SSO(Single Sign on)(ZT)

SSO(Single Sign on)-單點登錄

目前的企業應用環境中，往往有很多的應用系統，如辦公自動化（OA）系統，財務管理系統，檔案管理系統，信息查詢系統等等。這些應用系統服務於企業 的信息化建設，爲企業帶來了很好的效益。但是，用戶在使用這些應用系統時，並不方便。用戶每次使用系統，都必須輸入用戶名稱和用戶密碼，進行身份驗證；而 且，應用系統不同，用戶賬號就不同，用戶必須同時牢記多套用戶名稱和用戶密碼。特別是對於應用系統數目較多，用戶數目也很多的企業，這個問題尤爲突出。問 題的原因並不是系統開發出現失誤，而是缺少整體規劃，缺乏統一的用戶登錄平臺。單點登錄（Single Sign On），簡稱爲 SSO，是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。



一、使用SSO 的好處：

(1)方便用戶

在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。用戶不再需要每次輸入用戶名稱和用戶密碼，也不需要牢記多套用戶名稱和用戶密碼。單點登錄平臺能夠改善用戶使用應用系統的體驗。

(2)方便管理員

系統管理員只需要維護一套統一的用戶賬號，方便、簡單。相比之下，系統管理員以前需要管理很多套的用戶賬號。每一個應用系統就有一套用戶賬號，不僅給管理上帶來不方便，而且，也容易出現管理漏洞。

(3)簡化應用系統開發

開發新的應用系統時，可以直接使用單點登錄平臺的用戶認證服務，簡化開發流程。單點登錄平臺通過提供統一的認證平臺，實現單點登錄。因此，應用系統並不需要開發用戶認證程序。



二、實現SSO的技術主要有：

(1)基於cookies實現，需要注意如下幾點：如果是基於兩個域名之間傳遞sessionid的方法可能在windows中成立，在 unix&linux中可能會出現問題；可以基於數據庫實現；在安全性方面可能會作更多的考慮。另外，關於跨域問題，雖然cookies本身不跨 域，但可以利用它實現跨域的SSO。

(2)Broker-based(基於經紀人)，例如Kerberos等；

這種技術的特點就是，有一個集中的認證和用戶帳號管理的服務器。經紀人給被用於進一步請求的電子的身份存取。中央數據庫的使用減少了管理的代價，併爲認證 提供一個公共和獨立的"第三方"。例如Kerberos、Sesame、IBM KryptoKnight（憑證庫思想）等。

(3)Agent-based(基於代理人)

在這種解決方案中，有一個自動地爲不同的應用程序認證用戶身份的代理程序。這個代理程序需要設計有不同的功能。比如, 它可以使用口令表或加密密鑰來自動地將認證的負擔從用戶移開。代理人被放在服務器上面，在服務器的認證系統和客戶端認證方法之間充當一個"翻譯"。例如 SSH等。

(4)Token-based，例如SecurID、WebID、

現在被廣泛使用的口令認證，比如FTP，郵件服務器的登錄認證，這是一種簡單易用的方式，實現一個口令在多種應用當中使用。

(5)基於網關

Agent and Broker-based，這裏不作介紹。

(6)基於安全斷言標記語言(SAML)實現，SAML（Security Assertion Markup Language，安全斷言標記語言）的出現大大簡化了SSO，並被OASIS批准爲SSO的執行標準。開源組織OpenSAML 實現了 SAML 規範，可參考http://www.opensaml.org 。



三、SUN SSO技術

SUN SSO技術是Sun Java System Access Manager產品中的一個組成部分。
Sun 的新身份管理產品包括Sun Java System Identity Manager、Sun Java System Directory Server Enterprise Edition 和 Sun Java System Access Manager，以上三者爲Sun Java Identity Management Suite (身份識別管理套件)的組成部分，它們與Sun Java Application Platform Suite、Sun Java Availability Suite、Sun Java Communications Suite、Sun Java Web Infrastructure Suite組成Java ES。具有革新意義的這一系列產品提供端到端身份管理，同時可與 60 多種第三方資源和技術實現互操作，集成產品可以從SUN公司網站下載，一般以Agent軟件方式提供，是業內集成程序最高、最爲開放的身份管理解決方案之 一。
在Sun 的新身份管理產品中，Sun Java System Access Manager是基中的一個重要組成部分，Java Access Manager基於J2EE架構，採用標準的API，可擴展性強，具有高可靠性和高可用性，應用是部署在Servlets容器中的，支持分佈式，容易部署 且有較低的TCO。通過使用集中驗證點、其於角色的訪問控制以及 SSO，Sun Java System Access Manager 爲所有基於 Web 的應用程序提供了一個可伸縮的安全模型。它簡化了信息交換和交易，同時能保護隱私及重要身份信息的安全。


SUN SSO 實現原理

SSO的核心在於統一用戶認證，登錄、認證請求通過IDENTITY SERVER服務器完成，然後分發到相應應用。


SUN SSO是java Access Manager的一個組成部分，SSO基於Cookie實現解釋如下：
(1)Policy Agent on Web or Application Server intercepts resource requests and enforces access control;

(2)Client is issued SSO token containing information for session Validation with Session service.

(3)SSO token has no content- just a long random string used as a handle.

(4)Web-based applications use browser session cookies or URL rewriting to issue SSO token.

(5)Non Web applications use the SSO API(Java/c) to obtain the SSO token to validate the users identity.

SUN SSO 的應用

這裏說的應用是指Sun Java System Access Manager的應用。成功應用例子很多，包括德國電信等公司的應用，國內也有大量高校在使用，也有相當多的其它行業的應用。


SUN SSO的開源
Sun 將發佈其網絡驗證與網絡單點登錄技術，給一項新的開放源代碼計劃“Open Web Single Sign-On”（Open SSO）。OpenSSO網站位於：https://opensso.dev.java.net 。 該網站對OpenSSO的概述爲：This project is based on the code base of Sun Java(tm) System Access Manager Product, a core identity infrastructure product offered by Sun Microsystems.

OpenSSO 計劃的第一部份源代碼，將於今年年底完成，基本的版本將於明年3月份發佈，而完整的版本可能要等到明年五月份。Sun 採用與Solaris 操作系統相同的共同開發暨流通授權（Common Development and Distribution License）方式。




四、CAS 背景介紹

CAS（Central Authentication Service），是耶魯大學開發的單點登錄系統（SSO，single sign-on），應用廣泛，具有獨立於平臺的，易於理解，支持代理功能。CAS系統在各個大學如耶魯大學、加州大學、劍橋大學、香港科技大學等得到應 用。

Spring Framework的Acegi安全系統支持CAS，並提供了易於使用的方案。Acegi安全系統，是一個用於Spring Framework的安全框架，能夠和目前流行的Web容器無縫集成。它使用了Spring的方式提供了安全和認證安全服務，包括使用Bean Context，攔截器和麪向接口的編程方式。因此，Acegi安全系統能夠輕鬆地適用於複雜的安全需求。Acegi安全系統在國內外得到了廣泛的應用， 有着良好的社區環境。

CAS 的設計目標

(1)爲多個Web應用提供單點登錄基礎設施，同時可以爲非Web應用但擁有Web前端的功能服務提供單點登錄的功能；

(2)簡化應用認證用戶身份的流程；

(3)將用戶身份認證集中於單一的Web應用，讓用戶簡化他們的密碼管理，從而提高安全性；而且，當應用需要修改身份驗證的業務邏輯時，不需要到處修改代碼。

CAS 的實現原理


CAS（Central Authentication Server）被設計成一個獨立的Web應用。實現原理非常簡單，CAS Server

CAS 在應用中的運行硬件環境
University of

CAS創建一個位數很長的隨機數（ticket）。CAS把這個ticket和成功登錄的用戶以及用戶要訪問的service聯繫起來。例如，如果用戶 peon重定向自service S，CAS創建ticket T，這個ticket T允許peon訪問service S。這個ticket是個一次性的憑證；它僅僅用於peon和僅僅用於service S，並且只能使用一次，使用之後馬上會過期，即ticket通過驗證，CAS立即刪除該ticket，使它以後不能再使用。這樣可以保證其安全性。

關於ST，在取一個ST時，即使用deleteTicket(ticketId)同時將一次性的ST刪除；而對於TGT或PT，則通過resetTimer(ticketId)以更新TGT或PT的時間。在CAS服務端返回的ST中只能得出用戶名。
另外，CAS3.0版本也已經發布了，現在最新的版本是3.03，希望CAS3.0在向下兼容的同時，更能向我們提供一些新東西。