WebSphere环境下SSO.pdf

页码，1/6 WebSphere 境下的SSO(Single sign-on：单点登录、全网漫游)实现之: -- SSO实现 技术准备 简介： 文中作者给大家详细地解释了SSO的基 原理以及WebSphere中的SSO实现机制。 标记 文！ 发布日期：2003 年 8 月 01 日 级别：初级 SSO （Single Sign-On ）直译为一次登录，SSO的机制就是在企业网络用户访问企业网站时作一次身份认证，随 后就可以对所有被授权的网络资源进行无缝的访问，SSO 可以提高网络用户的工作效率，降低了系统出错的几 率，但是比较难于实现。 文中作者给大家详细地解释了SSO的基 原理以及WebSphere中的SSO实现机制。 1 SSO简介 SSO （Single Sign-On ）直译为一次登录，WebSphere中更加形象的解释是单点登录、全网漫游，意思就是说 所有已相同的DNS域名结尾的机器，可以共享用户的认证信息，比如：, 就可以经过配置后实现SSO. SSO的机制就是在企业网络用户访问企业网站时作一次身份认证，随后就可以对所有被授权的网络资源进行无缝 的访问，而不需要多次输入自己的认证信息。 SSO 可以提高网络用户的工作效率，降低网络操作的费用，并提高网络的安全性，而且降低了系统出错的几 率，但是比较难于实现。 1.1 以前的用户登录模式 为了实现企业的信息化、电子商务和其他需求，越来越多的信息系统在网上出现，这些企业的网络用户和系统管 理员不得不面对这个现实： 1. 用户需要使用其中的任何一个企业应用的时候都需要做一次身份认证，而且每一次认证使用的认证信息 （用户 民和密码）不能保证一致； 2. 系统管理员需要对每一个系统设置一种单独的安全策略,而且需要为每个系统中的用户单独授权以保证他们不 能访问他们没有被授权访问的网络资源。 图1 ：目前使用的多点登录的示意图 页码，2/6 1.2 SSO登录模式 以前使用的登录系统中，需要给每一台机器上的系统，甚至是每台机器上的每个应用准备一套用户管理系统和系 统用户授权策略，考 到互操作的可操作性和安全问题，SSO将一个企业内部所有域中的用户登录和用户帐号管 理集中到一起，SSO的好处显而易见： 1. 减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性 2. 实现安全的同时避免了处理和保存多套系统用户的认证信息 3. 减少了系统管理员增加、删除用户和修改用户权限的时间 4. 增加了安全性：系统管理员有了更好的方法管理用户，包括可以通过直接禁止和删除用户来取消该用户对所有 系统资源的访问权限 图2：SSO的认证示意图 页码，3/6 回页首 2 SSO理论基础 SSO并不是J2EE中的标准实现，而是各家中间件提供商在提供J2EE应用服务器集群时提供的一种认证信息共享 的机制，所以各家厂商提供的实现方式不一样，IBM的WebSphere是通过cookies记录认证信息，BEA的 WebLogic通过session共享技术实现认证信息的共享，国内深圳金蝶的apusic采用的和BEA的技术基本一致。 但是不管各家的实现技术怎么样，他们的理论基础都缘于J2EE中的安全技术：Java Authorization Contract for Containers (Java ACC)和JavaTM Authentication and Authorization Service （JAAS ）。Java Authorization Contract for Containers (Java ACC)和JavaTM Authentication and Authorization Service （JAAS ）是j2ee技术中 实现安全访问机制的规范和标准，其中Java ACC属于j2ee规范的一部分，而JAAS是Java ACC的实现部分。 2.1 Java ACC Java ACC规范定义了授权策略模块和J2EE容器之间的实现规范，这样容器安全提供者就可以根据操作环境的要 求提供J2EE容器的授权功能。 Java ACC规范分为三个部分，分别是：提