1.1 單點登錄原理與技術實現比較
1.1.1 單點登錄原理
單點登錄(SSO)是指一個用戶身份只需進行一次鑑權便可以訪問所有經授權的資源,而不需要多次認證。SSO機制能夠減少人爲錯誤,同時提高整個系統的安全性。雖然SSO很有價值,但是它的實現並不容易,因爲到目前爲止還沒有一種用戶身份驗證的統一標準。IBM WebSphere Portal服務器提供了各種手段使SSO的實現簡單化、安全化、有效化。
通常會有外置代理和內置代理兩種方法。
1.外置代理
在有些情況下,可以使用一種類似中介的代理進程,該進程處於用戶和應用程序之間,如圖1-1所示。當用戶被應用程序要求提供×××明時,代理進程從用戶資料庫中得到用戶的信用狀,並送給應用程序。信用狀相當於一個令牌,它只有用戶的身份信息,而沒有用戶的密碼憑證。換句話說,使用外置代理實現單點登錄,被集成的Web應用系統是不再驗證該用戶在Web應用系統中的密碼的。它認爲,只要你是Portal的合法用戶並且成功登錄了Portal,你只需告訴我你的身份跟角色,我就認爲你是該Web系統中可以使用授權信息的合法用戶了。
圖1-1 門戶服務器進行身份驗證過程——Web應用沒有提供Authentication API的情況
①用戶登錄到門戶服務器,身份驗證服務對用戶進行身份驗證。
②驗證通過,建立用戶信用狀,並請求建立用戶默認桌面。
③代理程序使用用戶信用狀,併發送請求給目錄服務,要求得到Web應用的用戶名和口令。
④得到用戶名和權限信息。
⑤代理程序使用它們進入Web應用並依據權限信息得到應用數據。
⑥代理程序將得到的數據格式化後生成用戶默認桌面,應用程序的內容以門戶Channel的形式展現。
⑦將生成的桌面傳送給用戶。
上面的情況適用於Web應用沒有提供Authentication API的情況,對於提供Authentication API 的Web應用(如Lotus Notes),則多出來一步,即第4步:鑑權。用戶在Web應用中的用戶名和密碼必須事先通過加密存儲機制存儲到Portal平臺,此時代理程序建立的信用狀同時包含了此用戶在該Web應用系統中的密碼。代理程序攜帶此用戶的用戶名和密碼調用Web驗證服務實現認證過程,認證完成後,至於此用戶在該Web系統中到底有哪些權限,這就由接下來的Web系統去執行了,因爲此時此用戶已經通過調用驗證服務的手段成功登錄了該Web應用系統。如圖1-2所示。
圖1-2 門戶服務器進行身份驗證過程——Web應用提供Authentication API的情況
①用戶登錄門戶服務器。
②請求建立用戶默認桌面。
③代理程序使用Portal Token並批准使用Web應用的Authentication API進行用戶身份驗證。所使用的用戶名與登錄門戶服務器時使用的一樣,或者是一個映射值,映射表應存放在門戶服務器的Profile中。
④進行用戶鑑權。
⑤鑑權成功。
⑥代理程序使用Web應用API 獲取數據。
⑦代理程序將得到的數據格式化後生成用戶默認桌面,應用程序的內容以門戶Channel的形式展現。
⑧將生成的桌面傳送給用戶。
上面所提到的代理程序,可以通過IBM WebSphere Portal提供的API編寫的 Servlet程序實現。這個 Servlet 程序將用戶的信用狀傳遞給應用程序,並將用戶重定向到應用的主頁面。
外置代理的優點:
— 啓動投資相對較少。
缺點:
— 不利於系統管理和維護。
— 對系統總體性能有影響。
— 不支持跨域的SSO。
內置代理方法是指利用策略管理軟件,即Identity 服務器軟件。策略管理軟件的工作原理是,在Web服務器上安插一個代理模塊(Agent Module),該模塊與 Identity 服務器共同負責用戶身份驗證和授權信息。
要將策略管理軟件與Portal 服務器進行集成,可以將策略代理模塊安裝在內嵌於Portal服務器中的Web 服務器上,並使用Portal 服務器提供的 API,基於策略管理軟件的Session創建過程生成一個有效的 Portal 服務器 Session。這樣,用戶可以在策略管理系統的控制下訪問任何Web應用。
內置代理的優點:
— 通過Identity服務器及其Web代理模塊可以安全、有效地控制用戶身份驗證和資源訪問。
— 提供集中的訪問控制管理,增強大型複雜應用系統的可管理性和效率。
— 爲系統開發人員提供一種簡單的方法對集中化的目錄資源進行訪問,易於擴展。
— 通過Extranet Web Agents,可以無縫地集成Web應用。
— 具有支持百萬級用戶的良好系統擴展性。
— 保護投資。
— 支持跨域的SSO。
從邏輯概念上看,Identity服務器作爲企業核心的應用訪問控制器,而Portal服務器則是一個內容聚合器,聚合由Identity服務器保護的應用。同時,Portal服務器還作爲企業內部安全的應用訪問轉送器。使用內置代理實現Portal與Web應用系統的原理及過程如下,我們分12個步驟來介紹。
①用戶訪問門戶網關。
②門戶網關檢查當前IPS Session是否包含有效的Cookie,如果不包含(即Session還未建立),門戶網關則將信息包傳給門戶服務器的身份驗證模塊。
③服務器的身份驗證模塊將信息包轉發給Identity服務器的代理模塊。
④代理模塊給用戶發送一個經過定製的登錄頁面(此頁面顯示使用Identity服務器進行身份驗證)。
⑤用戶輸入用戶名/口令(或其他身份信息),並返回給代理模塊。
⑥代理模塊將該信息發送給Identity 服務器。
⑦Identity服務器驗證用戶身份(查詢存儲用戶信息的目錄數據庫)。
⑧驗證成功,Identity服務器生成Identity Cookie(包含驗證成功等信息),併發送給代理模塊。
⑨代理模塊存儲Identity Cookie,並調用門戶服務器的身份驗證模塊使Session有效(生成一個Portal Session)。
⑩門戶服務器的身份驗證模塊將Identity Session和Portal Session發送給用戶瀏覽器。
⑪門戶網關保存Portal Session,使用戶的Session生效。
⑫門戶網關給用戶發送門戶首頁。
一旦身份驗證流程完成,用戶不需要重新認證就可以訪問由門戶服務器及Identity服務器保護的任何資源和應用。
3.頁面流方式實現單點登錄
頁面流方式的單點登錄,指的是用戶成功登錄Portal後,在業務系統中用戶每調用一次Web系統的頁面,Web系統都要聯絡代理進行一次驗證。iDSAME產品就提供了這種功能,它是一種更加嚴格的訪問控制策略,用來保護企業核心、重要系統的數據和資源,具體實現是由iDSAME的Web代理以及相應的URL訪問策略來共同完成的。
Web代理安裝在受保護資源的機器上,當用戶訪問受保護的系統資源時,Web代理首先截獲請求,檢查訪問的是否是受保護資源,如果不是,則允許訪問;如果是,iDSAME則會根據用戶的Token檢查用戶能訪問還是不能訪問。與內置代理、外置代理不同,使用該策略實現單點登錄會嚴重降低應用系統的性能,因爲用戶每訪問一個頁面,都會引起一次鑑權的過程。通常,這種情況應用於企業的比較核心和重要的業務系統中。
交叉域單點登錄(Cross Domain SSO)是指實現單點登錄的幾個應用服務器在不同的域內。在這種情況下要實現單點登錄,必須將其他域轉換到本地域,進行域名映射。交叉域單點登錄實現原理示意圖如圖1-3所示。
圖1-3 交叉域單點登錄實現原理示意圖
1.1.2 單點登錄的技術方案
針對集成的不同的應用系統,我們會提供不同的單點登錄解決方案,下面是實現單點登錄功能的常用技術方案。
1.LTPA(Lightweight Third-Party Authentication)令牌環技術
LTPA是一種令牌環,上面記錄了用戶的登錄信息和身份信息,它提供了基於Cookie的輕量級第三方認證機制(LTPA),當用戶發出對資源的請求時,首先必須向認證服務器認證。認證成功後,認證服務器代表用戶生成LTPA Cookie。作爲認證標記服務的LTPA Cookie中包含用戶標識、密鑰和標記數據、緩衝區長度和到期信息,此信息使用認證服務器和應用系統之間共享的受密碼保護的密鑰加密。認證服務器在請求的HTTP頭中插入Cookie,該請求通過連接發送到應用系統,應用系統服務器接收請求、解密Cookie並基於Cookie中提供的標識信息認證用戶。
2.基於表單的單點登錄(Form-Based SSO)
基於表單的單點登錄(Form-Based SSO)功能,允許認證服務器將已認證的用戶透明地登錄到需要通過HTML表單認證的後臺系統中。基於表單的單點登錄實現原理示意圖如圖1-4所示。
圖1-4 基於表單的單點登錄實現原理示意圖
3.HTTP頭文件(HTTP Header)技術
利用HTTP Header這種認證方式,認證服務器可以把經過認證的用戶身份信息(包括賬號、屬性信息等),通過HTTP Header傳給後臺的應用系統,後臺的應用系統可以從HTTP Header中把這些用戶信息截取出來,用來確認用戶身份,從而實現統一認證(單點登錄)的功能。這種統一認證的方式需要後臺的應用系統進行相應的修改,使它可以獲得HTTP Header中的用戶信息。
4.憑證保險庫(GSO-Lockbox)技術
GSO-Lockbox這種實現單點登錄的方式一般會和Form-Based SSO方式一起來使用,主要是考慮到每個人在各個系統中的用戶身份可能會不一致,利用這種方式可以解決這種問題。利用GSO-Lockbox,可以建立起用戶身份信息和後臺應用系統之間的對應關係。
在不同的產品中有各自的實現方式,例如,在IBM WebSphere Portal中叫做Credential Vault,也翻譯爲“憑證保險庫”。憑證保險庫爲實現單點登錄的每套應用系統創建一個憑證保險段,在每個憑證保險段裏則爲每個Web用戶創建一個憑證保險槽。槽是最小的憑證單位,用來存儲一個用戶在一套應用系統中的用戶名和密碼鍵值對(見表1-1)。
表1-1 GSO-Lockbox實現單點登錄的方式
以上幾種方式很難說誰最好,最佳實踐的做法是根據客戶的具體情況選用不同的解決方案,或幾種實現方案同時使用,依據不同的應用系統情況而定。但通常來說,應遵循如下幾個原則。
(1)對部署在WebSphere Application Server、WebLogic Server、SAP NetWeaver Application Server、Domino等服務器上能識別LTPA令牌環,且用戶目錄與Portal的用戶目錄爲同一套,或者有一一對應關心的應用系統,與Portal實現單點登錄時,建議採用LTPA機制。
(2)對部署在WebSphere Application Server、WebLogic Server、SAP NetWeaver Application Server、Domino等服務器上,且用戶目錄與Portal的用戶目錄不是同一套,或者沒有一一對應的應用系統,與Portal實現單點登錄時,建議採用JAAS認證。
(3)用戶註冊表與Portal不一致,但應用系統中的用戶在Portal中都有對應的用戶時,不管其用戶名編排規則是否一致,皆建議採用憑證保險庫技術。
1.2 單點登錄在最佳項目實踐中的應用
使用單點登錄技術實現Portal系統與其他應用系統的單點登錄後,用戶只要成功登錄Portal,就可以無須再次登錄而直接進入應用系統,或者在Portal中直接使用應用系統中授權的應用或信息。在進行實際項目開發時,通常會設計如下幾種模式,作爲單點登錄及單點登錄的擴展應用。
1.2.1 以列表的方式進入應用系統首頁
以列表的方式進入應用系統首頁,指的是提供一個展現應用系統列表的Portlet,上面列出了實現單點登錄的所有應用系統(見圖1-5)。點擊列表中的條目,可以直接在新的頁面中進入該應用系統,而無須再次登錄或者提供任何憑證。
圖1-5 以列表Portlet的方式應用單點登錄
1.2.2 直接進入各個應用系統的深度集成模式
很多時候,用戶需要進入到系統的某個深層次頁面,而不是從系統首頁一步步點擊。單點登錄的深度集成模式指的是通過不同的標籤直接進入到客戶想進去的頁面,如圖1-6所示。
圖1-6 點擊不同的標籤直接進入到應用系統的深度集成頁面
1.2.3 以應用導航的方式梳理後集成
很多客戶會有這樣的經驗:當應用系統過多時,自己都忘記了發起某個業務或某個功能的頁面到底在哪套系統中。應用導航集成思路指的是,不是從應用系統的角度梳理深度集成的頁面,而是從用戶的業務應用角度來分析,將用戶經常使用的功能頁面從業務的角度梳理、分類,並分門別類地展現到系統中。用戶只需知道要幹什麼就行了,而不必關心要執行的這個頁面到底在哪套系統中。也就是說,讓用戶忘掉系統的存在。圖1-7所示是典型的應用導航圖。
圖1-7 典型的應用導航圖(應用導航允許用戶忘記系統的存在,只需知道要幹什麼就行了)
1.2.4 作爲統一待辦調用任務處理界面時的通用驗證邏輯單元
單點登錄的最廣泛和深入的應用莫過於統一工作待辦了。把所有系統中每個用戶需要待辦的事項分門別類地按照業務域劃分出來,並集中展現到一個個欄目中,讓用戶原來需要登錄多套系統去處理的待辦事項,在一個欄目中就完成了,多方便啊!圖1-8所示是將來自幾十套系統的待辦事項統一集成到一個欄目中,並按照9大業務域劃分的一個典型場景。
圖1-8 按照業務域在一個欄目中集中展現來自幾十套系統的待辦事項
1.3 單點登錄技術的開發/配置指南
單點登錄的實現技術還有很多,比如JAAS認證等,但在項目實踐中應用最多的就是LTPA令牌環和憑證保險庫技術。本節詳細介紹這兩種方案的開發/配置過程。
1.3.1 LTPA技術是如何實現
1.3.1.1 LTPA對於SSO的工作機制
LTPA機制適用於部署在WebSphere Application Server、WebLogic Server、SAP NetWeaver Application Server、Domino等服務器上,它能識別LTPA令牌環,以及用戶目錄與Portal的用戶目錄爲同一套,或有一一對應關係的應用系統。本節以WebSphere Portal與Domino之間實現單點登錄爲例,介紹LTPA機制是如何配置的。
LTPA(輕量級第三方認證)是一個令牌環,它是通過使用Domain Cookie而啓用的。這種經過加密的會話Cookie被放置在用戶瀏覽器中,包含了一些信息,WebSphere或者Domino Application 服務器可以加密這些信息,並使用這些信息來說明用戶已經通過該Cookie所覆蓋的DNS(Domain Naming Service,域名服務)域中的認證。
LTPA Cookie 包含以下信息。
— Cookie名稱:總是設置爲 LtpaToken。
— 域:設置爲Internet域,該域由參與單點登錄的所有服務器共享(例如:mycompany. com)。
— Cookie 到期:設置爲當瀏覽器終止時刪除該Cookie。
— 安全:設置爲開狀態,以強制使用安全套接字層(SSL)。LTPA配置有一個設置參數,使它創建只通過SSL發送的Cookie。
— Cookie值:被設置爲 LTPA 標記。
LTPA標記是一個加密的字符串,它包含以下信息。
— 用戶數據:一般被設置爲用戶 ID,但也可以是任何用於唯一標識用戶的用戶信息。
— 過期時間:與 Cookie 過期不同,這個字段用於強加一個時間限制,時間限制從登錄進來的那一刻算起,而不受瀏覽器活動或者不活動影響。這個時間限制是一個可設置的LTPA配置,在默認情況下爲30分鐘。
1.3.1.2 如何配置Portal與Domino之間的SSO
Portal與Domino的SSO可以通過配置LTPA的方法來實現。通俗地講就是,用戶登錄Portal系統後,Portal系統會把用戶登錄信息加密成LTPA並存放到某一位置,當用戶繼續訪問Domino系統中的授權資源時,Domino系統會自動讀取該位置的LTPA,讀到並解密後拿到Domino系統中驗證,如果驗證通過,則顯示給用戶授權信息。所以要配置Portal與Domino之間的SSO非常容易,只要先將Domino系統服務器的LTPA導出並存爲.key文件,然後導入Portal系統所在的服務器(WebShpere Application Server)中就可以了。
1.3.2 憑證保險庫技術是如何實現的
1.3.2.1 概述
WebSphere Portal提供了Credential Vault(憑證保險庫)功能,Credential Vault通過Basic Authentication Header將用戶名和密碼傳遞給後端應用程序。爲了使Domino服務器接受通過這個頭部傳遞進來的憑證,必須將服務器會話驗證配置爲Single-Server模式。在Multi-Server模式中,該服務器只接受通過LTPA機制傳遞的憑證。因此,爲了與Domino應用程序一起使用用於SSO的Credential Vault,必須將Domino服務器會話驗證配置爲Single-Server模式。
要使用Credential Vault,用戶需輸入一些憑證,輸入一次就夠了。隨後,這些憑證被存放在一個經過加密的數據庫表中,每當用戶訪問該Portlet時,這些憑證便被傳遞給後端應用程序。要了解關於配置Credential Vault的細節,請參見WebSphere Portal InfoCenter。
1.3.2.2 憑證保險庫實現SSO原理
下面以一個最簡單的SSO過程爲例進行介紹。
普通業務系統的登錄過程:系統首先提供一個頁面,讓我們輸入應用程序中的用戶信息。
用戶輸入用戶名和密碼後,單擊“登錄”按鈕,該頁面提交到form所對應的Action(check_login.jsp)進行處理,我們看check_login.jsp的代碼。
接下來提交到數據庫驗證用戶信息的合法性,如果合法,則定位到授權信息頁面;否則,重定位回到登錄頁面login.jsp。
在Portlet開發中是如何解決這個問題的?
其實起關鍵作用的還是check_login.jsp頁面,它需要獲得用戶名和密碼兩個鍵值,然後拿着這兩個參數到後臺數據庫去驗證。在常規的登錄方式中,這兩個參數是通過login.jsp獲得的。事實上,只要Portlet能爲該頁面提供這兩個鍵值,也就實現了登錄的自動化。而Portlet要得到這兩個參數是非常簡單的,所以實現單點登錄也就非常簡單了。我們可以複製一個check_login.jsp文件,例如名爲check_portal_login.jsp,這個頁面的兩個參數是Portlet提供的,剩下的事完全交給業務系統去處理,頁面流轉和全線控制都不用我們管了。
1.3.2.3 開發Portlet實現SSO的方法
(1)JSP取值傳送URL
我們開發一個使用系統專用槽的Portlet,使用憑證保險庫的相關接口在PortletView.jsp中取出用戶存儲在憑證保險庫中的鍵值,然後以URL的方式傳送到iFrame內。
PortletView.jsp的部分代碼如下:
如果用戶已經在憑證保險庫中存儲了鍵值,那麼該Portlet的View.jsp頁面被初始化時,iFrame中將顯示用戶成功登錄後的授權信息,也就是實現了SSO。
(2)Class取值寫Session,JSP取出並以URL傳送
我們在Portlet的控制類中取得用戶存儲在憑證保險庫中的鍵值對,並在PortletView的doview()方法中寫入Session。在Portlet的Viwe.jsp中取出Session,然後像第一種方法一樣,以URL的方式傳送到目的代理。
(3)Class寫Session,單點登錄代理取Session
我們在Portlet的控制類中取得用戶存儲在憑證保險庫中的鍵值對,並在PortletView的doview()方法中寫入Session。而專爲Portal開發的協助登錄頁面則會直接從Session中取出用戶憑證,具體的操作方法略過。
由於這幾種方法開發起來比較簡單,所以這裏就一帶而過,不再詳細介紹了。