基于单点登录的校园信息门户的实现
中国教育信息化/2007.04(高教职教)
《中国教育信息化》
编辑部:mis@moe.edu.cn一、引言
随着我国高校的校园网的逐步发展,校园网建设已经发展到一个新的时期,网络从单一业务平台发展到多业务平台,各种基于校园网的应用系统不断地被开发并应用到校园的教学、科研和办公中。每个应用系统都有属于自己的用户认证授权方法,都有一组独立的帐号和口令,用户进入不同系统时都要重新提交自己的身份标识来进行系统的认证。因此,用户拥有较多的帐号和口令,设置时会考虑用简单信息作为口令或者使用相同口令,这样很容易泄密或被黑客攻击,进一步会危及校园网信息和应用系统的安全。
校园信息门户是应用汇集与展现的重要部分,通过对校园现有的各种系统和资源的有效集成整合,包括综合教务系统、教学评估、校园一卡通等等,以门户的形式为学校教师、学生提供所需的全部信息与服务。单点登录提供所有应用服务的入口,用户只需要在门户上进行一次登录,就可以访问所有被授权的网络应用系统,实现一次登录,多点通行。
二、单点登录技术
单点登录提供一个用户管理的统一接口,当一个用
户要访问多个需要认证的应用系统时,只需要进行一次登录和身份认证,就可以对所有被授权的应用系统直接进行访问,不必重新登录。[1]
实现该技术的关键是用户统一身份认证和应用漫游。从安全性方面考虑,原则上统一认证系统不直接给各个网络应用系统提供用户认证服务。用户访问网络应用系统需要先登录到门户中,然后通过应用漫游的方式进入到应用系统中。系统结构如图1所示。
1.用户统一身份认证
统一身份认证的主要思想就是由一个全校范围内唯一的认证服务系统接管各应用的认证模块,各应用只需要遵循统一认证服务调用接口即可实现用户身份的认证过程。至于用户身份信息、密码的存储和在网络上传输的安全性,由身份认证服务提供的安全认证协议来保证。[2]
统一身份认证系统是以用户信息、系统权限为核心,集成各业务系统的认证信息,为用户提供一个高度集成且统一的认证平台,管理和分发用户的权限和身份,为不同的应用系统提供用户和权限管理服务。各应用系统只需保留角色和权限控制,用户数据库资源统一保存在认证服务器中,用户和角色的管理由应用系统自行管理,从而简化了应用系统中用户管理模块的建设。统一身份认证服务器接收按照认证协议输入的认证请求,并在用户
天津工业大学网络与远程教育管理中心
韩
清
王善利
天津市人民政府国际经济研究室
刘彩妹
摘要:在多业务平台的校园网中,各种应用
系统都有属于自己的用户认证授权方法,用户拥有多个帐号和口令,记忆复杂容易泄密,甚至会危及校园网络的安全。基于单点登录的校园信息门户的实现将校园所有应用系统和资源有效集成整合,提供统一入口,用户只进行一次登录,就可以访问所有被授权的应用系统。
关键词:信息门户单点登录
统一身份认证
应用漫游
中图分类号:TP393.08
文献标识码:B
文章编号:1673-8454(2007)04-0024-03基于单点登录的
校园信息门户的实现
图1系统结构
建设网络建设
24
《中国教育信息化》发行部:cyl@moe.edu.cn
信息数据库中检索所存储的该用户的密码和身份信息加以验证,向认证用户返回成功或失败的认证结果。
(1)认证过程
用户在登录到信息门户(认证客户端)的时候,必须经过统一认证系统的认证,认证过程由认证服务器完成,如图2所示。
认证过程如下:
1)用户登录信息门户,发出登录请求,浏览器通过HTTPS安全连接把用户帐号/密码发送给门户系统(认证客户端);
2)门户系统通过安全认证协议,向认证服务器发送用户的认证请求;
3)认证服务器利用门户系统提交的认证信息,经过运算,与用户信息数据库中的用户信息进行比较。如果认证失败,则返回认证失败的信息;如果认证成功,则生成一个新的“会话凭据”,同时按照系统设定获取用户的一些基础信息(用户证件号、用户帐号、用户类别等),并把会话凭据和用户基础信息返回给门户系统;
4)如果认证失败,门户系统则通知用户认证失败,请用户重试;如果认证成功,门户系统则在新生成的该用户的会话中保存刚获得的“会话凭据”,并给用户返回登录成功后的下一个页面。“会话凭据”将在用户进行应用漫游的时候申请漫游票据。
(2)认证算法
认证服务器在统一认证服务系统中处于核心的地位。它的主要功能是接收按照认证协议输入的认证请求,并在用户信息数据库中检索存储的该用户的密码和身份信息加以验证,向认证用户返回认证结果。认证算法如下:[3]C:Client,认证客户端,这里指门户;
S:Server,统一身份认证服务器;
K:C和S之间的共享内容,即待认证用户的单向加密后的密码;
N:待认证用户的用户帐号;
R:S产生的随机数;
H{M}:对消息M做单向Hash消息摘要运算,常用的算法为MD5算法;
CK{M}:以密钥K使用对称加密算法对消息M进行对称加密,常用的算法为DES或RC4算法;
r:认证的结果,成功或失败;
1)认证预请求C=>S:N,H{N+K}
2)预请求应答S=>C:CK{R},H{N+CK{R}+K+R}
3)认证正式请求C=>S:N,CK{R,K},H{N+CK{R,K}+K+R}
4)认证结果应答S=>C:CK{r,R},H{N+CK{r}+K+R}
认证的过程采用请求—应答机制,分为预请求和正式请求两部分。预请求是C向S发出以获取随机数R的过程,并将此随机数用在随后的认证数据包中,正式请求中C必须向S提交此凭据。随机数R在C和S端都有记录,每次认证请求都发生变化,相当于在每次加密时改变所用的密钥,可以很好地防止重放攻击。
2.应用漫游
应用漫游是在统一身份认证服务基础上的实际应用,这种应用多数是部署在B/S结构的网络应用系统中,用户登录到门户系统中后,利用门户系统提供的凭证,无须再次登录就可以进入到其它网络应用系统的过程。应用漫游是实现单点登录的关键基础。
(1)漫游过程
应用漫游的实现,是依靠架设在认证服务器、认证客户端与用户之间的票据服务器来完成的,如图3所示。统一认证服务器在完成了一次成功的用户认证之后给认证客户端发放一个会话凭证,这个凭证可以在有效期内作为被认证的用户的身份证明。用户使用这个凭证,可以通过认证服务器向票据服务器申请漫游票据。它的有效期可以根据需要延续;票据服务器根据认证服务器的要求给合法用户发放一种临时凭据,这就是漫游票据。使用这个凭据,用户在进入支持漫游的网络应用系统时,可以不需要进行再次登录过程。为了确保安全性,漫游票据的有效期很短,且一次有效,使用过后即被废弃。
漫游过程如下:[4]
1)用户登录校园信息门户系统,通过安全连接提交用户帐号和密码;
2)门户系统调用底层认证接口函数,向认证服务器
图2认证过程
图3漫游过程
建设网络建设
25
ChinaEducationInfo
《中国教育信息化》编辑部:mis@moe.edu.cn
提交认证请求,申请漫游票据;
3)认证服务器根据用户的“会话凭证”进行检查,将结果返回给票据服务器;
4)票据服务器生成漫游票据,并把结果返回给认证服务器;
5)认证服务器将获得的漫游票据返回给门户系统,给用户返回一个重定向的响应;
6)用户通过登录门户带有票据的链接访问各网络应用系统,提交漫游票据;
7)各网络应用系统取得票据后向票据服务器发请求,请求验证漫游票据的合法性;
8)票据服务器检验漫游票据的合法性,将结果返回给各网络应用系统;
9)门户系统根据票据服务器返回的结果为用户提供相应的服务。
(2)漫游接口
漫游接口是基于JAVA语言的函数接口,包括漫游票据的申请和验证。
1)漫游票据
java.lang.StringroamingTicket;
漫游票据是一个随机字符串,由票据服务器生成,与用户名、用户的来源IP地址、漫游目的应用名字关联,包含了票据服务器的IP地址、端口等相关信息。漫游票据的有效期比较短,且不可延续,只能被使用一次,使用后立即失效。
2)漫游票据申请函数
staticpublicHashtablethauthNewTicket(Stringserv-erIp,intserverPort,StringappKey,StringsessionKey,StringappId,StringuserId,StringuserIpaddr);
漫游票据申请函数是向认证服务器申请一个漫游票据。Hashtable是一个Hashtable类的实例,如果申请失败,那么Hashtable中不包含其它值;如果申请成功,那么Hashtable中将包含新的漫游票据。
3)漫游票据验证函数
staticpublicHashtablethauthCheckTicket(Stringticket,StringappId,StringuserIpaddr);
漫游票据验证函数是网络应用系统验证用户提交的票据是否有效。如果票据验证失败,那么Hashtable不包含其它值;如果票据验证成功,那么Hashtable中还将包含用户的基础信息,例如,证件号、用户名、用户类别、用户状态等信息。
三、信息门户的实现
校园信息门户统一控制用户对校园信息和应用系统的访问,是实现校园用户访问信息资源/应用系统的统一入口。信息门户能够根据用户的身份提供满足其需求的特定信息和应用系统,提供个性化的服务。用户只需在进入门户时进行一次登录,即可漫游访问校园网内的各种应用系统和信息资源。
校园信息门户除了具有统一身份认证的功能还具有应用系统管理、用户权限管理、信息的组织和管理及用户界面管理等功能,以WEB方式作为表现形式,如图4所示。其中,应用系统管理功能能够统一管理校园网内的各种应用系统,包括应用系统信息的管理、应用系统发布的控制、应用系统访问的负载平衡等;用户权限管理功能提供用户权限设置和分配机制,统一管理校园网用户访问应用系统的权限,包括角色设置、角色授予、权限授予等;信息的组织和管理功能能够对校园网内的静态信息进行分类、组织和管理;用户界面管理功能提供用户界面模版的管理、用户界面个性化的设置等。
四、结束语
校园信息门户的实现在一定程度上解决了校园网络实际运行中所遇到的“多个应用、多重管理”的问题,把多个离散的网络应用系统有机地结合在一起,以完整的形式呈现给用户。用户只需单一的帐号和口令就能通过校园信息门户访问其所能访问的所有网络应用系统。校园信息门户的实现改变了原有应用系统的服务模式,原有应用系统实现的是面向功能的服务模式,每个应用系统提供的只是可以满足某种需求的功能,而信息门户提供的是面向用户的服务模式。为校园网用户提供了高效、统一、集中的信息服务。!
参考文献:
[1]程宏斌,孙霞.单点登录技术研究[J].计算机时代,2004(5)[2]戴芳胜,何守才,黄建华.单点登录技术的研究[J].上海第二工业大学学报,2005,22(3)
[3]刘启新,蒋东兴,石碞等.网络应用系统统一口令认证的研究与实现[J].计算机工程,2000(26)
[4]宋志强,陈怀楚,沈锡臣.校园网统一身份认证结构及基于此结构的应用漫游的实现[J].计算机工程与应用,2002(20)
图4信息门户示意图
建设网络建设
26
中国教育信息化/2007.04(高教职教)
统一认证与单点登录系统-产品需求规格说明书
统一认证与单点登录系统产品需求规格说明书 北京邮电大学
版本历史
目录 0文档介绍 (5) 0.1 文档目的 (5) 0.2 文档范围 (5) 0.3 读者对象 (5) 0.4 参考文档 (5) 0.5 术语与缩写解释 (5) 1产品介绍 (7) 2产品面向的用户群体 (7) 3产品应当遵循的标准或规范 (7) 4产品范围 (7) 5产品中的角色 (7) 6产品的功能性需求 (8) 6.0 功能性需求分类 (8) 6.0.1产品形态 (8) 6.1 外部系统管理 (9) 6.1.1外部系统注册 (9) 6.1.2外部系统集成配置 (11) 6.2 用户管理 (11) 6.2.1用户管理控制台 (11) 6.2.2用户自助服务 (13) 6.2.3统一用户管理 (13) 6.3 组织结构管理 (14) 6.4 权限管理 (15) 6.4.1统一角色管理 (18) 6.5 单点登录 (18) 6.5.1基于Httpheader单点登录 (19) 6.5.2基于表单代填的方式单点登录 (20) 6.5.3基于CAS单点登录 (20) 6.5.4总结 (23) 7产品的非功能性需求 (24) 7.1.1性能需求 (24) 7.1.2接口需求 (24) 8附录B:需求确认 (25)
0文档介绍 0.1文档目的 此文档用于描述统一认证与单点登录系统的产品需求,用于指导设计与开发人员进行系统设计与实现。 0.2文档范围 本文档将对系统的所有功能性需求进行消息的描述,同时约定非功能性以及如何与第三方系统进行交互。 0.3读者对象 本文档主要面向一下读者: 1.系统设计人员 2.系统开发与测试人员 3.系统监管人员 4.产品甲方管理人员 0.4参考文档 《凯文斯信息技术有限公司单点登录及统一用户技术方案V1.0》 0.5术语与缩写解释
CAS_SSO单点登录实例详细步骤
CAS SSO单点登录实例详细步骤 原创作者:孙俊财
第一步 1、用keytool生成证书: 命令: keytool -genkey -alias sjc -keyalg RSA -keysto re c:/store/mykey 说明: 这里-alias sjc 是表示生成的这个证书的别名叫sjc,-keyalg RSA 指的是采用的RSA算法,-keystore c:/store/mykey是指生成的证书存储的位置。回车后会提示你输入keystore password,这可以自己定(这里输入sunjuncai,下面配tomcat时要用的),然后是一些个人信息及组织信息,可以轻松搞定。 注意:密码输入后,会让你输入其他信息,记得这里第一个姓名必须是服务器的域名这里我输入的是完整计算机名称:gaofeng.nmc.hamcc 这里要注意如果不这样写就会报如下异常: java.io.IOException: HTTPS hostname wrong: should be
您的名字与姓氏是什么? [Unknown]:gaofeng.nmc.hamcc 您的组织单位名称是什么? [Unknown]:上海神洲数港 您的组织名称是什么? [Unknown]:网络优化 您所在的城市或区域名称是什么? [Unknown]:郑州 您所在的州或省份名称是什么? [Unknown]:河南 该单位的两字母国家代码是什么 [Unknown]:ZH CN= gaofeng.nmc.hamcc, OU=上海神洲数港, O=网络优化, L=郑州, ST=河南, C=ZH 正确吗? [否]:y 输入
一个Web应用单点登录系统的设计和实现
第20卷哈尔滨师范大学自然科学学报 Vol.20,No.12004 第1期 NATURAL SCIENCES JOURNAL OF HARBIN NORMAL UNIVERSITY 一个Web 应用单点登录系统的设计和实现 陈重威 (上海市静安区业余大学) 摘要 作者在分析借鉴三种Web 单点登录产品和技术的基础上,设计并实现了一个Web 单点登录系统,该系统适用于企业内部Intranet 应用环境,可以跨多个In ternet 域,可以支持常见的几种操作系统和Web 应用服务器.本文介绍了此系统的设计思路和关键技术,并给出了部分关键代码. 关键词:Web;HTTP;单点登录;身份验证 收稿日期:2003-12-28 陈重威,(1948-),男,上海静安区业余大学计算机系副教授,主要研究方向:计算机网络、数据库 0 引言 经过多年的建设,我国企业中建立起来了一些基于Web 的应用系统,这些系统运行在多种操作系统和应用服务器上面,由不同的技术人员在不同的时期采用不同的技术建立,采用多种相互独立的用户管理、身份验证系统.在当前企业有限的经费预算条件下,如何使用户可以只登录企业信息系统一次就可以访问到企业中多种Web 应用一直是一种挑战.本文在分析三种具有代表性的Web 应用单点登录系统的基础上,针对中小型企业对Web 应用单点登录的要求、其Intranet 环境的特点,给出一个适应于中小型企业Intranet 内常见Web 应用的单点登录系统的设计框架及基于J2EE 的系统实现要点. 1 用户要求和现有产品 1 1 用户环境和要求 企业中基于Web 的应用系统种类繁多,有基于微软Internet Information Server 的运行在Windows 平台上的信息系统,有基于J2EE 应用服务器平台 的业务系统,有基于Lotus Domino 的办公自动化 系统,也有SAP 、ORAC LE 那样的ERP 系统或者财 务系统,这些系统各有各的用户数据库(关系型数据库、Domino 文档数据库、LDAP 服务器等).企业员工在不同应用系统中有不同的帐户!!!用户名和口令,他们需要牢记这些帐户.企业员工特别希望只登录一次就可以透明地访问其他各种应用系统,不再需要在各种应用系统的登录页面中多次输入不同的用户名和口令. 从用户的角度看,Web 应用单点登录系统的使用方法如下: 1 用户访问Web 单点登录系统,服务器返回登录页面,提示用户输入用户名和口令等认证信息; 2 用户登录系统,登录系统返回一个该用户有权访问的应用的列表; 3 自此以后,用户访问其他应用的时候,在用户看来,他不必进行身份验证就可以访问其他Web 应用了; 4 当用户退出一个应用系统,而没有退出?单点登录系统#,他仍然可以访问其他没有退出登录的应用系统.
简单的单点登录实现过程及效果展示
一、实现过程 从用到的jar包文件夹的cas-server-3.3.1modules中找出cas.war放到tomcat/webapps下面(cas-server-webapp-3.3.1.war重命名即可)。 现在cas默认的server端已经有了,下面自己写2个客户端测试一下 MyEclipse里面新建web project:sso 新建类HelloWorldExample package servlet; import java.io.IOException; import java.io.PrintWriter; import java.util.Enumeration; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public final class HelloWorldExample extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException { response.setContentType("text/html");
PrintWriter writer = response.getWriter(); writer.println(""); writer.println("
"); writer.println(""); writer.println("![](\"images/tomcat.gif\") "); writer.println(" | "); writer.println(""); writer.println("Sample Application Servlet"); writer.println("This is the output of a servlet that is part of"); writer.println("the Hello, World application."); writer.println(" | "); writer.println("
统一认证系统_设计方案
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
单点登录系统(SSO)详细设计说明书
单点登录系统(SSO)详细设计说明书 1、引言 1.1编写目的 为了单点登录系统(SSO系统)的可行性,完整性,并能按照预期的设想实现该系统,特编写需求说明书。 同时,说明书也发挥与策划和设计人员更好地沟通的作用。 1.2背景 a.鉴于集团运营的多个独立网站(称为成员站点),每个网站都具有自己的身份验证机制,这样势必造成:生活中的一位用户,如果要以会员的身份访问网站,需要在每个网站上注册,并且通过身份验证后,才能以会员的身份访问网站;即使用户以同样的用户名与密码在每个网站上注册时,虽然可以在避免用户名与密码的忘记和混淆方面有一定的作用,但是用户在某一段时间访问多个成员站点或在成员站点间跳转时,还是需要用户登录后,才能以会员的身份访问网站。这样不仅给用户带来了不便,而且成员网站为登录付出了性能的代价; b.如果所有的成员网站,能够实现单点登录,不仅在用户体验方面有所提高,而且真正体现了集团多个网站的兄弟性。通过这种有机结合,能更好地体现公司大平台,大渠道的理念。同时,这样做也利于成员网站的相互促进与相互宣传。 正是出于上面的两点,单点登录系统的开发是必须的,是迫在眉睫的。1.3定义 单点登录系统提供所有成员网站的“单一登录”入口。本系统的实质是含有身份验证状态的变量, 在各个成员网站间共用。单点登录系统,包括认证服务器(称Passport服务器),成员网站服务器。 会员:用户通过Passport服务器注册成功后,就具有了会员身份。 单一登录:会员第一次访问某个成员网站时,需要提供用户名与密码,一旦通过Passport服务器的身份验证, 该会员在一定的时间内,访问任何成员网站都不需要再次登录。 Cookie验证票:含有身份验证状态的变量。由Passport服务器生成,票含有用户名,签发日期时间, 过期日期时间和用户其它数据。
单点登录技术方案
xxxx集团 单点登录技术方案
目录 1. xxxx集团系统建设现状 (4) 1.1. Web应用系统 (4) 1.2. C/S应用系统 (4) 1.3. SSL VPN系统 (4) 2. xxxx集团单点登录系统需求 (5) 2.1. 一站式登录需求 (5) 3. SSO(单点登录)技术简介 (6) 3.1. 修改应用程序SSO方案 (6) 3.2. 即插即用SSO方案 (7) 3.3. 两种SSO方案比较 (7) 3.4. 惠普SSO (7) 3.4.1. 惠普SSO开发背景 (7) 3.4.2. 惠普SSO的功能 (8) 3.4.3. 惠普SSO的特点 (9) 3.4.4. 惠普SSO结构 (10) 4. xxxx集团单点登录技术方案 (11) 4.1. 应用系统中部署惠普SSO单点登录 (11) 4.1.1. 解决全局的单点登录 (12) 4.1.2. 应用系统的整合 (12) 4.1.3. 用户如何过渡到使用单点登录 (13) 4.1.4. 管理员部署业务系统单点登录功能 (14) 4.1.5. 建立高扩展、高容错单点登录环境 (15) 4.1.6. 建立稳定、安全、高速网络环境 (15) 4.2. 定制工作 (16) 4.2.1. SSL VPN结合 (16)
4.2.2. 密码同步 (16) 5. 项目实施进度 (17) 5.1. 基本安装配置 (17) 5.2. 配置认证脚本 (17) 5.3. 总体进度 (17) 6. 硬件清单 (19) 7. 软件清单 (20)
1.xxxx集团系统建设现状 xxxx集团有限责任公司(以下简称集团公司)管理和运营省内11个民用机场,以及20多个关联企业(全资子公司、控股企业、参股企业)。现有的信息系统主要有生产运营系统和管理信息系统,其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等,管理信息系统主要有财务系统、OA 系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。 各信息系统都有独立的用户组织体系,采用“用户名+密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题:1、终端用户需要记住多个用户名和密码;2、终端用户需要登录不同的信息系统以获取信息;3、系统管理员难以应付对用户的管理;4、难以实施系统使用安全方面的管理措施。 1.1.Web应用系统 xxxx集团现有的Web应用系统包括:办公自动化系统(OA)、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、或者购买的商业软件。每个应用系统都有自己的用户管理机制和用户认证机制,彼此独立。每个应用系统用户名、口令可能各不相同。 1.2.C/S应用系统 xxxx集团目前的C/S应用只有一个:财务系统,金蝶K3财务系统。 1.3.SSL VPN系统 xxxx集团有一套SSL VPN系统,集团局域网之外的用户(包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等)是通过SSL VPN 系统进入集团局域网的,通过SSL VPN系统进入集团局域网访问的系统包括:OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网站等。用户经过SSL VPN系统进入集团局域网需要经过身份认证。
项目概要设计说明书
XX公司 概要设计说明书模板(2014年)
目录 第1 章......................... 简介1 1.1 编写目的 (1) 1.2 文档的控制 (1) 1.3 文档的审批 (1) 1.4 项目干系人 (2) 2.1 业务发展方向 (2) 2.2 当前组织结构 (2) 2.3 当前IT 环境 (3) 2.4 标准约定 (3) 第3 章................... 探索方案和方法3 3.1项目定义............... (3) 3.2系统上下文............. (3) 3.3主题模型............... (4) 3.4功能性需求列表......... (5) 第2 章.................. 业务和需要的理解
3.5 非功能性需求列表 ..................... 8 3.6 用例图 (10) 10 4.1 应用架构概况图 ..................... 10 4.2 架构决策 ........................ 11 4.3 架构部件(组件)模型图 .................. 13 4.4 系统运行部署图 ..................... 13 4.5 项目计划 .............. 错误! 4.6 项目的例外责任 ............ 错误! 4.7 项目依赖 .............. 错误! 4.8 风险和规避 .............. 错误! 4.9 问题和假设 .............. 错误! 4.10 假设条件 .............. 错误! 第5章 .................... 16 5.1 服务级别标准 ....................... 16 5.2 服务资源及规范 (16) 主要业务名词和术语定义 .................... 17 参考文献 . (17) 第4章 .................... 项目交付架构 未定义书签。 未定义书签。 未定义书签。 未定义书签。 未定义书签。 未定义书签。 运营支撑标准
CAS单点登录配置全过程
CAS配置全过程 软件工具: 1.cas-server-3.3.5-release.zip(CAS服务端) 2.cas-client- 3.1.10-release.zip(CAS客户端) 3.apache-tomcat-7.0.40 https://www.wendangku.net/doc/7b16922257.html,mons-dbcp-all-1.3-r699049.jar 5.mysql-connector-java-5.1.18-bin.jar 6.cas-server-jdbc-3.0.5-rc2.jar 写在前面的话 此配置是根据当前系统,当前的版本,仅供参考,如果有什么其他的问题可以一起研究。 第一节:先走通技术障碍 第一步:环境部署 1.在Tomcat 根目录下创建一个cas目录。 2.下载CAS服务器并解压,打开cas-server- 3.3.5\modules,将cas-server-webapp-3.3.5.war复制到刚刚在Tomcat创建的cas目录下,并重命名为ROOT.war 3.修改host文件(C:\Windows\System32\drivers\etc)添加 127.0.0.1 https://www.wendangku.net/doc/7b16922257.html, 注意:如果想在一台PC机上模拟这个单点登录,就必须域名重定向,如果是多台PC机,
可以不配置此项,下文有用到https://www.wendangku.net/doc/7b16922257.html,,可以用相应PC机的IP代替 4.修改Tomcat文件下的server.xml(apache-tomcat-7.0.40\conf\server.xml) 添加内容:
SSO 原理浅谈
SSO 原理浅谈 SSO 是一个非常大的主题,我对这个主题有着深深的感受,自从广州UserGroup 的论坛成立以来,无数网友都在尝试使用开源的CAS ,Kerberos 也提供另外一种方式的SSO ,即基于Windows 域的SSO ,还有就是从2005 年开始一直兴旺不衰的SAML 。 如果将这些免费的SSO 解决方案与商业的Tivoli 或Siteminder 或RSA Secure SSO 产品做对比,差距是存在的。毕竟,商业产品的安全性和用户体验都是无与伦比的,我们现在提到的SSO ,仅仅是Web SSO ,即Web-SSO 是体现在客户端;另外一种SSO 是桌面SSO ,例如,只需要作为Administrator 登录一次windows 2000 ,我便能够在使用MSN/QQ 的时候免去登录的环节( 注意,这不是用客户端软件的密码记忆功能) ,是一种代理用户输入密码的功能。因此,桌面SSO 是体现在OS 级别上。 今天,当我们提起SSO 的时候,我们通常是指Web SSO ,它的主要特点是,SSO 应用之间走Web 协议( 如HTTP/SSL) ,并且SSO 都只有一个登录入口。 简单的SSO 的体系中,会有下面三种角色: 1 ,User (多个) 2 ,Web 应用(多个) 3 ,SSO 认证中心(1 个) 虽然SSO 实现模式千奇百怪,但万变不离其宗: l Web 应用不处理User 的登录,否则就是多点登陆了,所有的登录都在SSO 认证中心进行。l SSO 认证中心通过一些方法来告诉Web 应用当前访问用户究竟是不是张三/ 李四。 l SSO 认证中心和所有的Web 应用建立一种信任关系,SSO 认证中心对用户身份正确性的判断会通过某种方法告之Web 应用,而且判断结果必须被Web 应用信任。 2. CAS 的基本原理 CAS(Central Authentication Service) 是Yale 大学发起的一个开源项目,据统计,大概每10 个采用开源构建Web SSO 的Java 项目,就有8 个使用CAS 。对这些统计,我虽然不以为然,但有一点可以肯定的是,CAS 是我认为最简单实效,而且足够安全的SSO 选择。 本节主要分析CAS 的安全性,以及为什么CAS 被这样设计,带着少许密码学的基础知识,我希望有助于读者对CAS 的协议有更深层次的理解。 2.1 CAS 的结构体系 从结构体系看,CAS 包含两部分: l CAS Server CAS Server 负责完成对用户的认证工作,CAS Server 需要独立部署,有不止一种CAS Server 的实现,Yale CAS Server 和ESUP CAS Server 都是很不错的选择。 CAS Server 会处理用户名/ 密码等凭证(Credentials) ,它可能会到数据库检索一条用户帐号信息,也可能在XML 文件中检索用户密码,对这种方式,CAS 均提供一种灵活但同一的接口/ 实现分离的方式,CAS 究竟是用何种认证方式,跟CAS 协议是分离的,也就是,这个认证的实现细节可以自己定制和扩展。 l CAS Client CAS Client 负责部署在客户端(注意,我是指Web 应用),原则上,CAS Client 的部署意味着,当有对本地Web 应用的受保护资源的访问请求,并且需要对请求方进行身份认
java实现简单的单点登录(4)
下面是登录模块DesktopSSOLoginModule的主体:login()方法。逻辑也是非常简单:先用Cookie来登陆,如果成功,则直接就进入系统,否则需要用户输入用户名和密码来登录系统。 public boolean login() throws LoginException{ try { if (Cookielogin()) return true; } catch (IOException ex) { ex.printStackTrace(); } if (passwordlogin()) return true; throw new FailedLoginException(); } 下面是Cookielogin()方法的实体,它的逻辑是:先从Cookie文件中获得相应的Cookie值,通过身份效验服务效验Cookie的有效性。如果cookie有效就算登录成功;如果不成功或Cookie不存在,用cookie登录就算失败。 public boolean Cookielogin() throws LoginException,IOException { String cookieValue=""; int cookieIndex =foundCookie(); if (cookieIndex<0) return false; else cookieValue = getCookieValue(cookieIndex); username = cookieAuth(cookieValue); if (! username.equals("failed")) { loginSuccess = true; return true; } return false; } 用用户名和密码登录的方法要复杂一些,通过Callback的机制和屏幕输入输出进行信息交互,完成用户登录信息的获取;获取信息以后通过userAuth方法来调用远端SSOAuth的服务来判定当前登录的有效性。 public boolean passwordlogin() throws LoginException { // // Since we need input from a user, we need a callback handler if (callbackHandler == null) {
单点登录SSO系统解决方案
单点登录SSO系统 解决方案 ***有限公司 20
文档信息版本历史
目录 1.概述 (5) 1.1.背景 (5) 1.2.目标 (5) 1.3.阅读对象 (5) 1.4.术语和缩略语 (5) 2.SSO概述 (6) 2.1.SSO规范 (6) 2.1.1.名称解释 (6) 3.SSO接口规范 (7) 3.1.SSO接口图 (7) 3.2.SSO接口清单 (7) 3.3.单点登录接口 (8) 3.3.1.登录 (8) 3.3.2.登录状态检查 (10) 3.3.3.用户信息获取 (11) 3.3.4.登录状态查询 (12) 3.3.5.单点登录使用场景 (12) 3.4.组织数据WS同步 (13) 3.4.1.接口说明 (13) 3.4.2.使用场景 (13) 3.4.3.字段说明 (13) 3.4.4.业务规则和逻辑 (14)
3.5.用户数据WS同步 (15) 3.5.1.接口说明 (15) 3.5.2.使用场景 (15) 3.5.3.字段说明 (15) 3.5.4.业务规则和逻辑 (16) 4.实施建议 (17) 4.1.SSO实施(基本认证) (17) 4.1.1.接入流程 (17) 4.1.2.接入准备 (18) 4.1.3.接收数据 (18) 4.1.4.登录状态检查方法 (18) 4.1.5.登录/检查登录状态成功—主体代码(Success URL)编写 (18) 4.1.6.登录失败处理 (19) 4.1.7.状态检查未登录处理 (19) 4.2.组织和用户接收 (19) 4.2.1.开发框架 (19) 4.2.2.开发过程 (19) 5.附录 (20) 5.1.SSO E RROR C ODE (20) 5.2.SSO T OKEN XML (20) 5.3.SSO用户信息 (20) 5.4.SSO获取用户信息失败的状态码 (20)
CAS认证实现单点登录
CAS认证实现单点登录 一.背景 有几个相对独立的java的web应用系统,各自有自己的登陆验证功能,用户在使用不同的系统的时候,需要登陆不同的系统。现在需要提供一个 统一的登陆/登出界面,而不修改各个系统原来的登陆验证机制。于是采用单点登录系统开源单点登录产品CAS。 随着新的业务网站不断的增加,用户在每个应用系统中都有独立的账号,这样就造成在访问不同的应用系统时,需要记录对应的用户名和密码,多 个用户名密码极易记混,如果忘记或记错了某一个业务网站的用户名或密码就无法进行登录,耽误工作,影响工作效率 允许用户一次性进行认证之后,就访问系统中不同的应用 二.原理 CAS 是一个独立的web 应用, 当前使用Java Servlets 实现,通过HTTPS 协议保证其数据的传输安全性。它通过三个Url 地址进行访问:登录Url、验证URL、注销URL。
三. CAS认证集成 要使用单点登录,需要部署CAS系统,CAS服务端可以直接部署在tomcat下运行,对于CAS服务端来说,所有要集成单点登录的web应用都是它的一个客户端,CAS有客户端jar包,客户端web应用需要引入CAS客户端的jar包,这样CAS系统的服务端和客户端web应用程序端才能通信。 客户端web应用程序的通过配置web.xml,添加CAS需要的各种过滤器,来实现和CAS服务器通信,用户信息验证工作在CAS 服务端统一完成,验证通过后,客户端web应用程序只需要补全自己的Session信息即可。 3.1部署CAS系统服务端 步骤1:准备好以下运行环境 jdk1.6+
tomcat6+ jdk与tomcat的下载、安装、配置在此略过。 步骤2:安装部署cas-server 到官网(https://www.wendangku.net/doc/7b16922257.html,/cas/cas-server-3.5.0-release.zip)下载cas-server-3.5.0-release.zip。解压缩以后,在其路 径 cas-server-3.5.0\modules 下面找到 cas-server-webapp-3.5.0.war,将其拷贝到 tomcat 的webapps 下,改名为 cas.war, 并修改 war 包中配置文件 cas.properties 里的 cas server name=cas 并启动 tomcat,启动后可在浏览器访 问 http://localhost:8080/cas/login
单点登录技术文档
济南时代智囊科技有限公司单点登录技术文档
单点登录技术文档
何伟民* 2010.6
1、 单点登录概述 、
单点登录的英文名称为 Single Sign-On,简写为 SSO,它是一个用户认证的过程,允许 用户一次性进行认证之后,就访问系统中不同的应用;而不需要访问每个应用时,都重新输 入密码。IBM 对 SSO 有一个形象的解释“单点登录、全网漫游” 。 SSO 将一个企业内部所有域中的用户登录和用户帐号管理集中到一起,SSO 的好处显 而易见: 1. 减少用户在不同系统中登录耗费的时间,减少用户登录出错的可能性 2. 实现安全的同时避免了处理和保存多套系统用户的认证信息 3. 减少了系统管理员增加、删除用户和修改用户权限的时间 4. 增加了安全性:系统管理员有了更好的方法管理用户,包括可以通过直接禁止和删除用 户来取消该用户对所有系统资源的访问权限 对于内部有多种应用系统的企业来说, 单点登录的效果是十分明显的。 很多国际上的企 业已经将单点登录作为系统设计的基本功能之一。
1.1 单点登录产品
商业 SSO 软件 专门的 SSO 商业软件 主要有:Netgrity 的 Siteminder,已经被 CA 收购。Novell 公司的 iChain。RSA 公 司的 ClearTrust 等。 门户产品供应商自己的 SSO 产品, 如:BEA 的 WLES,IBM 的 Tivoli Access Manager,Sun 公司的 identity Server, Oracle 公司的 OID 等。 上述商业软件一般适用于客户对 SSO 的需求很高,并且企业内部采用 Domino、SAP、 Sieble 等系统比较多的情况下。单点登录产品通常需要在应用软件中增加代理模块,而商业 SSO 产品主要针对大型软件制作了代码模块。 因此,商业 SSO 软件除了价格问题外,另一个重要问题就是对客户自己的应用系统支 持未必十分完善。
第1页
单点登录设计原理
https://www.wendangku.net/doc/7b16922257.html,/j2eeweiwei/article/details/2381332 单点登录设计原理 分类:权限控管Java 2008-05-04 13:12 244人阅读评论(0) 收藏举报 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 统一存储(UUMS)、分布授权: 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。
单点登录SSO的定义实现机制及优缺点
一、什么是单点登录S S O(S i n g l e S i g n-O n) SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 二、单点登录解决了什么问题 解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。 三、单点登录的技术实现机制 如下图所示: 当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候,就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行效验,检查ticket的合法性(4,6)。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。 从上图可以看出sso的实现技术点: 1)所有应用系统共享一个身份认证系统。 统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行效验,判断其有效性。 2)所有应用系统能够识别和提取ticket信息 要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。 关于统一身份认证机制:如下图 ?①用户请求访问业务系统。 ②业务系统在系统中查看是否有对应请求的有效令牌,若有,则读取对应的身份信息,允许其访问;若没有或令牌无效,则把用户重定向到统一身份认证平台,并携带业务系统地址,进入第③步。 ③在统一身份认证平台提供的页面中,用户输入身份凭证信息,平台验证此身份凭证信息,若有效,则生成一个有效的令牌给用户,进入第④步;若无效,则继续进行认证,直到认证成功或退出为止。 ④用户携带第③步获取的令牌,再次访问业务系统。 ⑤业务系统获取用户携带的令牌,提交到认证平台进行有效性检查和身份信息获取。 ⑥若令牌通过有效性检查,则认证平台会把令牌对应的用户身份信息返回给业务系统,业务系统把身份信息和有效令牌写入会话状态中,允许用户以此身份信息进行业务系统的各种操作;若令牌未通过有效性检查,则会再次重定向到认证平台,返回第③步。 通过统一身份认证平台获取的有效令牌,可以在各个业务系统之间实现应用漫游。 四、单点登录的优点
单点登录技术文档
单点登录技术文档 张昀* 2006.12 说明:本文档在我们最大努力范围之内确保其正确性、实效性和可观性,但并不代表所有的观点都是正确的,而仅代表个人看法。如发现不当之处,请多指教,谢谢! 另外,本文并不是给初学者看的。虽然我们尽可能把每个概念和操作步骤都说得比较明白,但是如果您对于Linux系统不是很熟的话,很多操作仍然可能存在困难。这种情况下我们建议您直接下载虚拟机安装试用,边实践边学习。 联系邮件:mypersonal1971@https://www.wendangku.net/doc/7b16922257.html,。 1、单点登录概述 单点登录的英文名称为Single Sign-On,简写为SSO,它是一个用户认证的过程,允许用户一次性进行认证之后,就访问系统中不同的应用;而不需要访问每个应用时,都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。 SSO将一个企业内部所有域中的用户登录和用户帐号管理集中到一起,SSO的好处显而易见: 1. 减少用户在不同系统中登录耗费的时间,减少用户登录出错的可能性 2. 实现安全的同时避免了处理和保存多套系统用户的认证信息 3. 减少了系统管理员增加、删除用户和修改用户权限的时间 4. 增加了安全性:系统管理员有了更好的方法管理用户,包括可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限 对于内部有多种应用系统的企业来说,单点登录的效果是十分明显的。很多国际上的企业已经将单点登录作为系统设计的基本功能之一。 1.1单点登录产品 商业SSO软件 ●专门的SSO商业软件 ?主要有:Netgrity的Siteminder,已经被CA收购。Novell 公司的iChain。RSA公 司的ClearTrust等。 ●门户产品供应商自己的SSO产品, ?如:BEA的WLES,IBM 的Tivoli Access Manager,Sun 公司的identity Server, Oracle公司的OID等。