系统设计与实现详解.PDF

基于用户映射的CAS单点登录 系统设计与实现 研 究 与 I张齐 钟观宝 开 I华南理J二大学软件学院广州510640 发 摘 要 随着信息化进一步发展，企业应用系统越来越多。用户每使用一个系统时都必须登录一次，给用户 带来不便，而单点登录机制能很好的解决这一问题。本文介绍一个基于用户映射的单点登录系统的设计与实 现，系统采用CAS实现统一用户认证，为用户登录多应用系统提供统一的人口。实现基于LDAP的人员组织 架构管理，并通过用户映射机制实现多应用系统的整合。 刖吾 1 系统设计方案 随着信息化进一步发展和企业的业务运营需要，企 系统的中心为CAS认证中心和LDAP目录服务器， 业内部的应用系统越来越多。这些系统往往有着独立的 整个系统的结构如图l所示。 用户认证模块和机制，用户不得不记住每一个系统的登 医翮 I一——，．．．．．．，J 录帐号和密码，在使用不同的系统时，必须莺复登录， 给用户的使用造成诸多不便。针对这种情况，单点登录 ◇ I。。。。。‘一。。。’。。。。。。。。。1。。。一 (SingleSign0n)…模型应运而生，同时不断地应用到 ；鬯t壁型 企业的业务系统中。在单点臀求系统中，用户只需在磴 图1单点登录系统结构图 录时提供一次用户认证信息，通过认证以后，在访问企 CAS认证中心提供系统的认证服务，其主要支持 业门户中的各个子系统时无需再重复登录。 的业务有：向所有应用系统提供统一认证服务，同时提 目前有很多单点登录的实现方案，其中常见的单点 供用户调用接口。LDAP目录服务则保存所有用户相关 登录认证机制有：Kerberos、PKI，KryptoKnight，信息。所有经CAS认证中心授权的应用系统在整个单 Sesame等幢l，常用的技术有：WebService，Cookie点登录系统中地位是对等的，也就是只要在其中一个应 等。在单点登录系统的实现过程中，往往会碰到如下问 用系统上进行登录，就可以直接访问其它应用系统而无 题：1)企业现有的各个应用系统间相互独立或者通信 需重复登录。每个应用系统进行用户身份认证的方式可 状况是混乱的，对外接口也不同，这给应用系统的集成 能略有不同，要根据具体情况实现。对于已经上线运行 带来了极大困难。2)同一个用户，拥有多个应用系统 的应用系统，由于这些系统往往有着独立的认证机制， 的访问凭证，使用户信息难以统一管理。3)Cookie不而且企业有很多业务流程涉及到用户信息，单点登录的 能跨域的限制也使实现各个应用系统之间Cookie共享成实现应尽量不影响这些应用系统的原认证模块和具体的 为一个难题。本文介绍的基于CAS协议，用户映射机制 业务流程；对于新的或其他第三方系统，则可以完成由 ,NLDAP目录服务设计的单点登录方案，能很好的解决CAs服务器来接管用户身份的认证。总的来说，单点登 这些问题。 录只负责决定用户是否能进入某个应用，同时，这些应 6l信息通信技术 万方数据 用系统有着各自的资源权限管理策略，用户对资源的访 CAS认证中心分发给该请求一个随机的包含用户名等信 问权限由应用系统独立控制。下面将分别从CAS认证规 息的服务票据(S