單點登錄的原理
一、單點登錄的概念
單點登錄(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
較大的企業內部,一般都有很多的業務支持系統為其提供相應的管理和IT服 務。
例如:
財務系統為財務人員提供財務的管理、計算和報表服務;
人事系統為人事部門提供全公司人員的維護服務;
各種業務系統為公司內部不同的業務提供不同的 服務等等。
這些系統的目的都是讓計算機來進行復雜繁瑣的計算工作,來替代人力的手工勞動,提高工作效率和質量。
這些不同的系統往往是在不同的時期建設起來 的,運行在不同的平臺上;也許是由不同廠商開發,使用了各種不同的技術和標準。
如果舉例說國內一著名的IT公司(名字隱去),內部共有60多個業務系統,這些系統包括兩個不同版本的SAP的ERP系統,12個不同類型和版本的數據庫系統,8個不同類型和版本的操作系統,以及使用了3種不同的防火墻技術,還有數十種互相不能兼容的協議和標準,這種情況其實非常普遍。每一個應用系統在運行了數年以后,都會成為不可替換的企業IT架構的一部分,如下圖所示。
企業應用集成可以在不同層面上進行:
例如:
在數據存儲層面上的“數據大集中”,
在傳輸層面上的“通用數據交換平臺”,
在應用層面上的“業務流程整合”,
和用 戶界面上的“通用企業門戶”等等。
事實上,還用一個層面上的集成變得越來越重要,那就是“身份認證”的整合,也就是“單點登錄”。
通常來說,每個單獨的系統都會有自己的安全體系和身份認證系統。
整合以前,進入每個系統都需要進行登錄,這樣的局面不僅給管理上帶來了很大的困難,在安全方面也埋下了重大的隱患。下面是一些著名的調查公司顯示的統計數據:
用戶每天平均 16 分鐘花在身份驗證任務上 - 資料來源: IDS
頻繁的 IT 用戶平均有 21 個密碼 - 資料來源: NTA Monitor Password Survey
49% 的人寫下了其密碼,而 67% 的人很少改變它們
每 79 秒出現一起身份被竊事件 - 資料來源:National Small Business Travel Assoc
全球欺騙損失每年約 12B - 資料來源:Comm Fraud Control Assoc
到 2007 年,身份管理市場將成倍增長至 $4.5B - 資料來源:IDS
使用“單點登錄”整合后,只需要登錄一次就可以進入多個系統,而不需要重新登錄,這不僅僅帶來了更好的用戶體驗,更重要的是降低了安全的風險和管理的消耗。請看下面的統計數據:
提高 IT 效率:對于每 1000 個受管用戶,每用戶可節省$70K
幫助臺呼叫減少至少1/3,對于 10K 員工的公司,每年可以節省每用戶 $75,或者合計 $648K
生產力提高:每個新員工可節省 $1K,每個老員工可節省 $350 資料來源:Giga
ROI 回報:7.5 到 13 個月 資料來源:Gartner
另外,使用“單點登錄”還是SOA時代的需求之一。
在面向服務的架構中,服務和服務之間,程序和程序之間的通訊大量存在,服務之間的安全認證是SOA應用的難點之一,應此建立“單點登錄”的系統體系能夠大大簡化SOA的安全問題,提高服務之間的合作效率。
二、單點登錄的運行原理
單點登錄的機制其實是比較簡單的,用一個現實中的例子做比較。
某公園內部有許多獨立的景點,游客可以在各個景點門口單獨買票。
對于需要游玩所有的景點的游客,這種買票方式很不方便,需要在每個景點門口排隊買票,錢包拿 進拿出的,容易丟失,很不安全。
于是絕大多數游客選擇在大門口買一張通票(也叫套票),就可以玩遍所有的景點而不需要重新再買票。
他們只需要在每個景點門 口出示一下剛才買的套票就能夠被允許進入每個獨立的景點。
單點登錄的機制也一樣,如下圖所示
根據用戶提供的登錄信息,認證系統進行身份效驗,如果通過效驗,應該返回給用戶一個認證的憑據--ticket(2);
用戶再訪問別的應用的時候(3,5)就會將這個ticket帶上,作為自己認證的憑據,應用系統接受到請求之后會把ticket送到認證系統進行效驗,檢查ticket的合法性(4,6)。
如果通過效驗,用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。
從上面的視圖可以看出,要實現SSO,需要以下主要的功能:
所有應用系統共享一個身份認證系統。統一的認證系統是SSO的前提之一。認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較,對用戶進行登錄認證;認證成功后,認證系統應該生成統一的認證標志(ticket),返還給用戶。
另外,認證系統還應該對ticket進行效驗,判斷其有效性。所有應用系統能夠識別和提取ticket信息,要實現SSO的功能,讓用戶只登錄一次,就必須讓應用系統能夠識別已經登錄過的用戶。
應用系統應該能對ticket進行識別和提取,通過與認證系統的通訊,能自動判斷當前用戶是否登錄過,從而完成單點登錄的功能。
上面的功能只是一個非常簡單的SSO架構,在現實情況下的SSO有著更加復雜的結構。有兩點需要指出的是:
單一的用戶信息數據庫并不是必須的,有許多系統不能將所有的用戶信息都集中存儲,應該允許用戶信息放置在不同的存儲中。事實上,只要統一認證系統,統一ticket的產生和校驗,無論用戶信息存儲在什么地方,都能實現單點登錄。
隨著互聯網的高速發展,WEB應用幾乎統治了絕大部分的軟件應用系統,因此WEB-SSO是SSO應用當中最流行的。
WEB-SSO有其自身的特點和優勢,實現起來比較簡單易用。很多商業軟件和開源軟件都有對WEB-SSO的實現。
其中值得一提的是OpenSSO (https://opensso.dev.java.net),為用Java實現WEB-SSO提供架構指南和服務指南,為用戶自己來實現WEB-SSO提供了理論的依據和實現的方法。
為什么說WEB-SSO比較容易實現呢?這是有WEB應用自身的特點決定的。
眾所周知,Web協議(也就是HTTP)是一個無狀態的協議。一個Web應用由很多個Web頁面組成,每個頁面都有唯一的URL來定義。用戶在瀏覽器的地址欄輸入頁面的URL,瀏覽器就會向Web Server去發送請求。
如下圖,瀏覽器向Web服務器發送了兩個請求,申請了兩個頁面。這兩個頁面的請求是分別使用了兩個單獨的HTTP連接。所謂無狀態的協議也就是表現在這里,瀏覽器和Web服務器會在第一個請求完成以后關閉連接通道,在第二個請求的時候重新建立連接。Web服務器并不區分哪個請求來自哪個客戶端,對所有的請求都一視同仁,都是單獨的連接。
這樣的方式大大區別于傳統的(Client/Server)C/S結構,在那樣的應用中,客戶端和服務器端會建立一個長時間的專用的連接通道。
正是因為有了無狀態的特性,每個連接資源能夠很快被其他客戶端所重用,一臺Web服務器才能夠同時服務于成千上萬的客戶端。
Web-SSO完全可以利用Cookie來完成用戶登錄信息的保存,將瀏覽器中的Cookie和上文中的Ticket結合起來,完成SSO的功能。
為了完成一個簡單的SSO的功能,需要兩個部分的合作:
統一的身份認證服務。
修改Web應用,使得每個應用都通過這個統一的認證服務來進行身份效驗。
ps
web前端 網絡
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
相關文章
