《单点登录.doc》由会员分享,可在线阅读,更多相关《单点登录.doc(28页珍藏版)》请在金锄头文库上搜索。
1、单点登录单点登录用户手册单点登录用户手册作者:北京群英汇信息技术有限公司网址:http:/ 14:26:30版权信息:目录1 访问单点登录系统o 1.1 什么是单点登录o 1.2 使用单点登录系统2 单点登录的证书问题o 2.1 什么是证书o 2.2 浏览器的证书警告o 2.3 如何添加信任,避免浏览器证书警告 3 双因子认证 4 邀请码登录 5 忘记口令和创建新帐号6 常见问题o 6.1 单点登录并非全部应用都自动登录o 6.2 单点退出,应用的登录状态最多保持两分钟o 6.3 连续的认证错误,导致 443 端口被封锁一段时间o 6.4 循环重定向o 6.5 Valid 地址无效1 访问单点
2、登录系统单点登录即 Single Sign-On,多个 web 应用仅需登录一次,是群英汇众多 web 应用的唯一登录入口。1.1 什么是单点登录群英汇的单点登录系统具有下列特点: 在有效期内,只需登录一次,降低频繁认证的复杂并减少口令泄漏风险 支持跨域认证,有效的整合各个 web 应用 唯一的登录入口,使用 https 协议,防止认证信息被窃取 支持多因子认证,可以为高安全级别应用提供访问授权 提供其他服务的入口。当登录成功后显示一个可定制的服务列表页 支持单点退出,即在一处退出登录,所有关联应用的登录状态自动失效1.2 使用单点登录系统访问单点登录系统的两个方法: 直接在浏览器中输入单点登
3、录服务的 URL,如: https:/ 或者先访问某个 Web 应用,在相关应用中点击登录,跳转到单点登录 URL以第一个方法举例:访问单点登录系统,输入正确的用户名和口令单点登录对话框o 用户名字段填写登录 ID,也可以用邮件名替代,如果邮件地址具有唯一性o 缺省使用用户名和口令认证,也可以使用其他认证模式,如邀请码认证登录成功,显示服务列表登录成功显示个人信息和服务列表o 左侧显示个人信息,并提供修改个人信息和口令的入口o 左侧个人信息的最下方,提供单点登出的链接o 右侧是单点登录系统整合的其他服务2 单点登录的证书问题单点登录采用 HTTPS 协议,这必然会涉及到证书问题。因为大部分企业
4、引入我们的系统,是解决企业内部信息服务的整合和登录,而并非为企业客户提供诸如网银等安全认证。因此企业没有必要花费高价去购买专业机构签发的证书,可以使用群英汇免费签发的证书。使用群英汇签发或者企业自己签发的证书有一个问题:浏览器对证书不信任,并不能确认访问的网站地址就是证书中声明的地址。因为: Internet Explorer, Firefox 等浏览器,内置了少数专业的认证公司的根证书 只有这些少数认证公司签发的证书在予以信任 由企业自行签发或群英汇签发的证书,由于签发者的根证书并不在 IE, FF 等浏览器中内置,导致证书不能被自动信任。2.1 什么是证书我们知道 HTTP 协议在网络中是
5、明文传输,会导致信息被监听,窃取,尤其是认证过程中,用户名和口令的明文传输,风险最大。而 HTTPS 协议则要安全的多。其安全性来自于两个方面。1 信道加密。网络中信息的传递是加密传输的,而加密的口令是 SSL 协商过程中创建的一次性随机口令。2 身份识别。服务器端的 SSL 公钥由第三方认证机构签名,声明该公钥仅限于某个域名或者某些域名使用。 o 当连接的服务器的地址和证书中声明的地址不一致,弹出警告信息。o 同样,如果服务器的公钥不是权威机构签发,即使证书中域名和实际访问域名一致,浏览器也发出警告。证书起到的作用就是上面第2点当中提到的身份识别问题,即提供防范中间人劫持。中间人劫持,就是你
6、请求认证的服务器被黑客通过技术手段偷换,造成您访问的服务器并非真正的服务器,很多人在使用网银,在交易过程造成帐号泄漏,资金被盗,就是因为访问了钓鱼网站(被偷换的假的服务器)。证书,是防止钓鱼的最后的屏障。2.2 浏览器的证书警告如前所述,大部分企业部署我们的单点登录系统,没有去单点必要购买昂贵的 HTTPS 证书。因为大部分企业引入我们的系统,是解决企业自身信息服务的整合和登录, 而并非为企业的客户提供诸如网银等安全认证。但是,这么一来,在员工登录单点登录系统时,浏览器会显示关于证书的警告信息。尤其是 IE7, IE8 显示的警告信息最不友好,会让人误以为网站出现了异常!我们先看看各色浏览器在
7、遇到证书不可信的 Https 网站时的表现:IE7, IE8 访问单点登录,显示的证书警告对于我们信任的网站,选择“忽略证书错误,继续访问”,而不要点击带有对号图标的选择,因为那样直接关闭浏览器。这样我们就可以浏览单点登录网站了。注意在标题栏有关于证书错误的提示。IE6 访问单点登录,显示的证书警告的对话框,选择“是”,就可以继续浏览。Firefox 访问单点登录,显示的证书警告。如果要浏览该网站,要点击“我已充分了解可能的风险”,按照提示操作即可访问。2.3 如何添加信任,避免浏览器证书警告有一个一劳永逸的方法,就是将群英汇的根证书导入浏览器中,就可以直接对证书建立信任,不必在每次打开浏览器
8、访问加密网站时,一遍又一遍的处理证书警告错误。我们以 IE7 为例:浏览器输入地址 http:/ 。或者在您单点登录网站的 /ssl 目录也有我们根证书的拷贝。点击文件 ossxp-ca.crt 。打开 ossxp-ca.crt,显示该证书文件的详细信息。点击 “安装证书” 按钮。在 Windows XP 导入此证书文件,直接选择默认选项,点击下一步,即可完成安装。安装完毕后,可以通过 IE 菜单中的“工具” - “Internet 选项” 的内容标签页,查看证书安装位置:IE6 的 Internet 选项设置页面证书被安装到了“受信任的根证书颁发机构”。在 Windows 7 中导入证书,如
9、果选择默认的安装选项,证书被安装到了错误的位置,需要在安装过程中人工介入:在证书存储选择界面,不要自动选择证书存储区域,如下:点击浏览按钮,打开“选择证书存储”对话框。在该对话框中,选择“受信任的根证书颁发机构”。点击完成开始导入证书导入过程会显示一个警告页面,选择“是”,安装证书证书导入完毕将群英汇根证书正确导入后,再打开单点登录网站,不再出现证书警告信息,直接打开 HTTPS 网站。浏览器的地址栏显示证书状态正常3 双因子认证一些特殊的应用,要求用户通过更为严格的认证,一般采用称为“双因子认证”的认证模式。什么是双因子认证呢?普通的认证,仅仅通过回答 what you known (知道什
10、么)问题完成认证。如:口令认证模式,用户只需要提供自己所知道的口令或者用户名+口令的方式即完成认证。双因子认证除了要回答普通认证的 what you know 问题,还要回答 what you have (有什么)的问题如:指纹认证,虹膜认证等都是常见的双因子认证。群英汇单点登录认证系统,也包含了双因子认证。缺省提供了称为 admin 的认证因子,为部分应用软件提供基于双因子认证的授权服务。 Admin 双因子认证和上面提到的双因子认证又有所区别。 Admin 认证因子实施认证前,需要先通过常规认证,即需要用户在回答了 what you known 之后,才进入到 admin 因子的认证 Ad
11、min 认证因子,实现 what you have 问题,并不需要用户提供特别的东西,甚至根本不需要提供任何东西 实际上,admin 认证因子是查询后台数据库,确认已登录用户是否拥有特别的权限,如果该用户拥有相应权限,则认证成功 因此群英汇缺省提供的 admin 认证因子,用于向部分应用系统提供“认证+授权”服务以邮件列表管理员登录为例。邮件列表管理员在访问邮件列表的管理接口的时候,向单点登录系统发出 admin_list 的认证因子请求。单点登录系统会首先检查是否通过了口令认证,然后检查该用户是否属于 mailman 管理员用户组。下面展示一下双因子认证过程。邮件列表一览页面(处于 未 登录
12、状态)尚未登录点击登录,第一次进入单点登录界面输入用户名口令完成 what you konw 的认证处于登录状态的邮件列表一览页面登录成功。注意页面中有指向 “列表管理界面” 的链接访问列表管理概览界面,再次跳转到单点登录,要求附加认证,即 admin 因子认证注意浏览器地址栏的factors 参数以及页面中红色警告如果再次认证过程中,输入错误的用户名口令,显示出错信息输入错误的用户名或口令如果用户不具有请求的管理员权限,显示出错信息因用户若不具有相应权限,admin 认证因子失败如果通过 admin 认证因子,显示列表管理员概览页管理员概览页4 邀请码登录邀请码认证是口令认证之外的另外一种认
13、证方式。邀请码由管理员进行设置,为特殊用户提供无须用户注册即可访问某些服务。 在输入邀请码的同时,您需要在用户名字段输入您的邮件地址。 口令字段和邀请码字段互斥 o 只有口令字段为空,邀请码才允许输入o 当邀请码字段处于输入焦点,口令字段自动隐藏o 只有当邀请码内容为空并且失去输入焦点,口令输入对话框才有效示例:邀请码登录,需要输入正确的邀请码,用户名处的邮件地址不作为验证依据邀请码登录邀请码输入正确后,以该邀请码对应的用户帐号登录,本例为 demo 用户邀请码登录成功5 忘记口令和创建新帐号创建新帐号,获取忘记口令是和认证相关的两个重要的功能。实际上,这两个功能并非由单点登录系统本身提供,而
14、是由群英汇用户管理平台提供的功能。在群英汇用户管理平台的帮助中,会具体讲述自建帐号以及获取忘记口令的方法。在这里,我们仅仅介绍一下单点登录平台提供的获取忘记口令以及自建帐号的链接。在单点登录的用户名、口令输入对话框下面有一个“需要创建帐号或者找回口令?”的文字链接。点击该链接,便在页面左侧弹出自建帐号以及获取忘记口令的帮助信息。自建帐号和获取忘记口令的帮助6 常见问题6.1 单点登录并非全部应用都自动登录在单点登录成功后,是否在访问其他 web 应用时,都应该处于登录状态呢?实际上每个应用的登录过程都有着各自不同的实现,需要注册该服务所独占的 cookie, session 等。单点登录过程不
15、应该也很难一次性的跨站的注册不同的服务专有 cookie。因此即使用户通过了单点登录,其他应用也并非都已经处于登录状态。但是对于那些仍然处于非登录状态的应用,只要点击一下各自的登录链接,无须重新输入口令,自动完成登录。不允许匿名访问的应用,会自动登录因为这类应用不允许非登录状态的存在,在访问该应用时,自动实现 cookie 注册,页面跳转等一系列登录动作。在后台发生的cookie关联等动作是用户不可见的,前台发生的页面跳转则因为已经在单点登录平台中通过身份验证而使跳转很快就返回应用页面,用户很难察觉到登录过程。允许匿名访问的应用,存在未登录的状态有的应用因为要支持匿名访问,存在未登录的状态,即使用户实际上已经经过了单点登录的身份验证。这
