單點(diǎn)登錄實(shí)現(xiàn)方式介紹

1、單點(diǎn)登錄實(shí)現(xiàn)方式介紹門(mén)戶系統(tǒng)提供單點(diǎn)登錄（SingleSignOnSSO覽持。單點(diǎn)登錄意味著用戶只需登錄一次，即可訪問(wèn)任何集成到門(mén)戶中的應(yīng)用系統(tǒng)。通過(guò)舊MTivoliAccessManagerfore-Busines的企業(yè)Web環(huán)境提供功能強(qiáng)大的單點(diǎn)登錄（SSQ功能。具體實(shí)現(xiàn)時(shí)，在企業(yè)內(nèi)部所有的Web應(yīng)用前放置一個(gè)WebSEAL所有用戶對(duì)后臺(tái)Web資源的訪問(wèn)都需要通過(guò)WebSEAL完成，WebSEALM以與所有的Web應(yīng)用進(jìn)行集成，可以和后臺(tái)的Web應(yīng)用建立連接，將用戶的登錄信息傳送給應(yīng)用，同時(shí)仍保持對(duì)用戶的透明。在使用舊MTivoliAccessManagerfore-Busines

2、7;寸，用戶需要在WebSEALk登錄一次，此后，用戶就可以通過(guò)WebSEAL訪問(wèn)有權(quán)訪問(wèn)的所有Web應(yīng)用。IBMTivoliAccessManagerfore-Busines生要提供三種實(shí)現(xiàn)單點(diǎn)登陸的方式，1）LTPAWebSphere和Domino提供基于cookie的輕量級(jí)第三方認(rèn)證機(jī)制（LTPALightweightThird-PartyAuthentication）,可以配置WebSEAL連接支持LTPA的應(yīng)用系統(tǒng)，并為客戶機(jī)提供單點(diǎn)登陸功能。當(dāng)用戶發(fā)出對(duì)WebSphere資源的請(qǐng)求時(shí)，必須首先向WebSEALU證。用戶認(rèn)證成功后，WebSEAL弋表用戶生成LTPAcookie。作為

3、WebSphere認(rèn)證標(biāo)記服務(wù)的LTPAcookie中包含用戶標(biāo)識(shí)、密鑰和標(biāo)記數(shù)據(jù)、緩沖區(qū)長(zhǎng)度以及到期信息等，這些信息使用WebSEALKWebSphere之間共享的受密碼保護(hù)的密鑰加密。WebSEAL®#求的HTTP頭中插入cookie,該請(qǐng)求通過(guò)連接發(fā)送到WebSphere,后臺(tái)的WebSphere服務(wù)器接收請(qǐng)求、解密cookie并基于cookie中提供的標(biāo)識(shí)信息來(lái)認(rèn)證用戶。如下圖所示：?jiǎn)吸c(diǎn)登錄一LTPAWebSphereApplicationS>tverLTPA勺認(rèn)證機(jī)制可以支持舊乂的三個(gè)主要產(chǎn)品(舊MTivoliAccessManagerfore-BusinessWeb

4、SpherePortakLotusDomino)之間的用戶認(rèn)證，針對(duì)606所的現(xiàn)狀，要求在和現(xiàn)有舊M產(chǎn)品進(jìn)行集成的時(shí)候，可以采用這種基于LTPA的認(rèn)證機(jī)制。2)Form-BasedSSO基于表單的單點(diǎn)登陸功能，允許WebSEAL#已認(rèn)證的TivoliAccessManagerfore-Business的用戶，透明地登陸到需要通過(guò)HTML表單認(rèn)證的后臺(tái)系統(tǒng)中，具體的登陸步驟可以參看下圖：jji11al客戶相出言伊:i肥注巨器m牌5立定.向值m升神；啟lii曲CjOUkmS6舟岫SEAL定,18佛百CCX#恒警條鬣的主工。j利前本9yttX；10fiw匕i.12應(yīng)里程小吐理酒上利用這種實(shí)現(xiàn)單點(diǎn)登陸

5、的方式，WebSEALf!要把用戶名和密碼提交給后臺(tái)的應(yīng)用系統(tǒng)來(lái)完成認(rèn)證工作，因此需要在TAMeb中，維護(hù)一套TAMeb用戶和后臺(tái)應(yīng)用系統(tǒng)中用戶名/密碼的對(duì)應(yīng)關(guān)系表，例如：TAMeb用戶：zhangsan應(yīng)用系統(tǒng)名用戶名密碼應(yīng)用系統(tǒng)AZhangsanqwe123應(yīng)用系統(tǒng)BZhangsqwe125應(yīng)用系統(tǒng)Czhang_sanasd1233） HTTPHeader利用這種認(rèn)證方式，WebSEALM以把經(jīng)過(guò)認(rèn)證的用戶身份信息（可以包括所有在inetOrgPerson對(duì)象類(lèi)中定義的用戶屬性）從用戶目錄中獲取到，通過(guò)HTTPHeader傳給后臺(tái)的應(yīng)用系統(tǒng)，后臺(tái)的應(yīng)用系統(tǒng)可以從HTTPHeade前把這些用

6、戶信息截取出來(lái)，通過(guò)一個(gè)屬性或者多個(gè)屬性來(lái)確認(rèn)用戶身份，從而實(shí)現(xiàn)單點(diǎn)登陸的功能。這種單點(diǎn)登陸的方式需要后臺(tái)應(yīng)用系統(tǒng)進(jìn)行相應(yīng)的修改，使它可以識(shí)別HTTPHeade用的用戶信息。以上三種方式中,HTTPHeader方式配置最為方便，可以優(yōu)先考慮，但前提是這種方式必須由原系統(tǒng)開(kāi)發(fā)商對(duì)后臺(tái)系統(tǒng)的登錄認(rèn)證機(jī)制進(jìn)行調(diào)整。Header方式的原理是(前提條件：用portal登陸的用戶名必須和后臺(tái)業(yè)務(wù)系統(tǒng)中的用戶名一致)WebSEA通過(guò)在HTTPHeader中插入用戶名信息來(lái)通知后臺(tái)業(yè)務(wù)系統(tǒng)，后臺(tái)業(yè)務(wù)系統(tǒng)必須要改造成為信任webseal服務(wù)器，對(duì)于webseal發(fā)來(lái)的請(qǐng)求，只要從header中取出用戶名信息即可

7、認(rèn)為是已經(jīng)認(rèn)證通過(guò)。由于后臺(tái)業(yè)務(wù)系統(tǒng)與WebSEA服務(wù)器的通訊并不會(huì)暴露在安全層以外，所以這種信任的安全性是受到防火墻等企業(yè)級(jí)安全機(jī)制的保護(hù)的。改造后臺(tái)業(yè)務(wù)系統(tǒng)的代碼：<%pagelanguage="java"import="java.util.*"pageEncoding="ISO-8859-1"%><%Stringpath=request.getContextPath();StringbasePath=request.getScheme()+":/"+request.getServerName

8、()+":"+request.getServerPort()+path+"/"%><%Stringportalname=""Stringportalip=""/本處定義的為某系統(tǒng)UID(即登錄名)Stringcuoauid=""Stringportalservername=""Stringvia=""java.util.Enumerationnames=request.getHeaderNames();request.getRemoteHost

9、();while(names.hasMoreElements()Stringname=(String)names.nextElement();System.out.println(name+“:<BR>"+request.getHeader(name)+"<BR><BR>");if(name.equals("iv-remote-address")portalip=request.getHeader(name);System.out.println("portalip:"+portalip)

10、;/本實(shí)例取某系統(tǒng)UIDif(name.equals("cuoauid")cuoauid=request.getHeader(name);System.out.println("OAsystemid:"+cuoauid);if(name.equals("iv_server_name")portalservername=request.getHeader(name);System.out.println("portalservername:"+portalservername);if(portalservername

11、.equals("default1-webseald-")if(portalname!=null)System.out.println("getuid:"+portalname);/注釋部分為業(yè)務(wù)系統(tǒng)驗(yàn)證事例/db.sql="selectuseridfromin_personwhereintranetnm='"+portalname+"'"/if(!db.execQuery()/out.println("您的信息在系統(tǒng)中不存在，請(qǐng)聯(lián)系信息技術(shù)部");/return;/)/i_co

12、unt=db.rowCount();/if(i_count!=1)/對(duì)于用戶信息有誤的，給出錯(cuò)誤提示。/out.println("您的信息在系統(tǒng)中存在錯(cuò)誤，請(qǐng)聯(lián)系信息技術(shù)部!”)；/return;/)/Stringid=db.getItem(1,1);/pubCookie.setCookie(response,"counter",id);/response.sendRedirect("inconstruct.jsp");elseSystem.out.println("登錄后才能使用系統(tǒng)，請(qǐng)您先登錄！")；%><!

13、DOCTYPEHTMLPUBLIC"-/W3C/DTDHTML4.01Transitional/EN"><html><head><basehref="<%=basePath%>"><title>MyJSP'index.jsp'startingpage</title><metahttp-equiv="pragma"content="no-cache”><metahttp-equiv="cache-contr

14、ol"content="no-cache”><metahttp-equiv="expires"content="0"><metahttp-equiv="keywords"content="keyword1,keyword2,keyword3”><metahttp-equiv="description"content="Thisismypage"><!-<linkrel="stylesheet"

15、type="text/css"href="styles.css">-></head><body>ThisismyJSPpage.<br></body></html>GSOf式配置較為復(fù)雜，而且需要單獨(dú)維護(hù)一套GSO勺用戶對(duì)照表（建議由TIM來(lái)維護(hù)）。優(yōu)點(diǎn)：是理論上大部分有獨(dú)立表單登錄界面的系統(tǒng)均可采用這種方式，適應(yīng)性較強(qiáng)，不需要對(duì)原后臺(tái)系統(tǒng)的登錄認(rèn)證機(jī)制進(jìn)行改造，但對(duì)于沒(méi)有獨(dú)立登錄界面和登錄url的系統(tǒng)或非標(biāo)準(zhǔn)表單認(rèn)證方式的系統(tǒng)不適用。例外情況:如果只是集成整個(gè)系統(tǒng)，即在門(mén)戶中只提供

16、一個(gè)系統(tǒng)鏈接，點(diǎn)擊后實(shí)現(xiàn)SSC0該系統(tǒng)的首頁(yè)，則可以沒(méi)有獨(dú)立登錄頁(yè)面的限制要求；相反，如果需要集成該系統(tǒng)的多個(gè)單個(gè)界面，即在門(mén)戶中提供多個(gè)鏈接，所有鏈接都可以點(diǎn)擊后直接SSO到相應(yīng)頁(yè)面，則必須檢查該系統(tǒng)是否有獨(dú)立的登錄頁(yè)。（檢查方式：直接輸入要訪問(wèn)的鏈接地址，系統(tǒng)出現(xiàn)登錄框，檢查瀏覽器的url是否改變?yōu)槟硞€(gè)惟一值，接著輸入用戶名密碼后，檢查系統(tǒng)能否跳轉(zhuǎn)到要訪問(wèn)的頁(yè)面。）。集成前，最好先提供相關(guān)的登錄頁(yè)面檢查，并確認(rèn)頁(yè)面中沒(méi)有驗(yàn)證碼等隨機(jī)信息。如果要集成的系統(tǒng)是舊M的標(biāo)準(zhǔn)應(yīng)用服務(wù)器平臺(tái)，如WebSpher邰臺(tái)、domino平臺(tái)，應(yīng)優(yōu)先考慮采用LTPAToken方式，配置簡(jiǎn)單，不需要單獨(dú)維護(hù)用戶的

17、密碼。比header方式安全性強(qiáng)。但也有一定的限制，需要使用統(tǒng)一的LDAPK置和用戶名稱(chēng)。最后，以上三種實(shí)現(xiàn)單點(diǎn)登陸的方式所能夠支持的應(yīng)用系統(tǒng)、優(yōu)缺點(diǎn)以及建議對(duì)比如下LTPAForm-BasedSSOHIIPHeader支持的應(yīng)用系統(tǒng)只能支持舊M的產(chǎn)品，例如：WebspherePortalServer>WebsphereApplicationServer（只限于使用Websphere本身的認(rèn)證機(jī)制）和Domino等可以支持各種使用表單登陸的Web應(yīng)用可以支持各種Web應(yīng)用優(yōu)點(diǎn)集成度極高，不需要額外修改不需要對(duì)后臺(tái)的應(yīng)用系統(tǒng)進(jìn)行修改集成度比較好缺點(diǎn)只能適用于舊M自己的產(chǎn)品，要求使用統(tǒng)一的L

18、DAP需要建立一個(gè)用戶關(guān)系對(duì)應(yīng)表；它維護(hù)了登陸到TAMeb的賬戶與其他后臺(tái)應(yīng)用系統(tǒng)中賬戶的對(duì)1、需要對(duì)后臺(tái)應(yīng)用系統(tǒng)的認(rèn)證模塊進(jìn)行修改。2、用戶在TAMeb中的用戶名最好和后臺(tái)應(yīng)用系應(yīng)關(guān)系，包括登陸后臺(tái)應(yīng)用系統(tǒng)的用戶名和密碼。必須要后獨(dú)立的登錄url和登陸頁(yè)統(tǒng)中的用戶名相同。建議對(duì)WebspherePortalServer和Domino使用這種方式進(jìn)行單點(diǎn)登陸對(duì)無(wú)法修改登陸頁(yè)面，或者用戶命名規(guī)范和我們這次完全/、同的應(yīng)用系統(tǒng)可以使用這種方式對(duì)于以后新建的應(yīng)用系統(tǒng)，以及可以修改登陸頁(yè)面，并且用戶命名規(guī)范符合我們要求的應(yīng)用系統(tǒng)可以使用這種方式4)應(yīng)用集成的頁(yè)面鏈接要求由于WebSEAL乍為安全的反向

19、代理服務(wù)器，所有的http(s)請(qǐng)求和響應(yīng)都要經(jīng)過(guò)它的過(guò)濾和處理,安全機(jī)制才能發(fā)揮作用。WebSEA©自動(dòng)地處理和轉(zhuǎn)換原有系統(tǒng)頁(yè)面中所出現(xiàn)的靜態(tài)URL以保證瀏覽器客戶端所出現(xiàn)的鏈接都指向WebSEAL>務(wù)器，而不是指向原本的后臺(tái)服務(wù)器。但是WebSEAL>務(wù)器不能處理在瀏覽器客戶端運(yùn)行的代碼(例如javascript和Applet等)，因?yàn)檫@部分代碼只有在瀏覽器上才會(huì)運(yùn)行，才有可能拼接出最終的重定向url,而這些都是作為有限復(fù)雜度的計(jì)算機(jī)程序的WebSEAL>務(wù)器所無(wú)法事先預(yù)料和截取的。因此為了可以保證WebSEALM境下原有應(yīng)用的正常運(yùn)行，需要有以下前提:靜態(tài)鏈接要求1、 頁(yè)面跳轉(zhuǎn)和資源的顯示都是通過(guò)靜