第04章-第4章授权与访问控制2-单点登录.pptVIP

--*-- 4.7 单点登录 第4章授权与访问控制 4.7.1 基本概念 1.背景 1）需求 用户希望可以基于最初的访问网络时的一次身份认证，对所有被授权的网络资源进行无缝的访问。 2）传统系统中的跨域操作 4.7单点登录 用户帐号管理程序 主登录域 主登录域shell 主登录域信息管理数据库 次登录域 次登录域shell 次登录域信息管理数据库 用 户 主登录域用户凭证 次登录域用户凭证 次登录域n 次登录域2 次登录域1 用户帐号管理程序 用户帐号管理程序 用户帐号管理程序 4.7单点登录 3）管理困难，带来安全隐患 4.7单点登录 单点登录系统 SSO（Single Sign On） 对易用性和安全性的考虑 要求把认证功能和权限管理功能集成起来 为不同域的登录提供一致的界面 2.单点登录 减少了用户在不同子域中登录操作的时间，包括减少登录失败的可能性； 用户不必记住一大堆认证的信息，可以提高安全性； 简化系统管理员增加用户帐号或删除用户帐号的操作时间以及降低了修改用户权限的复杂度； 通过功能集成，系统管理员可以很容易地禁止或删除用户对所有域的访问权限而不破坏一致性。从而大大增加了安全性。 4.7单点登录 次登录域 次登录域shell 次登录域信息管理数据库 用 户 主登录域 主登录域shell 主登录域信息管理数据库 次登录域n 次登录域2 次登录域1 用户帐号管理程序 信任 4.7单点登录 单点登录是一种认证与授权机制的结合技术。 用户只需要在网络中主动地进行一次身份认证，随后便可以访问其被授权的所有网络资源，不需要再主动参与其它的身份认证过程。 单点登录系统与应用系统之间是一对多的关系，由统一的登录系统管理用户登录信息，实现了信息共享。 4.7单点登录 从管理的角度，SSO为用户帐号管理提供了简洁统一的界面，使各个子域的操作保持同步一致。 4.7单点登录 4.7.2 单点登录系统 4.7单点登录 Microsoft.NET Passport 由微软公司运行的一种 Web 服务，通过一次登录就可以使用户获得访问很多网站的权限。.NET Passport 是一种联机服务。利用该服务，你可以通过你的电子邮件地址和单一的密码“安全地”登录到任何一个 .NET Passport 参与站点或服务,无需记忆各自的登录名和密码； .NET Passport标准登录模型 1.初始请求 2 .身份验证重定向 3 .身份验证请求 4 .身份验证应答 5 .身份验证请求 6 .请求的WEB页 用户首先要在 /cn 网站或者在任意的 .NET Passport 参与站点上注册 .NET Passport。 Passport服务器,即票据发放者，扮演经纪人的角色。所有的用户在访问支持Passport协议的WEB站点时，都必须先访问Passport服务器获取相应的票据。 WEB站点：必须是同意并支持Passport协议的WEB参与站点。由Passport管理器(验证票据) 和WEB服务器(和其它的WEB服务器的功能一样，主要是用来管理用户所要访问的资源、相关链接等)组成. .NET Passport标准登录模型 1.初始请求 2 .身份验证重定向 3 .身份验证请求 4 .身份验证应答 5 .身份验证请求 6 .请求的WEB页 用户向Web站点发送Web页面请求 如果Web站点需要验证用户身份，则使用重定向（Redirect）技术把用户定向到Passport登录服务器。在重定向中包括两个重要的参数，一是用户初始请求站点的唯一站点ID；二是用户身份验证完毕后返回的URL（即用户初始请求的URL）。 Passport登录服务器首先查询站点的唯一站点ID号，如果站点不是Passport参与站点，则返回错误；否则出现一个登录页面，用户需要输入用户名字和口令（可以使用SSL传输）。 .NET Passport标准登录模型 1.初始请求 2 .身份验证重定向 3 .身份验证请求 4 .身份验证应答 5 .身份验证请求 6 .请求的WEB页 Passport登录服务器查询用户数据库，如果用户存在，则为用户生成Cookie，即用户身份验证的标志，它用Passport和站点之间的共享密码加密（每个站点都不同）。 Web站点提取Cooki