產(chǎn)品培訓(xùn)sso實(shí)施_第1頁
產(chǎn)品培訓(xùn)sso實(shí)施_第2頁
產(chǎn)品培訓(xùn)sso實(shí)施_第3頁
產(chǎn)品培訓(xùn)sso實(shí)施_第4頁
產(chǎn)品培訓(xùn)sso實(shí)施_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

SSO實(shí)施培訓(xùn)普元軟件1SSO原理2SSO組件介紹3單點(diǎn)登錄集成4單點(diǎn)登出5練習(xí)SSO原理單點(diǎn)登錄比喻單點(diǎn)登錄原理單點(diǎn)登錄的英文名稱為SingleSign-On,簡寫為SSO,它是一個(gè)用戶認(rèn)證的過程,允許用戶一次性進(jìn)行認(rèn)證之后,能夠訪問不同系統(tǒng)上的相關(guān)應(yīng)用,并且在訪問每個(gè)應(yīng)用時(shí),不需要重新進(jìn)行用戶認(rèn)證。共享Cookie機(jī)制單點(diǎn)登錄原理

第一次登錄應(yīng)用服務(wù)器上的SSOClient攔截請(qǐng)求(serviceUrl)沒有session跳轉(zhuǎn)到登錄頁面(loginUrl?service=serviceUrl)SSOServer登錄認(rèn)證(deployerConfigContext.xml中配置),成功后:SSOServer記錄登錄應(yīng)用的serviceUrl和sessionIdSSOServer隨機(jī)生成Ticket,并帶Ticket重定向到應(yīng)用服務(wù)器上(serviceUrl?st=),并設(shè)置瀏覽器Cookie(TGC)應(yīng)用服務(wù)器上的SSOClient再次攔截請(qǐng)求,并向SSOServer驗(yàn)證Ticket有效,SSOServer將登錄用戶名返回給SSOClientSSOClient實(shí)現(xiàn)登錄用戶到應(yīng)用用戶轉(zhuǎn)換,以及session初始化等首次登錄成功單點(diǎn)登錄原理

登錄后第一次請(qǐng)求其它應(yīng)用應(yīng)用服務(wù)器上的SSOClient攔截請(qǐng)求(serviceUrl)沒有session跳轉(zhuǎn)到登錄請(qǐng)求(loginUrl?service=serviceUrl,帶TGCCookie)SSOServer判斷TGC有效,之后:SSOServer記錄登錄應(yīng)用的serviceUrl和sessionIdSSOServer隨機(jī)生成Ticket,并帶Ticket重定向到應(yīng)用服務(wù)器上(serviceUrl?st=)應(yīng)用服務(wù)器上的SSOClient再次攔截請(qǐng)求,并向SSOServer驗(yàn)證Ticket有效,SSOServer將登錄用戶名返回給SSOClientSSOClient實(shí)現(xiàn)登錄用戶到應(yīng)用用戶轉(zhuǎn)換,以及session初始化等應(yīng)用自動(dòng)登錄成功SSO組件介紹SSO組件組成SSOServerSSOServer負(fù)責(zé)完成對(duì)用戶的認(rèn)證工作,需要獨(dú)立部署SSOClientSSOClient負(fù)責(zé)將客戶端應(yīng)用的受保護(hù)資源的訪問請(qǐng)求重定向到SSOServer進(jìn)行認(rèn)證,部署在需要進(jìn)行單點(diǎn)登錄集成的客戶端應(yīng)用上SSOProxySSOProxy提供代理登錄和代理訪問功能,代理其它被集成應(yīng)用完成SSO過程,并支持登錄頁面的快速客戶化定制安裝SSOServer參考文檔:SSO安裝指南章節(jié):3.2安裝SSO服務(wù)器安裝方法:方法1:安裝Platform時(shí)選擇安裝SSOServer組件方法2:解壓sso-server.war,拷貝到應(yīng)用服務(wù)器webapps目錄下登錄入口

驗(yàn)證方式:

登錄頁面輸入任意相同的用戶名和密碼跳轉(zhuǎn)到登錄成功頁面認(rèn)識(shí)SSOServer—認(rèn)證模式參考文檔:SSO集成指南參考章節(jié):5.1認(rèn)證模式配置關(guān)鍵配置文檔:sso-server/WEB-INF/deployerConfigContext.xml

認(rèn)證模式(<propertyname="authenticationHandlers">)簡單模式(SimpleTestUsernamePasswordAuthenticationHandler)輸入任意相同的用戶名和密碼即可通過認(rèn)證SQL模式(QueryDatabaseAuthenticationHandler)通過連接數(shù)據(jù)源和配置的SQL進(jìn)行校驗(yàn)緩存模式(CacheUsernamePasswordAuthenticationHandler)通過連接的數(shù)據(jù)源和配置的SQL緩存用戶信息(用戶名和密碼),在緩存中進(jìn)行校驗(yàn)其它支持的模式:LDAP/AD域/WebService認(rèn)證等擴(kuò)展機(jī)制:認(rèn)證機(jī)制可擴(kuò)展(參考章節(jié):6.1擴(kuò)展認(rèn)證接口)密碼加密算法可擴(kuò)展(參考章節(jié):6.2實(shí)現(xiàn)加密接口)SSOServer實(shí)踐—SQL認(rèn)證模式實(shí)踐環(huán)境要求:安裝SSOServer,并能夠正常連接用戶信息數(shù)據(jù)庫表關(guān)鍵配置文檔:sso-server/WEB-INF/deployerConfigContext.xml步驟:打開deployerConfigContext.xml,屏蔽以下配置:<bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler"/>打開以下配置,并根據(jù)用戶信息表設(shè)置紅色字體的SQL內(nèi)容(系統(tǒng)默認(rèn)采用Coframe默認(rèn)的用戶信息表cap_user進(jìn)行用戶校驗(yàn)):<beanclass="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"> <propertyname="sql"value="selectpasswordfromcap_userwhereuser_id=?"/> <propertyname="dataSource"ref="dataSource"/> <propertyname="passwordEncoder"ref="CoframePasswordCrypto"/> </bean>根據(jù)用戶信息表所在數(shù)據(jù)源,修改以下配置,保證數(shù)據(jù)源連接正確:<beanclass="org.springframework.jdbc.datasource.DriverManagerDataSource"id="dataSource”>

重啟SSOServer,訪問在登錄頁面輸入正確的用戶名和密碼(如:coframe默認(rèn)的用戶名為:sysadmin,密碼:000000),登錄后跳轉(zhuǎn)到登錄成功頁面認(rèn)識(shí)SSOClient安裝SSOClient:根據(jù)被集成的客戶端應(yīng)用類型不同,提供不同的SSOClient,將SSOClient部署到客戶端應(yīng)用下Java應(yīng)用默認(rèn)的SSOClient為:sso-client-java-7.0.2.jar,將其拷貝到Java應(yīng)用的WEB-INF/lib目錄下SSOClient需要做什么:攔截訪問應(yīng)用的請(qǐng)求,轉(zhuǎn)發(fā)給SSOServer將SSO登錄用戶轉(zhuǎn)換為應(yīng)用的用戶,并進(jìn)行應(yīng)用初始化(通常是用戶和權(quán)限初始化)攔截訪問應(yīng)用的登出請(qǐng)求,執(zhí)行應(yīng)用注銷功能認(rèn)識(shí)SSOProxy安裝SSOProxy:目前只支持將某個(gè)Java應(yīng)用作為代理應(yīng)用,將sso-proxy-7.0.2.jar拷貝到代理應(yīng)用的WEB-INF/lib目錄下一般以Portal應(yīng)用作為代理應(yīng)用SSOProxy做了什么:攔截登錄請(qǐng)求(一般為xxx.login),代理其它應(yīng)用登錄提供登錄頁面(login.jsp)供客戶進(jìn)行快速定制提供代理訪問功能(參考SSO單點(diǎn)登錄集成章節(jié):7.10配置代理訪問)SSO安全機(jī)制參考文檔:SSO集成指南參考章節(jié):2.2單點(diǎn)登錄安全性傳輸安全性安全套接字層(SecureSocketsLayer,SSL)提供了身份驗(yàn)證、保密性和數(shù)據(jù)完整性的加密技術(shù),是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,能夠確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不會(huì)被截取及竊聽。SSO通過SSL傳輸協(xié)議來建立Web瀏覽器、應(yīng)用程序與Web服務(wù)器之間的安全通信通道。票據(jù)安全性TGC安全性:通過SSL方式安全傳輸、有自己的存活周期Ticket安全性:只能使用一次、隨機(jī)生成、在一段時(shí)間內(nèi)失效單點(diǎn)登錄集成單點(diǎn)登錄集成方式單點(diǎn)登錄集成方案—可改造遺留系統(tǒng)18用戶名sysadmindavidmarry單點(diǎn)登錄用戶名業(yè)務(wù)系統(tǒng)用戶名sysadminadmindavidwangxmmarryzhangmy用戶名adminwangxmzhangmy業(yè)務(wù)系統(tǒng)權(quán)限數(shù)據(jù)庫單點(diǎn)登錄用戶信息用戶映射表業(yè)務(wù)系統(tǒng)用戶信息1.單點(diǎn)登錄用戶sysadmin2.通過用戶映射表獲取業(yè)務(wù)系統(tǒng)用戶admin業(yè)務(wù)系統(tǒng)3.獲取用戶admin權(quán)限單點(diǎn)登錄集成方案—模擬登錄(不可改造遺留系統(tǒng))19用戶名sysadmindavidmarry單點(diǎn)登錄用戶名業(yè)務(wù)系統(tǒng)用戶名業(yè)務(wù)系統(tǒng)密碼sysadminadmin000000davidwangxm111111marryzhangmy222222用戶名密碼admin000000wangxm111111zhangmy222222單點(diǎn)登錄用戶信息用戶映射表業(yè)務(wù)系統(tǒng)用戶信息1.單點(diǎn)登錄用戶sysadmin2.通過用戶映射表獲取業(yè)務(wù)系統(tǒng)用戶名和密碼,調(diào)用原有系統(tǒng)登錄入口業(yè)務(wù)系統(tǒng)單點(diǎn)登錄實(shí)踐—Java應(yīng)用客戶端配置參考文檔:SSO集成指南參考章節(jié):7.1J2EE客戶端配置說明配置說明:在被集成應(yīng)用的web.xml中增加SSOFilter配置,參見文檔內(nèi)容特別注意:每個(gè)Java客戶端應(yīng)用中配置的loginUrl、validateUrl必須保持一致,對(duì)應(yīng)的同一主機(jī)地址要么使用域名,要么使用固定IP,不能有的用域名,有的用固定IP如果配置了代理登錄,被代理應(yīng)用中l(wèi)oginUrl對(duì)應(yīng)的主機(jī)地址必須與代理應(yīng)用中serverName的配置保持一致單點(diǎn)登錄實(shí)踐—集成Java應(yīng)用參考文檔:SSO集成指南參考章節(jié):7.3集成J2EE應(yīng)用集成步驟:部署SSOClient:將sso-client-java-7.0.2.jar拷貝到Java應(yīng)用的WEB-INF/lib目錄下實(shí)現(xiàn)初始化接口并部署實(shí)現(xiàn)類將示例源碼sso-demo-client-simple-src.zip中項(xiàng)目ponents.sso.demo.client.custom導(dǎo)入Eclipse修改項(xiàng)目構(gòu)件路徑,添加項(xiàng)目lib下的jar修改DefaultContextInit類中的用戶轉(zhuǎn)換(getTranslatorUser)和初始化方法(initContext)將實(shí)現(xiàn)類導(dǎo)出jar,部署在Java應(yīng)用的WEB-INF/lib目錄下修改Java應(yīng)用下的web.xml,添加SSOFilterinitContextClass配置為:com.primeton.sso.init.DefaultContextInit特別注意:getTranslatorUser方法是將SSO用戶轉(zhuǎn)換為應(yīng)用用戶,一般通過建立SSO用戶和應(yīng)用用戶的用戶映射表的方式進(jìn)行轉(zhuǎn)換單點(diǎn)登錄實(shí)踐—配置代理登錄應(yīng)用參考文檔:SSO集成指南參考章節(jié):7.4配置代理登錄應(yīng)用配置步驟:部署SSOProxy:將sso-proxy-7.0.2.zip中的login目錄拷貝到代理登錄應(yīng)用的目錄下將sso-proxy-7.0.2.zip中的lib下的jar拷貝到代理登錄應(yīng)用的WEB-INF/lib目錄下將sso-proxy-7.0.2.zip中的LoginProxyConfig目錄拷貝到代理登錄應(yīng)用的\WEB-INF目錄下修改代理登錄應(yīng)用的web.xml:修改loginUrl配置增加

filterExclusion配置增加loginProxy的servlet配置修改被代理應(yīng)用的web.xml:修改loginUrl配置單點(diǎn)登錄實(shí)踐—定制登錄頁面參考文檔:SSO集成指南參考章節(jié):8.2定制登錄頁面定制說明:登錄頁面:sso-proxy-7.0.2.zip中/login/login.jsp,代理應(yīng)用下/login/login.jsp單點(diǎn)登出單點(diǎn)登出原理清除TGCCookie:SSOServer接收到登出(logout)請(qǐng)求后,會(huì)檢測用戶的TGCCookie,把對(duì)應(yīng)的session清除SSOServer請(qǐng)求客戶端應(yīng)用執(zhí)行登出SSOServer會(huì)找到所有通過該TGCsso登錄的應(yīng)用服務(wù)器URL提交請(qǐng)求(應(yīng)用第一次登錄時(shí)請(qǐng)求的URL),向應(yīng)用服務(wù)器發(fā)送該請(qǐng)求,包含一個(gè)參數(shù)logoutRequest客戶端應(yīng)用執(zhí)行登出所有收到帶logoutRequest參數(shù)請(qǐng)求的應(yīng)用服務(wù)器會(huì)解析這個(gè)參數(shù),取得sessionId,根據(jù)這個(gè)Id取得session后,把session刪除,從而實(shí)現(xiàn)單點(diǎn)登出單點(diǎn)登出實(shí)踐未配置代理應(yīng)用的情況下,單點(diǎn)登出入口:配置了代理應(yīng)用后,單點(diǎn)登出入口:{代理應(yīng)用名}/sso.login?SSOLOGOUT=true特別注意:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論