。

SSO實(shí)現(xiàn)技術(shù)

   實(shí)現(xiàn)SSO的技術(shù)主要有:

      (1)基于cookies實(shí)現(xiàn),需要注意如下幾點(diǎn):如果是基于兩個(gè)域名之間傳遞sessionid的方法可能在windows中成立,在unix&linux中可能會(huì)出現(xiàn)問(wèn)題;可以基于數(shù)據(jù)庫(kù)實(shí)現(xiàn);在安全性方面可能會(huì)作更多的考慮。另外,關(guān)于跨域問(wèn)題,雖然cookies本身不跨域,但可以利用它實(shí)現(xiàn)跨域的SSO。

      (2)Broker-based(基于經(jīng)紀(jì)人),例如Kerberos等;

   這種技術(shù)的特點(diǎn)就是,有一個(gè)集中的認(rèn)證和用戶賬號(hào)管理的服務(wù)器。經(jīng)紀(jì)人給被用于進(jìn)一步請(qǐng)求的電子的身份存取。中央數(shù)據(jù)庫(kù)的使用減少了管理的代價(jià),并為認(rèn)證提供一個(gè)公共和獨(dú)立的"第三方"。例如Kerberos、Sesame、IBM KryptoKnight(憑證庫(kù)思想)等。

      (3)Agent-based(基于代理人)

   在這種解決方案中,有一個(gè)自動(dòng)地為不同的應(yīng)用程序認(rèn)證用戶身份的代理程序。這個(gè)代理程序需要設(shè)計(jì)有不同的功能。比如, 它可以使用口令表或加密密鑰來(lái)自動(dòng)地將認(rèn)證的負(fù)擔(dān)從用戶移開(kāi)。代理人被放在服務(wù)器上面,在服務(wù)器的認(rèn)證系統(tǒng)和客戶端認(rèn)證方法之間充當(dāng)一個(gè)"翻譯"。例如SSH等。

      (4)Token-based,例如SecurIDWebID、

   現(xiàn)在被廣泛使用的口令認(rèn)證,比如FTP,郵件服務(wù)器的登錄認(rèn)證,這是一種簡(jiǎn)單易用的方式,實(shí)現(xiàn)一個(gè)口令在多種應(yīng)用當(dāng)中使用。

      (5)基于網(wǎng)關(guān)

      Agent and Broker-based,這里不作介紹。

      (6)基于安全斷言標(biāo)記語(yǔ)言(SAML)實(shí)現(xiàn),SAMLSecurity Assertion Markup Language,安全斷言標(biāo)記語(yǔ)言)的出現(xiàn)大大簡(jiǎn)化了SSO,并被OASIS批準(zhǔn)為SSO的執(zhí)行標(biāo)準(zhǔn)。開(kāi)源組織OpenSAML 實(shí)現(xiàn)了 SAML 規(guī)范,可參考http://www.

 

SUN  SSO技術(shù)
      SUN SSO技術(shù)是Sun Java System Access Manager產(chǎn)品中的一個(gè)組成部分。
      Sun 的新身份管理產(chǎn)品包括Sun Java System Identity Manager、Sun Java System Directory Server Enterprise Edition Sun Java System Access Manager,以上三者為Sun Java Identity Management Suite (身份識(shí)別管理套件)的組成部分,它們與Sun Java Application Platform Suite、Sun Java Availability SuiteSun Java Communications Suite、Sun Java Web Infrastructure Suite組成Java ES。具有革新意義的這一系列產(chǎn)品提供端到端身份管理,同時(shí)可與 60 多種第三方資源和技術(shù)實(shí)現(xiàn)互操作,集成產(chǎn)品可以從SUN公司網(wǎng)站下載,一般以Agent軟件方式提供,是業(yè)內(nèi)集成程序最高、最為開(kāi)放的身份管理解決方案之一。
   在Sun 的新身份管理產(chǎn)品中,Sun Java System Access Manager是基中的一個(gè)重要組成部分,Java Access Manager基于J2EE架構(gòu),采用標(biāo)準(zhǔn)的API,可擴(kuò)展性強(qiáng),具有高可靠性和高可用性,應(yīng)用是部署在Servlets容器中的,支持分布式,容易部署且有較低的TCO通過(guò)使用集中驗(yàn)證點(diǎn)、其于角色的訪問(wèn)控制以及 SSO,Sun Java System Access Manager 為所有基于 Web 的應(yīng)用程序提供了一個(gè)可伸縮的安全模型。它簡(jiǎn)化了信息交換和交易,同時(shí)能保護(hù)隱私及重要身份信息的安全。

SUN SSO實(shí)現(xiàn)原理

      SSO的核心在于統(tǒng)一用戶認(rèn)證,登錄、認(rèn)證請(qǐng)求通過(guò)IDENTITY SERVER服務(wù)器完成,然后分發(fā)到相應(yīng)應(yīng)用。

      SUN SSOjava Access Manager的一個(gè)組成部分,SSO基于Cookie實(shí)現(xiàn)解釋如下:

      (1)Policy Agent on Web or Application Server intercepts resource requests and enforces access control;

      (2)Client is issued SSO token containing information for session Validation with Session service.

      (3)SSO token has no content- just a long random string used as a handle.

      (4)Web-based applications use browser session cookies or URL rewriting to issue SSO token.

      (5)Non Web applications use the SSO API(Java/c) to obtain the SSO token to validate the users identity.

SUN SSO 的應(yīng)用

   這里說(shuō)的應(yīng)用是指Sun Java System Access Manager的應(yīng)用。成功應(yīng)用例子很多,包括德國(guó)電信等公司的應(yīng)用,國(guó)內(nèi)也有大量高校在使用,也有相當(dāng)多的其它行業(yè)的應(yīng)用。

SUN SSO的開(kāi)源
      Sun 將發(fā)布其網(wǎng)絡(luò)驗(yàn)證與網(wǎng)絡(luò)單點(diǎn)登錄技術(shù),給一項(xiàng)新的開(kāi)放源代碼計(jì)劃“Open Web Single Sign-On”Open SSO)。OpenSSO網(wǎng)站位于:https://opensso.dev./。該網(wǎng)站對(duì)OpenSSO的概述為:This project is based on the code base of Sun Java(tm) System Access Manager Product, a core identity infrastructure product offered by Sun Microsystems.

      OpenSSO 計(jì)劃的第一部份源代碼,將于今年年底完成,基本的版本將于明年3月份發(fā)布,而完整的版本可能要等到明年五月份。Sun 采用Solaris 操作系統(tǒng)相同的共同開(kāi)發(fā)暨流通授權(quán)(Common Development and Distribution License)方式。

 

CAS背景介紹

      CASCentral Authentication Service),是耶魯大學(xué)開(kāi)發(fā)的單點(diǎn)登錄系統(tǒng)(SSOsingle sign-on),應(yīng)用廣泛,具有獨(dú)立于平臺(tái)的,易于理解,支持代理功能。CAS系統(tǒng)在各個(gè)大學(xué)如耶魯大學(xué)、加州大學(xué)、劍橋大學(xué)、香港科技大學(xué)等得到應(yīng)用。

      Spring FrameworkAcegi安全系統(tǒng)支持CAS,并提供了易于使用的方案。Acegi安全系統(tǒng),是一個(gè)用于Spring Framework的安全框架,能夠和目前流行的Web容器無(wú)縫集成。它使用了Spring的方式提供了安全和認(rèn)證安全服務(wù),包括使用Bean Context,攔截器和面向接口的編程方式。因此,Acegi安全系統(tǒng)能夠輕松地適用于復(fù)雜的安全需求。Acegi安全系統(tǒng)在國(guó)內(nèi)外得到了廣泛的應(yīng)用,有著良好的社區(qū)環(huán)境。

CAS的設(shè)計(jì)目標(biāo)

      (1)為多個(gè)Web應(yīng)用提供單點(diǎn)登錄基礎(chǔ)設(shè)施,同時(shí)可以為非Web應(yīng)用但擁有Web前端的功能服務(wù)提供單點(diǎn)登錄的功能;

      (2)簡(jiǎn)化應(yīng)用認(rèn)證用戶身份的流程;

      (3)將用戶身份認(rèn)證集中于單一的Web應(yīng)用,讓用戶簡(jiǎn)化他們的密碼管理,從而提高安全性;而且,當(dāng)應(yīng)用需要修改身份驗(yàn)證的業(yè)務(wù)邏輯時(shí),不需要到處修改代碼。

CAS的實(shí)現(xiàn)原理

      CASCentral Authentication Server)被設(shè)計(jì)成一個(gè)獨(dú)立的Web應(yīng)用。實(shí)現(xiàn)原理非常簡(jiǎn)單,CAS Server2.0.12的實(shí)現(xiàn)只有30個(gè)類,除了JDK本身外,只使用到一個(gè)servlet.jar包。它目前的實(shí)現(xiàn)是運(yùn)行在HTTPS服務(wù)器的幾個(gè)Java Servlet上(而客戶端可以靈活采用httphttps的方式)。
   通過(guò)CAS2.0.12認(rèn)證的序列圖如下圖(因圖片顯示問(wèn)題,暫時(shí)去除)。

CAS在應(yīng)用中的運(yùn)行硬件環(huán)境
      University of Delaware: Sun Fire 280R/ 2x750 MHz/ 4 GB memory/ 550.3 GB disk storage
      University of Hawaii: a single Sun Netra X1 (UltraSPARC-IIe 500MHz) with 1.0GB RAM dedicated to running CAS. 2.
CAS2.0.12中關(guān)于ticket的生成

      CAS創(chuàng)建一個(gè)位數(shù)很長(zhǎng)的隨機(jī)數(shù)(ticket)。CAS把這個(gè)ticket和成功登錄的用戶以及用戶要訪問(wèn)的service聯(lián)系起來(lái)。例如,如果用戶peon重定向自service SCAS創(chuàng)建ticket T,這個(gè)ticket T允許peon訪問(wèn)service S。這個(gè)ticket是個(gè)一次性的憑證;它僅僅用于peon和僅僅用于service S,并且只能使用一次,使用之后馬上會(huì)過(guò)期,即ticket通過(guò)驗(yàn)證,CAS立即刪除該ticket,使它以后不能再使用。這樣可以保證其安全性。

   關(guān)于ST,在取一個(gè)ST時(shí),即使用deleteTicket(ticketId)同時(shí)將一次性的ST刪除;而對(duì)于TGTPT,則通過(guò)resetTimer(ticketId)以更新TGTPT的時(shí)間。CAS服務(wù)端返回的ST中只能得出用戶名。
      另外,CAS3.0版本也已經(jīng)發(fā)布了,現(xiàn)在最新的版本是3.03,希望CAS3.0在向下兼容的同時(shí),更能向我們提供一些新東西。

    本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間,所有內(nèi)容均由用戶發(fā)布,不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息,謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊一鍵舉報(bào)。
    轉(zhuǎn)藏 分享 獻(xiàn)花(0

    0條評(píng)論

    發(fā)表

    請(qǐng)遵守用戶 評(píng)論公約

    類似文章 更多