SSO项目交流概述.pptVIP

* * * 流程描述： 用户访问省级网站A； 省级网站A根据本地会话检查用户的登录状态（本流程中为未登录）； 省级网站A通过重定向方式（SAML-AuthnRequest）访问省认证中心的登录模块； 省级认证中心的登录模块根据认证会话检查用户的登录状态（本流程中为未登录）； 省级认证中心通过重定向方式（SAML-AuthnResponse）通知省级网站A，用户属于未登录； 省级网站A给用户显示未登录页面（页面中嵌套登录框）。 * 流程描述： 用户输入手机号和密码等信息后提交； 省级认证中心的登录服务模块收到用户提交的手机号和密码信息后进行必要的格式检查，检查不通过，进行错误提示； 格式检查通过后，省级认证中心的登录服务模块向省级认证中心的认证服务模块发出认证请求（NASREQ-AA-Request）； 省级认证中心的认证服务模块接收到认证请求消息后，提取手机号码和密码后，提交给CRM进行验证； CRM进行验证处理； CRM返回验证结果 ； 省级认证中心的认证服务模块向省级认证中心的登录服务模块返回认证结果（NASREQ-AA-Answer）； 如果认证结果为成功，省级认证中心的登录服务模块在用户的单点登录会话中保存用户身份信息，并通过设置公共Cookie，保存用户登录标识。如果认证结果为失败，提示错误信息； 省级认证中心的登录服务模块生成用户身份凭证查询依据； 省级认证中心的登录服务模块通过浏览器重定向（SAML-AuthnResponse）到省级网站A，通过表单中的HIDDEN字段给省级网站A返回用户身份凭证查询依据； 省级网站A根据用户身份凭证查询依据进行不同处理，如果携带正常的查询依据，则省级网站A根据查询依据向省级认证中心的登录服务模块发出提取用户身份凭证请求（SAML-ArtifactResolve）；如果不携带查询依据，则显示未登录页面； 省级认证中心的登录服务模块根据身份凭证查询依据生成用户身份凭证； 省级认证中心的登录服务模块给省级网站A返回用户身份凭证（SAML-ArtifactResponse）； 省级网站A检查用户身份凭证，如果不是有效的，则进行错误处理； 省级网站A成功获得用户的身份信息后，根据权限为用户提供相应的服务页面。 * 流程描述： 用户访问省级网站B（以下简称网站B）； 网站B根据本网站用户单点登录会话检查用户是否已经登录，如果用户已经登录，则直接转步骤11； 如果用户未登录，网站B将用户重定向（SAML-AuthnRequest）到省级认证中心的登录服务模块，检查是否属于单点登录； 省级认证中心的登录服务模块根据用户单点登录会话判断用户是否已经登录，如果用户没有登录，提示未登录页面； 如果已经登录，省级认证中心的登录服务模块生成用户身份凭证查询依据； 省级认证中心的登录服务模块将用户重定向（SAML-AuthnResponse）到网站B，参数中携带身份凭证查询依据； 网站B向省级认证中心的登录服务模块请求提取用户身份凭证（SAML-ArtifactResolve）； 省级认证中心的登录服务模块块根据身份凭证查询依据生成用户身份凭证； 省级认证中心的登录服务模块向网站B返回用户身份凭证（SAML-ArtifactResponse）； 网站B检查用户身份凭证，如果不是有效的，则进行错误处理； 网站B成功获得用户的身份信息后，根据权限为用户提供相应的服务页面。 * 流程描述： 用户访问省级网站B（以下简称网站B）； 网站B根据本网站用户单点登录会话检查用户是否已经登录，如果用户已经登录，则直接转步骤13； 如果用户未登录，网站B将用户重定向（SAML-AuthnRequest）到省级认证中心的登录服务模块，检查是否属于单点登录； 省级认证中心的登录服务模块检查公共Cookie情况，判断用户是否已经登录，如果用户没有登录，则提示用户未登录； 如果已经登录，省级认证中心的登录服务模块根据公共Cookie中的登录服务器信息，向一级认证枢纽的登录服务模块查询身份信息（SAML- AttributeQuery）； 一级认证枢纽的登录服务模块查找到用户登录信息，并记录省级认证中心查询过； 一级认证枢纽的登录服务模块向省级认证中心的登录服务模块返回身份信息（SAML- QueryResponse）； 省级认证中心的登录服务模块生成用户身份凭证查询依据； 省级认证中心的登录服务模块将用户重定向（SAML-AuthnResponse）到网站B，参数中携带身份凭证查询依据； 网站B向省级认证中心的登录服务模块请求提取用户身份凭证（SAML-ArtifactResolve）； 省级认证中心的登录服务模块生成用户身份凭证； 省级认证中心的登录服务模块向网站B返回用户身份凭证（SAML-ArtifactResp