單點登陸解決方案

本文格式為Word版，下載可任意編輯——單點登陸解決方案

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機構(gòu)中的廣泛應(yīng)用,好多機構(gòu)單位已經(jīng)擁有了各種各樣的應(yīng)用系統(tǒng),如OA辦公自動化系統(tǒng)、HR人力資源管理系統(tǒng)、財務(wù)系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)、企業(yè)ERP系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學(xué)校一卡通系統(tǒng)、以及各種業(yè)務(wù)應(yīng)用系統(tǒng)。但用戶要想享受到這些應(yīng)用系統(tǒng)帶來的諸多好處,就需要登錄到大量不同的應(yīng)用系統(tǒng)中,而每個系統(tǒng)都要求用戶遵循其獨立的身份認證安全策略,譬如要求輸入用戶ID和口令。用戶所使用的應(yīng)用

單點登錄解決方案

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機構(gòu)中的廣泛應(yīng)用，好多機構(gòu)單位已經(jīng)擁有了各種各樣的應(yīng)用系統(tǒng)，如OA辦公自動化系統(tǒng)、HR人力資源管理系統(tǒng)、財務(wù)系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)、企業(yè)ERP系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學(xué)校一卡通系統(tǒng)、以及各種業(yè)務(wù)應(yīng)用系統(tǒng)。

但用戶要想享受到這些應(yīng)用系統(tǒng)帶來的諸多好處，就需要登錄到大量不同的應(yīng)用系統(tǒng)中，而每個系統(tǒng)都要求用戶遵循其獨立的身份認證安全策略，譬如要求輸入用戶ID和口令。用戶所使用的應(yīng)用系統(tǒng)越多，登錄時出錯的可能性就會越大，受到非法截獲和破壞的可能性也會大大增加，系統(tǒng)的安全性就會相應(yīng)降低；而假使用戶忘掉了口令，不能正確的登錄系統(tǒng)，就需要請求管理員的幫助，而且只能在重新獲得口令之前等待，造成了系統(tǒng)和安全管理資源的不必要的開銷，降低了系統(tǒng)的使用效率。有時，用戶為避免這種難堪狀況的出現(xiàn)，也為記明白登錄信息，尋常會采用簡化用戶名、密碼，或者在多個系統(tǒng)中使用一致的口令，或者干脆將密碼記錄在筆記本上的做法，而這些都是會危及企業(yè)信息安全的幾種不良的習(xí)慣。

此外，尋常狀況下，各個應(yīng)用系統(tǒng)都存在自己獨立的用戶信息數(shù)據(jù)庫和授權(quán)管理機制，故而如何實現(xiàn)中央用戶目錄數(shù)據(jù)、門戶用戶數(shù)據(jù)與各應(yīng)用系統(tǒng)用戶數(shù)據(jù)之間的用戶數(shù)據(jù)同步和登錄帳號/密碼的對照，也是信息化建設(shè)面臨的重要挑戰(zhàn)之一。

正是基于上述安全風(fēng)險和挑戰(zhàn)，門戶平臺CenGRP提供了一站式單點登錄(SSO，SingleSign-On)功能，即通過用戶的一次性鑒別登錄，可獲得需訪問系統(tǒng)和應(yīng)用軟件的授權(quán)，在此條件下，用戶可對所有被授權(quán)的各類信息資源進行無縫的訪問，管理員無需修改或干擾用戶登錄就能便利的實施希望得到的安全控制，實現(xiàn)“一次登錄、隨處訪問/全網(wǎng)漫游〞；從而提高用戶的工作效率，減少操作時間，降低用戶安全管理的繁雜度，并提高信息系統(tǒng)整體的安全性。

通過單點登錄：

z從用戶角度講，能及時的訪問到所需的資源，提高了生產(chǎn)效率；避免了

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機構(gòu)中的廣泛應(yīng)用,好多機構(gòu)單位已經(jīng)擁有了各種各樣的應(yīng)用系統(tǒng),如OA辦公自動化系統(tǒng)、HR人力資源管理系統(tǒng)、財務(wù)系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)、企業(yè)ERP系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學(xué)校一卡通系統(tǒng)、以及各種業(yè)務(wù)應(yīng)用系統(tǒng)。但用戶要想享受到這些應(yīng)用系統(tǒng)帶來的諸多好處,就需要登錄到大量不同的應(yīng)用系統(tǒng)中,而每個系統(tǒng)都要求用戶遵循其獨立的身份認證安全策略,譬如要求輸入用戶ID和口令。用戶所使用的應(yīng)用

記憶多個用戶名、密碼，加強了用戶體驗；

z從安全角度講，單點登錄為其他應(yīng)用系統(tǒng)提供了功能更強的身份認證機

制，從而提高了整體的安全性；

z從管理角度看，單點登錄有助于減少口令重復(fù)設(shè)置請求，減少了系統(tǒng)

維護人員的工作量。

針對一個組織內(nèi)部多種異構(gòu)系統(tǒng)應(yīng)用整合的要求，CenGRP門戶平臺開發(fā)了自己的單點登錄系統(tǒng)，在設(shè)計和實現(xiàn)中，該系統(tǒng)力求達到以下目標(biāo)：

1、采用開放架構(gòu)，兼容主流技術(shù)，保證系統(tǒng)整合能力。

2、提供系統(tǒng)平臺的配置和開發(fā)能力，降低實施難度，保護用戶投資。

1、單點登錄模型

CenGRPSSO提供一種基于動態(tài)票據(jù)或令牌的單點登錄解決方案，如下圖所示：

CenGRP采用獨立的認證模塊和用戶管理；與授權(quán)機制相結(jié)合；實現(xiàn)了一次性簽發(fā)的機制，并且簽發(fā)的票據(jù)都有一個有效期；支持雙向的身份認證，既服務(wù)器可以通過身份認證確認客戶方的身份，而客戶假使需要也可以反向認證服務(wù)方的身份；支持分布式網(wǎng)絡(luò)環(huán)境下的認證機制，通過交換跨域密鑰來實現(xiàn)。

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機構(gòu)中的廣泛應(yīng)用,好多機構(gòu)單位已經(jīng)擁有了各種各樣的應(yīng)用系統(tǒng),如OA辦公自動化系統(tǒng)、HR人力資源管理系統(tǒng)、財務(wù)系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)、企業(yè)ERP系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學(xué)校一卡通系統(tǒng)、以及各種業(yè)務(wù)應(yīng)用系統(tǒng)。但用戶要想享受到這些應(yīng)用系統(tǒng)帶來的諸多好處,就需要登錄到大量不同的應(yīng)用系統(tǒng)中,而每個系統(tǒng)都要求用戶遵循其獨立的身份認證安全策略,譬如要求輸入用戶ID和口令。用戶所使用的應(yīng)用

2、單點登錄技術(shù)體系結(jié)構(gòu)

CenGRP的SSO單點登錄技術(shù)體系結(jié)構(gòu)如下圖所示：

其單點登錄的過程為：1、瀏覽器請求門戶CenGRPLogin頁面；

2、CenGRP把SSOServer的LOGIN頁面導(dǎo)向瀏覽器，同時把門戶的授權(quán)頁面作為SERVICE處理。

3、用戶輸入身份進行認證，SSOServer調(diào)用認證模塊處理，到LDAP目錄進行用戶身份、密碼驗證；SSOServer設(shè)置Cookie給瀏覽器。

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機構(gòu)中的廣泛應(yīng)用,好多機構(gòu)單位已經(jīng)擁有了各種各樣的應(yīng)用系統(tǒng),如OA辦公自動化系統(tǒng)、HR人力資源管理系統(tǒng)、財務(wù)系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)、企業(yè)ERP系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學(xué)校一卡通系統(tǒng)、以及各種業(yè)務(wù)應(yīng)用系統(tǒng)。但用戶要想享受到這些應(yīng)用系統(tǒng)帶來的諸多好處,就需要登錄到大量不同的應(yīng)用系統(tǒng)中,而每個系統(tǒng)都要求用戶遵循其獨立的身份認證安全策略,譬如要求輸入用戶ID和口令。用戶所使用的應(yīng)用

4、SSOServer把登錄成功或失敗頁面導(dǎo)向瀏覽器，同時把票據(jù)ST送給瀏覽器。

5、瀏覽器用SEVICE和票據(jù)(ST)通過HTTPS請求門戶。

6、門戶用ST到SSOServer進行是否登錄的驗證。

7、SSOServer進行ST的驗證，以及返回登錄狀態(tài)、登錄ID，和服務(wù)器票據(jù)；門戶激活授權(quán)模塊進行授權(quán)，這個步驟直到LOGOUT才重復(fù)。

8、用戶通過SSOPORTLET訪問外部應(yīng)用服務(wù)，首先要用服務(wù)器票據(jù)和外部SERVICE通過HTTPS訪問SSOServer，進行驗證。

9、SSOServer驗證服務(wù)器票據(jù)并返回訪問外部應(yīng)用令牌PT。

10、SSOPORTLET訪問外部應(yīng)用服務(wù)帶著PT。

11、外部應(yīng)用服務(wù)的認證、日志過濾器使用PT通過HTTPS到SSOServer進行驗證請求是否服務(wù)合法。

12、SSOServer把門戶用戶、應(yīng)用的用戶信息返回外部應(yīng)用服務(wù)的認證、日志過濾器。門戶的認證過程和外部應(yīng)用的認證過程記錄日志。

3、單點登錄的用戶帳號信息管理

CenGRPSSOServer將用戶UserID與動態(tài)令牌之間的對照關(guān)系長駐內(nèi)存中。CenGRP門戶存儲著用戶UserID與所要單點登錄的已有應(yīng)用系統(tǒng)的LoginID之間的對照關(guān)系，其存儲數(shù)據(jù)結(jié)構(gòu)至少包括：

z用戶UserID

z應(yīng)用系統(tǒng)AppID

z應(yīng)用系統(tǒng)的AppUserID、口令A(yù)ppPswd

單點登錄時，CenGRPSSOServer根據(jù)用戶的UserID，所請求資源的所屬的應(yīng)用系統(tǒng)AppID，來確定所要登錄的應(yīng)用系統(tǒng)的AppUserID，通過動態(tài)票據(jù)驗證明現(xiàn)對應(yīng)用系統(tǒng)的單點登錄。

注：除非所要單點登錄的應(yīng)用系統(tǒng)的程序規(guī)律必需要求傳入應(yīng)用系統(tǒng)LoginID對應(yīng)的密碼，需要在SSOServer中對應(yīng)用系統(tǒng)LoginID對應(yīng)的密碼進行加密存儲；否則，在SSOServer中則不需要存儲應(yīng)用系統(tǒng)LoginID對應(yīng)的密碼，

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機構(gòu)中的廣泛應(yīng)用,好多機構(gòu)單位已經(jīng)擁有了各種各樣的應(yīng)用系統(tǒng),如OA辦公自動化系統(tǒng)、HR人力資源管理系統(tǒng)、財務(wù)系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)、企業(yè)ERP系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學(xué)校一卡通系統(tǒng)、以及各種業(yè)務(wù)應(yīng)用系統(tǒng)。但用戶要想享受到這些應(yīng)用系統(tǒng)帶來的諸多好處,就需要登錄到大量不同的應(yīng)用系統(tǒng)中,而每個系統(tǒng)都要求用戶遵循其獨立的身份認證安全策略,譬如要求輸入用戶ID和口令。用戶所使用的應(yīng)用

同樣能保證系統(tǒng)的嚴格安全認證機制。

4、單點登錄功能

CenGRP門戶平臺的“一次單點登錄〞，可獲得需訪問系統(tǒng)和應(yīng)用軟件的授權(quán)，在統(tǒng)一用戶管理(UUM)的基礎(chǔ)上提供的多服務(wù)統(tǒng)一登錄管理模塊，通過建立CenGRP企業(yè)門戶平臺系統(tǒng)用戶和后臺信息系統(tǒng)用戶的映射關(guān)系，實現(xiàn)基于門戶“用戶數(shù)據(jù)庫〞的多項服務(wù)統(tǒng)一登錄管理。

CenGRP企業(yè)門戶平臺SSO功能如下：

z身份驗證：身份驗證是權(quán)限控制的基礎(chǔ)。CenGRP門戶平臺SSO提供了對

客戶和服務(wù)方雙向身份的驗證，可采用的是SSL的握手協(xié)議與Kerberos身份認證協(xié)議相結(jié)合的方式或PKI證書認證方式。在用戶身份通過驗證后，就可以獲得系統(tǒng)頒發(fā)的令牌，依據(jù)此令牌，用戶能夠訪問受SSO保護的應(yīng)用系統(tǒng)。

z集中的權(quán)限控制：集中的權(quán)限控制擺脫了以往繁雜繁瑣的ACL權(quán)限分派

方式，實現(xiàn)了基于角色的權(quán)限管理模型，可以根據(jù)用戶身份和現(xiàn)有應(yīng)用資源建立對應(yīng)的訪問權(quán)限。用戶登錄門戶后，SSO會自動賦予其相應(yīng)的權(quán)限，用戶就可以順利的訪問權(quán)限范圍內(nèi)的各種應(yīng)用系統(tǒng)和資源。

z會話管理：提供對用戶訪問的會話(Session)管理功能。保證每個登錄用

戶，都會保存一個與其唯一對應(yīng)的會話；在其退出系統(tǒng)后，會話會被系統(tǒng)取消，以防止其進入其他受保護的系統(tǒng)。對于門戶和平臺內(nèi)部的應(yīng)用如CMS內(nèi)容管理，利用與門戶共享會話(Session)功能，實現(xiàn)對CMS內(nèi)容管理的自動登錄。

z令牌管理：負責(zé)為登錄用戶生成令牌及令牌注銷。用戶身份經(jīng)過驗證后，

系統(tǒng)會賦予其相應(yīng)的令牌，持有該令牌，用戶就可以通過SSO過濾器的攔截正確的進入后臺應(yīng)用系統(tǒng)。用戶被注銷后，令牌也會隨之失效，以防止其再次進入系統(tǒng)。

zSSO過濾器:安裝于受保護應(yīng)用系統(tǒng)的服務(wù)器上，負責(zé)對用戶的訪問進行

攔截，并協(xié)調(diào)SSOServer對用戶身份進行驗證。支持各種WebApplication類型，如JSP,Servlet,ASP,,.NSF,PHP,CGI

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機構(gòu)中的廣泛應(yīng)用,好多機構(gòu)單位已經(jīng)擁有了各種各樣的應(yīng)用系統(tǒng),如OA辦公自動化系統(tǒng)、HR人力資源管理系統(tǒng)、財務(wù)系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)、企業(yè)ERP系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學(xué)校一卡通系統(tǒng)、以及各種業(yè)務(wù)應(yīng)用系統(tǒng)。但用戶要想享受到這些應(yīng)用系統(tǒng)帶來的諸多好處,就需要登錄到大量不同的應(yīng)用系統(tǒng)中,而每個系統(tǒng)都要求用戶遵循其獨立的身份認證安全策略,譬如要求輸入用戶ID和口令。用戶所使用的應(yīng)用

等多種應(yīng)用類型。提供在應(yīng)用系統(tǒng)本地將SingleSignOn的用戶帳號映射成該應(yīng)用系統(tǒng)用戶賬號并由安裝在該應(yīng)用系統(tǒng)服務(wù)器端的SSO過濾器實現(xiàn)自動登錄的方法；SSO過濾器能夠自動解密令牌中的用戶名、口令，在應(yīng)用系統(tǒng)本地自動模仿瀏覽器，基于通用的Basic用戶密碼方式、Form表單方式；X.509兼容證書Digest方式等驗證方式自動接駁登錄到后臺各應(yīng)用系統(tǒng)。

zSSO應(yīng)用資源管理：對受到SSO保護的應(yīng)用資源進行管理。通過其可以

便利的將需要保護的應(yīng)用或信息資源參與到SSO的體系中，由SSO進行統(tǒng)一的單點登錄。此外，SSO應(yīng)用資源管理可定義應(yīng)用系統(tǒng)是否需要單點登錄：

用戶可以自己定義哪些應(yīng)用或資源參與單點登錄；哪些不參與單點

登錄；

對于不參與單點登錄的應(yīng)用系統(tǒng)，用戶在訪問這些應(yīng)用系統(tǒng)時，SSO

過濾器將不會攔截訪問請求，而是直接使用應(yīng)用系統(tǒng)的登錄和身份

驗證功能。

z數(shù)據(jù)保密和數(shù)據(jù)完整性：可根據(jù)用戶需求選用多種密碼算法，以防止網(wǎng)

上傳輸?shù)臄?shù)據(jù)被修改、刪除、插入、替換或重發(fā)，保證合法用戶接收和使用數(shù)據(jù)的真實性。

z完整的日志審計：由于通過CenGRP門戶平臺SSO，用戶必需從唯一的入

口通過單一的身份來登錄所有應(yīng)用系統(tǒng)，因此在用戶的登錄入口處可以集中記錄用戶的訪問狀況，并為每個受保護的應(yīng)用和資源提供詳細的日志和審計信息。這種審計記錄是基于用戶身份的，它可以確鑿地記錄用戶對資源訪問的詳細狀況，為抗否認性提供了依據(jù)，并可實現(xiàn)完善的審計服務(wù)和管理。

CenGRP門戶平臺通過可使用戶一次登錄自動訪問所有授權(quán)的企業(yè)級應(yīng)用軟件系統(tǒng)，無需記憶多種登錄過程、ID或口令，從而提高整體安全性。這個強有力的解決方案能即時訪問最終用戶執(zhí)行任務(wù)所需的資源，從而提高生產(chǎn)效率。

同時，由于CenGRP門戶平臺SSO采用的是集中用戶映射的方式和需要集

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機構(gòu)中的廣泛應(yīng)用,好多機構(gòu)單位已經(jīng)擁有了各種各樣的應(yīng)用系統(tǒng),如OA辦公自動化系統(tǒng)、HR人力資源管理系統(tǒng)、財務(wù)系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)、企業(yè)ERP系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學(xué)校一卡通系統(tǒng)、以及各種業(yè)務(wù)應(yīng)用系統(tǒng)。但用戶要想享受到這些應(yīng)用系統(tǒng)帶來的諸多好處,就需要登錄到大量不同的應(yīng)用系統(tǒng)中,而每個系統(tǒng)都要求用戶遵循其獨立的身份認證安全策略,譬如要求輸入用戶ID和口令。用戶所使用的應(yīng)用

成的后臺信息系統(tǒng)交互，因此對原有系統(tǒng)的改動要求較低，通過簡單的配置就可以解決大多數(shù)問題，定制開發(fā)和部署的難度和工作量大大降低，最大限度地儉約了整個系統(tǒng)實施的時間和成本。

此外，CenGRP門戶平臺SSO廣泛采用了業(yè)界主流和開放的技術(shù)標(biāo)準和設(shè)計模式，提供開放的、平臺級的應(yīng)用編程接口和管理工具，使得系統(tǒng)在集成新的應(yīng)用和采用新的運行平臺時，具有良好的可擴展性。

4、單點登錄過濾器接口規(guī)范

SSO過濾器安裝于受保護應(yīng)用系統(tǒng)的服務(wù)器上，負責(zé)對用戶的訪問進行攔截，并協(xié)調(diào)SSOSe