单点登陆解决方案

更新时间：2023-05-26 00:37:02 阅读量：实用文档文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

单点登陆解决方案推荐度：
相关推荐

随着信息技术和网络技术在组织机构中的广泛应用,很多机构单位已经拥有了各种各样的应用系统,如OA办公自动化系统、HR人力资源管理系统、财务系统、CRM客户关系管理系统、企业ERP系统、政府网上审批系统、学校一卡通系统、以及各种业务应用系统。但用户要想享受到这些应用系统带来的诸多好处,就需要登录到许多不同的应用系统中,而每个系统都要求用户遵循其独立的身份认证安全策略,比如要求输入用户ID和口令。用户所使用的应用

单点登录解决方案

随着信息技术和网络技术在组织机构中的广泛应用，很多机构单位已经拥有了各种各样的应用系统，如OA办公自动化系统、HR人力资源管理系统、财务系统、CRM客户关系管理系统、企业ERP系统、政府网上审批系统、学校一卡通系统、以及各种业务应用系统。

但用户要想享受到这些应用系统带来的诸多好处，就需要登录到许多不同的应用系统中，而每个系统都要求用户遵循其独立的身份认证安全策略，比如要求输入用户ID和口令。用户所使用的应用系统越多，登录时出错的可能性就会越大，受到非法截获和破坏的可能性也会大大增加，系统的安全性就会相应降低；而如果用户忘记了口令，不能正确的登录系统，就需要请求管理员的帮助，而且只能在重新获得口令之前等待，造成了系统和安全管理资源的不必要的开销，降低了系统的使用效率。有时，用户为避免这种尴尬情况的出现，也为记清楚登录信息，通常会采用简化用户名、密码，或者在多个系统中使用相同的口令，或者干脆将密码记录在笔记本上的做法，而这些都是会危及企业信息安全的几种不良的习惯。

此外，通常情况下，各个应用系统都存在自己独立的用户信息数据库和授权管理机制，故而如何实现中央用户目录数据、门户用户数据与各应用系统用户数据之间的用户数据同步和登录帐号/密码的对照，也是信息化建设面临的重要挑战之一。

正是基于上述安全风险和挑战，门户平台CenGRP提供了一站式单点登录(SSO，Single Sign-On)功能，即通过用户的一次性鉴别登录，可获得需访问系统和应用软件的授权，在此条件下，用户可对所有被授权的各类信息资源进行无缝的访问，管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制，实现“一次登录、随处访问/全网漫游”；从而提高用户的工作效率，减少操作时间，降低用户安全管理的复杂度，并提高信息系统整体的安全性。

通过单点登录：

z 从用户角度讲，能及时的访问到所需的资源，提高了生产效率；避免了

记忆多个用户名、密码，增强了用户体验；

z 从安全角度讲，单点登录为其他应用系统提供了功能更强的身份认证机

制，从而提高了整体的安全性；

z 从管理角度看，单点登录有助于减少口令重复设置请求，减少了系统

维护人员的工作量。

针对一个组织内部多种异构系统应用整合的要求，CenGRP门户平台开发了自己的单点登录系统，在设计和实现中，该系统力求达到以下目标：

1、采用开放架构，兼容主流技术，保证系统整合能力。

2、提供系统平台的配置和开发能力，降低实施难度，保护用户投资。

1、单点登录模型

CenGRP SSO提供一种基于动态票据或令牌的单点登录解决方案，如下图所示：

CenGRP采用独立的认证模块和用户管理；与授权机制相结合；实现了一次性签发的机制，并且签发的票据都有一个有效期；支持双向的身份认证，既服务器可以通过身份认证确认客户方的身份，而客户如果需要也可以反向认证服务方的身份；支持分布式网络环境下的认证机制，通过交换"跨域密钥"来实现。

2、单点登录技术体系结构

CenGRP的SSO单点登录技术体系结构如下图所示：

其单点登录的过程为： 1、浏览器请求门户CenGRP Login页面；

2、CenGRP把SSO Server的LOGIN页面导向浏览器，同时把门户的授权页面作为SERVICE处理。

3、用户输入身份进行认证， SSO Server调用认证模块处理，到LDAP目录进行用户身份、密码验证；SSO Server设置Cookie给浏览器。

4、SSO Server把登录成功或失败页面导向浏览器，同时把票据ST 送给浏览器。

5、浏览器用SEVICE 和票据 (ST) 通过HTTPS请求门户。

6、门户用ST到SSO Server进行是否登录的验证。

7、SSO Server进行ST的验证，以及返回登录状态、登录ID，和服务器票据；门户激活授权模块进行授权，这个步骤直到LOGOUT才重复。

8、用户通过SSO PORTLET访问外部应用服务，首先要用服务器票据和外部SERVICE通过HTTPS访问SSO Server，进行验证。

9、SSO Server验证服务器票据并返回访问外部应用令牌PT。

10、SSO PORTLET访问外部应用服务带着PT。

11、外部应用服务的认证、日志过滤器使用PT通过HTTPS到SSO Server进行验证请求是否服务合法。

12、SSO Server把门户用户、应用的用户信息返回外部应用服务的认证、日志过滤器。门户的认证过程和外部应用的认证过程记录日志。

3、单点登录的用户帐号信息管理

CenGRP SSO Server将用户UserID与动态令牌之间的对照关系长驻内存中。 CenGRP门户存储着用户UserID与所要单点登录的已有应用系统的LoginID之间的对照关系，其存储数据结构至少包括：

z 用户UserID

z 应用系统AppID

z 应用系统的AppUserID、口令AppPswd

单点登录时，CenGRP SSO Server根据用户的UserID，所请求资源的所属的应用系统AppID，来确定所要登录的应用系统的AppUserID，通过动态票据验证实现对应用系统的单点登录。

注：除非所要单点登录的应用系统的程序逻辑必须要求传入应用系统LoginID对应的密码，需要在SSO Server中对应用系统LoginID对应的密码进行加密存储；否则，在SSO Server中则不需要存储应用系统LoginID对应的密码，

同样能保证系统的严格安全认证机制。

4、单点登录功能

CenGRP门户平台的“一次单点登录”，可获得需访问系统和应用软件的授权，在统一用户管理(UUM)的基础上提供的多服务统一登录管理模块，通过建立CenGRP企业门户平台系统用户和后台信息系统用户的映射关系，实现基于门户“用户数据库”的多项服务统一登录管理。

CenGRP企业门户平台 SSO功能如下：

z 身份验证：身份验证是权限控制的基础。CenGRP门户平台 SSO提供了对

客户和服务方双向身份的验证，可采用的是SSL的握手协议与Kerberos身份认证协议相结合的方式或PKI证书认证方式。在用户身份通过验证后，就可以获得系统颁发的令牌，凭借此令牌，用户能够访问受SSO保护的应用系统。

z 集中的权限控制：集中的权限控制摆脱了以往复杂繁琐的ACL权限分配

方式，实现了基于角色的权限管理模型，可以根据用户身份和现有应用资源建立对应的访问权限。用户登录门户后，SSO会自动赋予其相应的权限，用户就可以顺利的访问权限范围内的各种应用系统和资源。

z 会话管理：提供对用户访问的会话(Session)管理功能。保证每个登录用

户，都会保留一个与其唯一对应的会话；在其退出系统后，会话会被系统取消，以防止其进入其他受保护的系统。对于门户和平台内部的应用如CMS内容管理，利用与门户共享会话(Session)功能，实现对CMS内容管理的自动登录。

z 令牌管理：负责为登录用户生成令牌及令牌注销。用户身份经过验证后，

系统会赋予其相应的令牌，持有该令牌，用户就可以通过SSO 过滤器的拦截正确的进入后台应用系统。用户被注销后，令牌也会随之失效，以防止其再次进入系统。

z SSO过滤器:安装于受保护应用系统的服务器上，负责对用户的访问进行

拦截，并协调SSO Server对用户身份进行验证。支持各种Web Application类型，如JSP, Servlet, ASP, , .NSF, PHP, CGI

等多种应用类型。提供在应用系统本地将Single Sign On的用户帐号映射成该应用系统用户账号并由安装在该应用系统服务器端的SSO过滤器实现自动登录的方法；SSO过滤器能够自动解密令牌中的用户名、口令，在应用系统本地自动模仿浏览器，基于通用的Basic用户密码方式、Form表单方式；X.509兼容证书Digest方式等验证方式自动接驳登录到后台各应用系统。

z SSO应用资源管理：对受到SSO保护的应用资源进行管理。通过其可以

方便的将需要保护的应用或信息资源加入到SSO的体系中，由SSO进行统一的单点登录。此外，SSO应用资源管理可定义应用系统是否需要单点登录：

用户可以自己定义哪些应用或资源参与单点登录；哪些不参与单点

对于不参与单点登录的应用系统，用户在访问这些应用系统时，SSO

过滤器将不会拦截访问请求，而是直接使用应用系统的登录和身份

验证功能。

z 数据保密和数据完整性：可根据用户需求选用多种密码算法，以防止网

上传输的数据被修改、删除、插入、替换或重发，保证合法用户接收和使用数据的真实性。

z 完整的日志审计：因为通过CenGRP门户平台 SSO，用户必须从唯一的入

口通过单一的身份来登录所有应用系统，因此在用户的登录入口处可以集中记录用户的访问情况，并为每个受保护的应用和资源提供详细的日志和审计信息。这种审计记录是基于用户身份的，它可以准确地记录用户对资源访问的详细情况，为抗否认性提供了依据，并可实现完善的审计服务和管理。

CenGRP门户平台通过可使用户一次登录自动访问所有授权的企业级应用软件系统，无需记忆多种登录过程、ID或口令，从而提高整体安全性。这个强有力的解决方案能即时访问最终用户执行任务所需的资源，从而提高生产效率。

同时，由于CenGRP门户平台 SSO采用的是集中用户映射的方式和需要集

成的后台信息系统交互，因此对原有系统的改动要求较低，通过简单的配置就可以解决大多数问题，定制开发和部署的难度和工作量大大降低，最大限度地节约了整个系统实施的时间和成本。

此外，CenGRP门户平台 SSO广泛采用了业界主流和开放的技术标准和设计模式，提供开放的、平台级的应用编程接口和管理工具，使得系统在集成新的应用和采用新的运行平台时，具有良好的可扩展性。

4、单点登录过滤器接口规范

SSO过滤器安装于受保护应用系统的服务器上，负责对用户的访问进行拦截，并协调SSO Server对用户身份进行验证。支持各种Web Application类型，如JSP, Servlet, ASP, , .NSF, PHP, CGI等多种应用类型。

SSO过滤器的使用非常简单，将以下类似示例代码加入被单点登录的应用程序页面代码开始部分即可，如下所示： <%@ page contentType="text/html; charset=GB2312" %>

<%@page import="javax.servlet.http.*,javax.servlet.*,org.ssogroup.ssoframework.util.*" %>

<% HttpSession session1 = request.getSession();

User appUser = (User)session1.getAttribute(org.ssogroup.ssoframework.client.filter.AppSSOFilter. SSO_FILTER_APPUSER);

RequestDispatcher dispatcher = request.getRequestDispatcher ("/page/test.jsp?userName=" + appUser.getUserName() + "&password="+appUser.getUserPassword());

dispatcher.include(request,response);

本文来源：https://www.bwwdw.com/article/gsx4.html

相关文章：

正在阅读：

单点登陆解决方案05-26

属相查询02-18

个性心理学复习资料01-29

2014年护士执业资格考试考前押题卷实践能力09-17

上一篇：P2P债权转让知多少下一篇：创新主体对研发全要素生产率的影响实证研究