《SSO实现方式深入浅出》由会员分享,可在线阅读,更多相关《SSO实现方式深入浅出(9页珍藏版)》请在金锄头文库上搜索。
1、SSO实现方式深入浅出SSO,单一登录(single sign-on),意思是指在多套系统并存的环境下,用户只需登录一次即可访 问其他授权的系统。提起SSO (单一登录),大概企业里的IT人员无人不知,但真正意识到其复杂度的,未必有多少,只 有亲身实施过的技术人员,也许才明白个中玄妙。本文基于蓝凌为国内几十家大中型企业的服务案例,针 对SSO的相关技术和案例进行一些探讨,希望能帮助到企业IT人员更深刻理解SSO技术及其应用。一、企业级SSOSSO涉及的领域大致上可以分为三种:社会性网站间的SSO、部门SSO、企业级SSO。社会性网站间的SSO主要涉及的帐号信息开放性问题,能否实施成功主要取决于
2、各大网站帐号管理是 否遵循相同的标准协议,如Openid、Passport等。部门级SSO比较简单,一般涉及的系统不多,由技术人员通过编程方式实现即可,但一旦牵涉系统众 多,安全性要求高的情况,就不适用了。企业级SSO是三者中最复杂的领域,因涉及的系统可能五花八门,这些系统也许是老旧的C/S结构系 统、可能是某种大型软件系统(如SAP),还可能是某种非web登录方式(如windows域登录);其安全 性要求也远比前两者高,如要求同享登录有效时间等,因此企业级SSO在技术难度上是最高的,但也因此 是IT人员最愿意钻研的领域。而绝大部分国内企业,其内部系统常常因为历史原因导致多套系统缺乏统一 规划
3、,缺乏标准而导致整合代价高昂。因此SSO也是许多大中型企业IT部门比较头疼的事情。本文主要讨论的领域,就是企业级SSO。二、深入企业级SSOSSO是一把双刃剑:SSO可以简化用户登录过程,提升用户的登录体验;同时可以降低IT管理员大量 账户和密码维护成本;SSO还提供了符合萨班斯法案的密码集中管理工具;但SSO同时也产生了一种安全 风险,某一系统用户身份一旦被攻破,则意味着所有参与SSO网络的应用系统也被穿透。因此需要慎重考 虑SSO的范围及安全级别的局限性。SSO涉及不同层面的需求:SSO的实质是多套系统能否识别同一用户的身份,并在各套系统间实时同步用 户身份信息,以支持各套系统进行用户权限
4、控制。基于这样的原因,一套SSO技术至少应该考虑一下四个 层面的需求:1、单点登录,多点即可同时登录;2、单点注销(退出登录),多点即可同时注销;3、单点切换用户,多点即可同时切换;4、单点登录过期,多点同时过期。如下图:3、应用系统采用不同的技术架构且域名后缀不同,甚至只有IP而无域名。jt应用至妙从我们的实操经验来看,能够提供最佳SSO环境的企业,在国内几乎凤毛麟角,这样的企业必须是非常 具有IT战略眼光且IT系统选型非常精准,企业历任IT领导间保持了高度的传承共识、IT规划细致到位 才可能做到;而最坏或接近最坏的SSO环境却比比皆是。幸运的是,即便是最坏的SSO环境,也还是有相应的技术解
5、决方案来支持整合的。三、SSO的两种架构与三种实现技术从应用架构层面,SSO主要可以分为集中验证模式和多点验证模式两种不同的架构。集中验证模式:当应用系统需要登录时,统一交由验证服务器完成登录动作,应用系统不提供登录接入(如登录界面)。2、Wd3眼务器应用粟统A应用岳统E相对与多点验证模式来说,集中验证模式的适用范围更广,而且在SSO服务器中使用的是统一的用户名密 码,用户无需关注登录的是哪套系统的账套,所以用户体验更加优秀。由于所有的登录都放在了统一的服 务器,所以当集中验证服务器宕机时,所有系统无法正常登录,或丢失SSO的功能,建议以独立服务器作为集中验证服务器,并需要保证登录服务器的稳定
6、性。多点验证模式:应用系统供各自的登录界面,登录了一套系统后,另外其他系统无需再次登录即可通过身 份验证。t Ma斗、访同应用系获应目乘统目在多点验证模式的模式下,所有的登录操作都在应用系统完成,任何一套系统宕机不会对其它系统产生影 响,也不会影响正常运行系统间的SSO。但若各套系统的账套不一样的时候,若要用户区分每套系统的用 户密码,必定会降低用户的体验,为了解决该问题,多点登录模式最好有统一的用户密码验证的服务(如 LDAP身份验证)。另外,多点登录模式相对集中验证模式来说会存在更多的技术限制,详见后面的章节。从SSO在技术实现的角度,SSO的实现通常有以下三种技术实现途径:代理登录(ag
7、ent)、令牌环(token)、 身份票据(t icke t)。代理登录(agent):代理登录的原理就是在IE端通过表单提交的方式模拟应用系统的登录操作,实现SSO。nO应用系銃监in*求盪叵2、箍证耳户童码代理登录的优点就是无需对原有系统做任何改造,适用于无法改造的旧系统;其缺点很明显:1、稳定性差,一旦登录期间某台服务器无法响应,则该服务器无法单点登录。2、安全性差,用户名密码通过明文传输。3、由于登录期间需要监控各个系统的响应,所以不建议大量使用,否则会影响登录的性能。4、由于IE的安全限制,代理登录必须在同域的情况下运行。令牌环(token):通过Cookie共享令牌环的方式传递当前
8、用户信息,实现SS0(令牌环类似IBM 的LTPA Token,IBM系列产品间能实现配置式SS0,就依靠此技术。如IBM Websphere Portal Server与Lot us Domino Server 之间的 SSO)2、验HE托户令牌环的方式最大好处在于无需统一的验证服务器,是“多点验证模式”的主力实现技术,各个服务 器都通过统一的密钥对令牌进行加密解密,所以该方式具有安全性高、稳定性好、性能消耗低等优点;其 缺点就是必须保证各台应用服务器同域。身份票据(ticket):与令牌环不一样,身份票据是通过URL的方式传递,通过“两次握手”的方 式,实现SSO(如开源的CAS就是这种原
9、理)進叵托产应用系読吝報正呢务i8.刽般证身份票据的方式,是适用范围最广的一种SSO实现方式,可以解决跨域等问题,安全性高、稳定性好; 其缺点就是必须增加一台验证服务器,保证在高压下验证服务器的稳定运行,性能方面由于每次登录都需 要访问验证服务器,所以比令牌环的方式略差一点。三种技术实现途径的比较比较项代理登录令牌环身份票据需求实现程度无法实现同时切换用户全部全部与会话同时过期对原系统改造无小量改造小量改造安全性低高高稳定性偏低好好性能开销登录瞬间压力大一点 非常小较小适用范围同域,对用户密码不一致 同域,对不同登录名需增 所有可改造的系统,对不的系统,需在登录服务器 加对用户凭证库的访问 同
10、登录名需在登录服务 的用户凭证库保存用户器的用户凭证库保存用密码映射户映射独立验证服务器需要不需要需要登录模式支持集中验证模式集中验证模式/多点验证 模式集中验证模式四、蓝凌EKP产品SSO解决方案从蓝凌实施过的数十个SSO整合案例得到的经验来看,单一的SSO技术和架构不可能彻底解决所有SSO 问题,蓝凌EKP产品提供的SSO解决方案中,提供了混合实现途径,可以根据客户的实际情况进行灵活地 组合,并提供足够的扩展接口。EKP SSO组件包含一个服务器和多个内置客户端产品包:EKPSSOServer:基于CAS内核,并在上面增加了许多扩展,具有简单易用(通过配置完成大部分SSO需求)、扩展性强、
11、应用范围广、安全、稳定等特点。1、支持多种账户存储方式2、支持一个用户多套帐号密码3、支持前述三种主要身份认证技术4、支持灵活扩展EKP SSO Client:客户端组件是为了减少各应用系统的改造工作量设计的,针对不同的开发语言有 不同客户端提供调用。EKP 的系列产品(EKP-D、EKP-N、EKP-J、EKP-Por tai )已经内置了 EKP SSO Client是L用A1ES其实现原理如下:雅劉注憶/K揍耳户客户端的支持:EKP SSO ClientJ2EE客户端Domino 客户端客户端基狂漣器艇现r 适用于所有的J2EE应用(缽IBM Portal)基于DSAPI霆现r 适用于所
12、有的 Domino应用墓珈滤器竦r 适用于所有 的戸已诚用在本SSO方案中,整合了 IBM Websphere Por tai、蓝凌Domino和Java系列的产品、Coremail以及内部的所有应用系统的SSO。采用了 IBM的TDS作为目录服务,进行用户名密码的验证;使用了蓝凌的UIM系统,对用户进行维护,映射各套应用系统之间的用户凭证;通过蓝凌的SSO服务器,简化了所有系统的登录验证操作;大部分的客户端与SSO服务器之间采用了性能消耗最小的令牌环技术进行用户身份的传递。六、建议好的SSO规划可以帮助企业以最小的整合代价、最佳的维护成本获得最优的用户登录体验。在蓝凌所实施的项目中,规划和整
13、合通常都是一体实施的。即通过帮助客户进行典型系统的SSO整合,同时基于企业特点帮助客户制订一套可适应未来的SSO规范,这样的动作,通常会包括在企业门户整合项司歩目或IT规划项目中,作为一个关键组成部分进行实施。我们期待有更多的企业提早认识到企业SSO规划的重要性实现懣度用户強皿一皿肘血聒.在甲畀顔刪会 话过期了 *血何出系縫的益活都迂翻4拓阻新登呂J建换用戶身场竦啟行注狛櫛忙沈IAJ亍涌次Qjfc.Wifi 帛绕槪熾的隅户密份运行曲平产牛時同肘注桶同时愛录a常用莆求.1?只来懈爛后n它 棗堆自砸王的它歪yt时”无說丙次愉入甲户客密阳鼬o技忒的买虞是:爭囂岳僦否能聲识同一用户的号信?m昔 春聚蜿间罔步用戶翎信息
