单点登录实现方介绍.doc

单点登录实现方式介绍 门户系统提供单点登录(Single Sign On，SSO)支持。单点登录意味着用户只需登录一次，即可访问任何集成到门户中的应用系统。 通过IBM Tivoli Access Manager for e-Business为企业Web环境提供功能强大的单点登录（SSO）功能。具体实现时，在企业内部所有的Web应用前放置一个WebSEAL，所有用户对后台Web资源的访问都需要通过WebSEAL来完成，WebSEAL可以与所有的Web应用进行集成，可以和后台的Web应用建立连接，将用户的登录信息传送给应用，同时仍保持对用户的透明。在使用IBM Tivoli Access Manager for e-Business时，用户需要在WebSEAL上登录一次，此后，用户就可以通过WebSEAL，访问有权访问的所有Web应用。 IBM Tivoli Access Manager for e-Business主要提供三种实现单点登陆的方式， LTPA WebSphere和Domino提供基于cookie的轻量级第三方认证机制（LTPA，Lightweight Third-Party Authentication），可以配置WebSEAL，连接支持LTPA的应用系统，并为客户机提供单点登陆功能。当用户发出对WebSphere资源的请求时，必须首先向WebSEAL认证。用户认证成功后，WebSEAL代表用户生成LTPA cookie。作为WebSphere认证标记服务的LTPA cookie中包含用户标识、密钥和标记数据、缓冲区长度以及到期信息等，这些信息使用WebSEAL和WebSphere之间共享的受密码保护的密钥加密。WebSEAL在请求的HTTP头中插入cookie，该请求通过连接发送到WebSphere，后台的WebSphere服务器接收请求、解密cookie并基于cookie中提供的标识信息来认证用户。如下图所示： LTPA的认证机制可以支持IBM的三个主要产品（IBM Tivoli Access Manager for e-Business、WebSphere Portal、Lotus Domino）之间的用户认证，针对606所的现状，要求在和现有IBM产品进行集成的时候，可以采用这种基于LTPA的认证机制。 Form-Based SSO 基于表单的单点登陆功能，允许WebSEAL将已认证的Tivoli Access Manager for e-Business的用户，透明地登陆到需要通过HTML表单认证的后台系统中，具体的登陆步骤可以参看下图： 利用这种实现单点登陆的方式，WebSEAL需要把用户名和密码提交给后台的应用系统来完成认证工作，因此需要在TAMeb中，维护一套TAMeb用户和后台应用系统中用户名/密码的对应关系表，例如： TAMeb用户：zhangsan 应用系统名 用户名 密码 应用系统A Zhangsan qwe123 应用系统B Zhangs qwe125 应用系统C zhang_san asd123 HTTP Header 利用这种认证方式，WebSEAL可以把经过认证的用户身份信息（可以包括所有在inetOrgPerson对象类中定义的用户属性）从用户目录中获取到，通过HTTP Header传给后台的应用系统，后台的应用系统可以从HTTP Header中把这些用户信息截取出来，通过一个属性或者多个属性来确认用户身份，从而实现单点登陆的功能。这种单点登陆的方式需要后台应用系统进行相应的修改，使它可以识别HTTP Header中的用户信息。 以上三种方式中，HTTP Header方式配置最为方便，可以优先考虑，但前提是这种方式必须由原系统开发商对后台系统的登录认证机制进行调整。 Header方式的原理是(前提条件：用portal登陆的用户名必须和后台业务系统中的用户名一致)WebSEAL通过在HTTP Header中插入用户名信息来通知后台业务系统，后台业务系统必须要改造成为信任webseal服务器，对于webseal发来的请求，只要从header中取出用户名信息即可认为是已经认证通过。由于后台业务系统与WebSEAL服务器的通讯并不会暴露在安全层以外，所以这种信任的安全性是受到防火墙等企业级安全机制的保护的。 改造后台业务系统的代码： %@ page language=java import=java.util.* pageEncoding=ISO-8859-1% % String path = request.getContextPath(); String basePath = request.getScheme()+://+request.getServerN