資源描述:
《eos及開源單點(diǎn)登錄產(chǎn)品cas集成指南》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�����。
1、EOS與開源單點(diǎn)登錄產(chǎn)品cas集成指南(2008-11-0407:34:14)轉(zhuǎn)載標(biāo)簽:soassoit分類:安全發(fā)布時(shí)間:2008年10月06日?作者:majs最近我正在思考SOA與單點(diǎn)登錄問題��,今天看到一篇文章���,覺得不錯(cuò)�,特轉(zhuǎn)在這里,方便以后查看��。介紹cassso產(chǎn)品的原理、安裝���、調(diào)試和與EOS應(yīng)用的集成1總體解決方案1.1?單點(diǎn)登錄概述???單點(diǎn)登錄的英文名稱為SingleSign-On��,簡(jiǎn)寫為SSO�,它是一個(gè)用戶認(rèn)證的過程,允許用戶一次性進(jìn)行認(rèn)證之后���,就訪問系統(tǒng)中不同的應(yīng)用�����;而不需要訪問每個(gè)應(yīng)用時(shí),都重新輸入密碼�。IBM對(duì)SSO有一個(gè)形
2����、象的解釋“單點(diǎn)登錄��、全網(wǎng)漫游”���。?SSO將一個(gè)企業(yè)內(nèi)部所有域中的用戶登錄和用戶帳號(hào)管理集中到一起��,SSO的好處顯而易見:?1.減少用戶在不同系統(tǒng)中登錄耗費(fèi)的時(shí)間�����,減少用戶登錄出錯(cuò)的可能性?2.實(shí)現(xiàn)安全的同時(shí)避免了處理和保存多套系統(tǒng)用戶的認(rèn)證信息?3.減少了系統(tǒng)管理員增加、刪除用戶和修改用戶權(quán)限的時(shí)間?4.增加了安全性:系統(tǒng)管理員有了更好的方法管理用戶,包括可以通過直接禁止和刪除用戶來取消該用戶對(duì)所有系統(tǒng)資源的訪問權(quán)限?對(duì)于內(nèi)部有多種應(yīng)用系統(tǒng)的企業(yè)來說�����,單點(diǎn)登錄的效果是十分明顯的�。很多國(guó)際上的企業(yè)已經(jīng)將單點(diǎn)登錄作為系統(tǒng)設(shè)計(jì)的基本功能之一1.2??
3、?單點(diǎn)登錄產(chǎn)品商業(yè)sso軟件??專門的SSO商業(yè)軟件??主要有:Netgrity的Siteminder��,已經(jīng)被CA收購(gòu)����。Novell公司的iChain�����。RSA公司的ClearTrust等�����。門戶產(chǎn)品供應(yīng)商自己的SSO產(chǎn)品,如:BEA的WLES����,IBM的TivoliAccessManager�,Sun公司的identityServer�,Oracle公司的OID等����。??上述商業(yè)軟件一般適用于客戶對(duì)SSO的需求很高�����,并且企業(yè)內(nèi)部采用Domino����、SAP���、Sieble等系統(tǒng)比較多的情況下����。單點(diǎn)登錄產(chǎn)品通常需要在應(yīng)用軟件中增加代理模塊���,而商業(yè)SSO產(chǎn)品主要針
4�、對(duì)大型軟件制作了代碼模塊�����。因此,商業(yè)SSO軟件除了價(jià)格問題外����,另一個(gè)重要問題就是對(duì)客戶自己的應(yīng)用系統(tǒng)支持未必十分完善����。開源sso軟件???Opensso,網(wǎng)址https://opensso.dev.java.net/��,OpenSSO基于SunJavaSystemAccessManager��,是Sun公司支持的一個(gè)開源的SSO項(xiàng)目�����。OpenSSO體系結(jié)構(gòu)設(shè)計(jì)合理�����,功能比較強(qiáng)大���。缺點(diǎn)是客戶端支持不夠廣泛�,似乎只是對(duì)基于J2EE的應(yīng)用支持的比較好。???josso����,網(wǎng)址http://www.josso.org/,這是另一個(gè)Java寫的單點(diǎn)登錄產(chǎn)品���,通常
5�、認(rèn)為比OpenSSO更成熟一些����。JOSSO支持的客戶端包括Java��,PHP和ASP��。???CAS����,網(wǎng)址http://www.ja-sig.org/products/cas/,這是耶魯大學(xué)開發(fā)的單點(diǎn)登錄產(chǎn)品�,也是我們最后選定的單點(diǎn)登錄產(chǎn)品。CAS的優(yōu)點(diǎn)很多�����,例如設(shè)計(jì)理念先進(jìn)����、體系結(jié)構(gòu)合理、配置簡(jiǎn)單���、客戶端支持廣泛、技術(shù)成熟等等�����。以后我們還要仔細(xì)介紹。?????經(jīng)過廣泛分析和比較�,最后我們選定CAS作為我們的單點(diǎn)登錄產(chǎn)品。我們確信這是目前能夠找到的最好的開源單點(diǎn)登錄產(chǎn)品��。1.3單點(diǎn)登錄實(shí)現(xiàn)機(jī)制???SSO的實(shí)現(xiàn)機(jī)制不盡相同�,大體分為Cookie機(jī)制
6、和Session機(jī)制兩大類�����。???WebLogic通過Session共享認(rèn)證信息���。Session是一種服務(wù)器端機(jī)制��,當(dāng)客戶端訪問服務(wù)器時(shí)��,服務(wù)器為客戶端創(chuàng)建一個(gè)惟一的SessionID��,以使在整個(gè)交互過程中始終保持狀態(tài)�,而交互的信息則可由應(yīng)用自行指定�,因此用Session方式實(shí)現(xiàn)SSO��,不能在多個(gè)瀏覽器之間實(shí)現(xiàn)單點(diǎn)登錄����,但卻可以跨域。???WebSphere通過Cookie記錄認(rèn)證信息。Cookie是一種客戶端機(jī)制��,它存儲(chǔ)的內(nèi)容主要包括:名字�����、值�、過期時(shí)間、路徑和域��,路徑與域合在一起就構(gòu)成了Cookie的作用范圍�,因此用Cookie方式可實(shí)現(xiàn)S
7、SO�����,但域名必須相同。???目前大部分SSO產(chǎn)品采用的是Cookie機(jī)制����,CAS也是如此。???注意�,這種機(jī)制要求實(shí)現(xiàn)單點(diǎn)登錄的應(yīng)用��,其域名必須是相同的���。例如:???????????a.chinacreator.com,b.chinacreator.com就可以經(jīng)過配置后實(shí)現(xiàn)SSO���。???以CAS為例,使用Cookie實(shí)現(xiàn)單點(diǎn)登錄的原理圖如圖1所示���。??????首先�,單點(diǎn)登錄分為“服務(wù)端”和“客戶端”����。服務(wù)端就是單點(diǎn)登錄服務(wù)器��,而客戶端通常是“函數(shù)庫(kù)”或者“插件”。需要使用單點(diǎn)登錄的應(yīng)用程序,需要把客戶端插件安裝到自己的系統(tǒng)中�,或者將客戶端函數(shù)
8�、庫(kù)包括在代碼中。單點(diǎn)登錄的客戶端通常替換了原來應(yīng)用程序的認(rèn)證部分的代碼。??某個(gè)應(yīng)用程序首先要發(fā)起第1次認(rèn)證��。大部分情況下����,應(yīng)用程序中嵌入的客戶端會(huì)把
