EOS和开源单点登录产品cas集成指南.docVIP

EOS与开源单点登录产品cas集成指南 (2008-11-04 07:34:14) 转载 标签： sso it 分类： 发布时间:2008年10月06日?作者:majs 最近我正在思考SOA与单点登录问题，今天看到一篇文章，觉得不错，特转在这里，方便以后查看。 介绍cas sso产品的原理、安装、调试和与EOS应用的集成 1 总体解决方案 1.1? 单点登录概述 ??? 单点登录的英文名称为Single Sign-On，简写为SSO，它是一个用户认证的过程，允许用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。? SSO将一个企业内部所有域中的用户登录和用户帐号管理集中到一起，SSO的好处显而易见：? 1. 减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性? 2. 实现安全的同时避免了处理和保存多套系统用户的认证信息? 3. 减少了系统管理员增加、删除用户和修改用户权限的时间? 4. 增加了安全性：系统管理员有了更好的方法管理用户，包括可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限? 对于内部有多种应用系统的企业来说，单点登录的效果是十分明显的。很多国际上的企业已经将单点登录作为系统设计的基本功能之一 1.2??? 单点登录产品 商业sso软件 ?? 专门的SSO商业软件?? 主要有：Netgrity的Siteminder，已经被CA收购。Novell 公司的iChain。RSA公司的ClearTrust等。门户产品供应商自己的SSO产品，如：BEA的WLES，IBM 的Tivoli Access Manager，Sun 公司的identity Server，Oracle公司的OID等。?? 上述商业软件一般适用于客户对SSO的需求很高，并且企业内部采用Domino、SAP、Sieble等系统比较多的情况下。单点登录产品通常需要在应用软件中增加代理模块，而商业SSO产品主要针对大型软件制作了代码模块。因此，商业SSO软件除了价格问题外，另一个重要问题就是对客户自己的应用系统支持未必十分完善。 开源sso软件 ??? Opensso，网址/，OpenSSO基于Sun Java System Access Manager，是Sun公司支持的一个开源的SSO项目。OpenSSO体系结构设计合理，功能比较强大。缺点是客户端支持不够广泛，似乎只是对基于J2EE的应用支持的比较好。??? josso，网址/，这是另一个Java写的单点登录产品，通常认为比OpenSSO更成熟一些。JOSSO支持的客户端包括Java，PHP和ASP。??? CAS，网址/products/cas/，这是耶鲁大学开发的单点登录产品，也是我们最后选定的单点登录产品。CAS的优点很多，例如设计理念先进、体系结构合理、配置简单、客户端支持广泛、技术成熟等等。以后我们还要仔细介绍。????? 经过广泛分析和比较，最后我们选定CAS作为我们的单点登录产品。我们确信这是目前能够找到的最好的开源单点登录产品。 1.3 单点登录实现机制 ??? SSO的实现机制不尽相同，大体分为Cookie机制和Session机制两大类。??? WebLogic通过Session共享认证信息。Session是一种服务器端机制，当客户端访问服务器时，服务器为客户端创建一个惟一的SessionID，以使在整个交互过程中始终保持状态，而交互的信息则可由应用自行指定，因此用Session方式实现SSO，不能在多个浏览器之间实现单点登录，但却可以跨域。??? WebSphere通过Cookie记录认证信息。Cookie是一种客户端机制，它存储的内容主要包括: 名字、值、过期时间、路径和域，路径与域合在一起就构成了Cookie的作用范围，因此用Cookie方式可实现SSO，但域名必须相同。??? 目前大部分SSO产品采用的是Cookie机制，CAS也是如此。??? 注意，这种机制要求实现单点登录的应用，其域名必须是相同的。例如：??????????? ,就可以经过配置后实现SSO。??? 以CAS为例，使用Cookie实现单点登录的原理图如图1所示。 ??? ??? 首先，单点登录分为“服务端”和“客户端”。服务端就是单点登录服务器，而客户端通常是“函数库”或者“插件”。需要使用单点登录的应用程序，需要把客户端插件安装到自己的系统中，或者将客户端函数库包括在代码中。单点登录的客户端通常替换了原来应用程序的认证部分的代码。 ?? 某个应用程序首先要发起第1次认证。大部分情况下，应用程序中嵌入的客户端会把应用程序原来的登录画面屏蔽掉，而直接转到单