單點登錄(Single Sign On),簡稱爲 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。它包括可以將這次主要的登錄映射到其他應用中用於同一個用戶的登錄的機制。
當用戶第一次訪問應用系統1的時候,因爲還沒有登錄,會被引導到認證系統中進行登錄;根據用戶提供的登錄信息,認證系統進行身份效驗,如果通過效驗,應該返回給用戶一個認證的憑據--ticket;用戶再訪問別的應用的時候就會將這個ticket帶上,作爲自己認證的憑據,應用系統接受到請求之後會把ticket送到認證系統進行效驗,檢查ticket的合法性。如果通過效驗,用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。
目前業界已有很多產品支持SSO,如IBM的WebSphere和BEA的WebLogic,但各家SSO產品的實現方式也不盡相同。WebSphere通過Cookie記錄認證信息,WebLogic則是通過Session共享認證信息。Cookie是一種客戶端機制,它存儲的內容主要包括: 名字、值、過期時間、路徑和域,路徑與域合在一起就構成了Cookie的作用範圍,因此用Cookie方式可實現SSO,但域名必須相同; Session是一種服務器端機制,當客戶端訪問服務器時,服務器爲客戶端創建一個惟一的SessionID,以使在整個交互過程中始終保持狀態,而交互的信息則可由應用自行指定,因此用Session方式實現SSO,不能在多個瀏覽器之間實現單點登錄,但卻可以跨域。
實現SSO有無標準可尋?如何使業界產品之間、產品內部之間信息交互更標準、更安全呢?基於此目的,OASIS(結構化信息標準促進組織)提出了SAML解決方案(有關SAML的知識參看鏈接)。
用戶認證中心實際上就是將以上所有功能、所有概念形成一個整體,爲企業提供一套完整的用戶認證和單點登錄解決方案。一個完整的用戶認證中心應具備以下功能:
1. 統一用戶管理。實現用戶信息的集中管理,並提供標準接口。
2. 統一認證。用戶認證是集中統一的,支持PKI、用戶名/密碼、B/S和C/S等多種身份認證方式。
3. 單點登錄。支持不同域內多個應用系統間的單點登錄。
用戶認證中心提供了統一認證的功能,那麼用戶認證中心如何提供統一授權的功能呢?這就是授權管理中,其中應用最多的就是PMI。
PMI(Privilege Management Infrastructure,授權管理基礎設施)的目標是向用戶和應用程序提供授權管理服務,提供用戶身份到應用授權的映射功能,提供與實際應用處理模式相對應的、與具體應用系統開發和管理無關的授權和訪問控制機制,簡化具體應用系統的開發與維護。PMI是屬性證書(Attribute Certificate)、屬性權威(Attribute Authority)、屬性證書庫等部件的集合體,用來實現權限和證書的產生、管理、存儲、分發和撤銷等功能。
PMI以資源管理爲核心,對資源的訪問控制權統一交由授權機構統一處理,即由資源的所有者來進行訪問控制。同公鑰基礎設施PKI相比,兩者主要區別在於: PKI證明用戶是誰,而PMI證明這個用戶有什麼權限,能幹什麼,而且PMI可以利用PKI爲其提供身份認證。