sso认证
A. 如何让sso系统信任登录系统和免登系统
单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞疯掉。实现单点登录说到底就是要解决如何产生和存储那个信任,再就是其他系统如何验证这个信任的有效性,因此要点也就以下几个:
存储信任 验证信任 只要解决了以上的问题,达到了开头讲得效果就可以说是SSO。最简单实现SSO的方法就是用Cookie,实现流程如下所示:
常用的两种web单点登录SSO的实现原理X
不然发现以上的方案是把信任存储在客户端的Cookie里,这种方法虽然实现方便但立马会让人质疑两个问题:
Cookie不安全 不能跨域免登 对于第一个问题一般都是通过加密Cookie来处理,第二个问题是硬伤,其实这种方案的思路的就是要把这个信任关系存储在客户端,要实现这个也不一定只能用Cookie,用flash也能解决,flash的Shared Object API就提供了存储能力。
一般说来,大型系统会采取在服务端存储信任关系的做法,实现流程如下所示:
常用的两种web单点登录SSO的实现原理
以上方案就是要把信任关系存储在单独的 SSO系统(暂且这么称呼它)里,说起来只是简单地从客户端移到了服务端,但其中几个问题需要重点解决:
如何高效存储大量临时性的信任数据 如何防止信息传递过程被篡改 如何让SSO系统信任登录系统和免登系统 对于第一个问题,一般可以采用类似与memcached的分布式缓存的方案, 既能提供可扩展数据量的机制,也能提供高效访问。对于第二个问题,一般采取数字签名的方法,要么通过数字证书签名,要么通过像md5的方式,这就需要SSO系统返回免登URL的时候对需验证的参数进行md5加密,并带上token一起返回,最后需免登的系统进行验证信任关系的时候,需把这个token传给SSO系统,SSO系统通过对token的验证就可以辨别信息是否被改过。对于最后一个问题,可以通过白名单来处理,说简单点只有在白名单上的系统才能请求生产信任关系,
B. 门户中如何实现单点登录和统一身份认证
本案涉及三个概念及功能模块,即门户、单点登录和统一身份认证。
单点登录(Single Sign-On,缩写为SSO),它是目前业务整合时使用较多的一种解决方案,通过SSO,用户只需要在某个应用系统入口登录一次,就可以访问所有与该应用系统相互信任的其它应用系统。
目前成熟的SSO实现框架有很多,开源的有JOSSO、CAS等很多,你可以选择其中之一与门户集成即可,集成方法的问题可在选型后在网络中查找,可选方案请参考《Liferay 集成 CAS 实现单点登录与应用系统集成》 http://www.ibm.com/developerworks/cn/opensource/os-cn-liferay-cas/index.html
所谓身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议,需要用户出示更多的信息(如私钥)来证明自己的身份,如Kerberos身份认证系统。
目前基于SOA架构,可跨平台与多种类型的应用系统对接的统一身份认证平台也有很多,
身份存储方式有:通用关系型数据库、LDAP目录、Microsoft Active Directory(AD)等形式,可选方案可参考《Web Service Case Study: 统一身份认证服务》
https://www.ibm.com/developerworks/cn/webservices/ws-casestudy/part4/
或《Liferay与CAS及LDAP》http://www.huqiwen.com/2013/12/18/liferay-cas-ldap/
C. SSO是什么
SSO指的是单点登录(Single Sign On),当用户在身份认证服务器上登录了一次以后,即可获得访问单点登录系统中其他联邦系统和应用软件的权限。
同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。
单点登录是多个相关但独立的软件系统的访问控制的属性。使用此属性,用户使用单个ID和密码登录,以便在不使用不同用户名或密码的情况下访问已连接的系统,或者在某些配置中在每个系统上无缝登录。
单点登录通常使用轻量级目录访问协议(LDAP)和(目录)服务器上存储的LDAP数据库来完成,可以使用cookie在IP网络上实现简单版本的单点登录。
图为一种SSO系统:
(3)sso认证扩展阅读
实现机制
当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据--ticket;
用户再访问别的应用的时候就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行校验,检查ticket的合法性。如果通过校验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
SSO的优势
1、降低访问第三方站点的风险(未在外部存储或管理的用户密码)。
2、从不同的用户名和密码组合减少密码疲劳。
3、减少重新输入相同身份的密码所花费的时间。
4、由于关于密码的IT服务台呼叫数量减少,降低了IT成本。
5、SSO共享所有其他应用程序和系统用于身份验证的集中身份验证服务器,并将其与技术相结合,以确保用户不必多次主动输入其凭据。
D. 如何理解单点登录2019年最新的单点登录SSO有何推荐怎么才能让老板选择觉得选择厂商来做没错
单点登录SSO就是通过一个账号密码可以登录公司所有的业务平台。
公司一般通过单点登录主要是为了释放IT运维的工作压力以及员工频繁登录的困扰,但是说到底如果只是单点登录并不能完全解决IT运维的工作压力。
说几个场景:
场景1:公司的人员流动打,经常会发生入离调,组织架构也经常变法,还需管理一些合作商的不同人的账号。
场景2:由于人员多,IT经理其实没有办法明确知晓每一位员工的账号权限是否完全正确的开启。
场景3:公司内部多个源,但是每个源中存储的字段不一样,除了源还有应用系统,这样就会到导致打通关系的复杂性高。
所以除了要购置单点登录sso外,还需要玉符的全账号生命周期管理也就是常说的LCM以及统一目录UD。只有通过统一身份源后,才可以实现自动化的人员权限的管理,彻底释放IT运维的压力。
E. 请问大家,支持多因素认证的单点登录平台有哪些
有个玉符的平台就行啊,可以做到企业信息安全,而且技术也先进,望采纳
F. 多系统集成,单点登录SSO,用户登录权限控制
区分这两个User的权限,一定要有一个区分的标识,这样SystemA和SystemB才能做到权限的管控,能作为这种区分标识的是username也好,是password也好,Ip也好,机器名也好,mac也好,只有区分出用户,你才能做到权限分别管控。
但现在看来,Username一样,所以不能作为区分的标识;
Password作为标识,那么你的SSO就失去了本身的意义所在;
IP,MAC,machineName作为标识,又不符合设计逻辑。
这种问题的处理,应该早在两个系统的数据整合的时候就该想到了。AD,LDAP登录用户,如果没有区分的标识,系统A和B是无法区分出来的,也就无法区分权限。除非在你的系统中,找到这样的特殊区分标识,然后在系统A和B中进行判断。就现在看来,貌似无法完美实现你的要求。
G. 单点登录是什么
SSO,也就是单点登录(single sign-on),它是一种认证方法,要求用户只登录一次,
使用一个用户ID和密码,登录多个应用、系统或Web网站。而Open Group对单点登录的定
义是“单点登录(SSO)是用户认证和授权的单一行为可以允许一位用户访问他的访问许
可中包含的所有电脑和系统,而不要输入多个密码的机制。单点登录减少了人为错误,
这是系统失败的重要因素,需求量很大,但很难实施。”
企业的单点登录(SSO)为终端用户提供了改善用户经验,帮助IT员工减少管理大量应用
上的密码的成本。
H. 如何实现 与windows 的sso
1、windows域登录与SSO服务器整合
1.1 分析:windows域登录过程采用Kerberose v5协议进行登录,过程非常复杂,并且登录中身份认证以及域的权
限整合在一起。要剥离身份认证和权限赋权非常困难。要整合现有的SSO服务器,可以考虑,采用windows域控制器
统一管理用户,SSO服务器采用该域控制器的Active Directory中的用户信息。windows工作站(比如winxp)登录
域过程中,保持原域登录的过程,在其中添加SSO服务器的登录过程。
1.2 实现:通过修改GINA模块,在windows工作站(比如winxp)登录域过程中,winlogon调用GINA组模块,把用户
提供的账号和密码传达给GINA,由GINA负责在域控制器中以及SSO服务器中账号和密码的有效性验证,然后把验证
结果反馈给Winlogon程序,只有域控制器和SSO服务器同时认证成功,才是登录成功。
另外开发一个DLL程序,暂时称为SSOLogin模块,GINA在登录成功后,将SSO的登录信息传递给SSOLogin模块,动力
工作站在启动时,首先调用SSOLogin模块,判断已经登录的用户,然后通过动力工作站访问其他应用时,就可以通
过SSO服务器进行单点登录。
1.3 技术点:
(1)通过jCIFS实现SSO服务器在Active Directory进行域登录。
(2)采用WFC开发框架对GINA.dll进行修改,在注册表中进行注册
1.4 风险难点:(1)、windows域登录过程的分析与改造。(2)、windows的应用不开源,代码分析会比较困难。
1.5 其他:是否还考虑linux操作系统加入windows域的过程?
1.6 winxp登录域过程如下:
(1).用户首先按Ctrl+Alt+Del组合键。
(2).Winlogon检测到用户按下SAS键,就调用GINA,由GINA显示登录对话
框,以便用户输入账号和密码。
(3).用户选择所要登录的域和填写账号与密码,确定后,GINA将用户输入的
信息发送给LSA进行验证。
(4).在用户登录到本机的情况下,LSA将请求发送给Kerberos验证程序包。
通过散列算法,根据用户信息生成一个密钥,并将密钥存储在证书缓存区中。
(5).Kerberos验证程序向KDC(Key Distribution Center--密钥分配中心)发
送一个包含用户身份信息和验证预处理数据的验证服务请求,其中包含用户证
书和散列算法加密时间的标记。
(6).KDC接收到数据后,利用自己的密钥对请求中的时间标记进行解密,通
过解密的时间标记是否正确,就可以判断用户是否有效。
(7).如果用户有效,KDC将向用户发送一个TGT(Ticket-Granting Ticket--
票据授予票据)。该TGT(AS_REP)将用户的密钥进行解密,其中包含会话密钥、
该会话密钥指向的用户名称、该票据的最大生命期以及其他一些可能需要的数
据和设置等。用户所申请的票据在KDC的密钥中被加密,并附着在AS_REP中。
在TGT的授权数据部分包含用户账号的SID以及该用户所属的全局组和通用组的
SID。注意,返回到LSA的SID包含用户的访问令牌。票据的最大生命期是由域
策略决定的。如果票据在活动的会话中超过期限,用户就必须申请新的票据。
(8).当用户试图访问资源时,客户系统使用TGT从域控制器上的Kerberos
TGS请求服务票据(TGS_REQ)。然后TGS将服务票据(TGS_REP)发送给客户。该
服务票据是使用服务器的密钥进行加密的。同时,SID被Kerberos服务从TGT复
制到所有的Kerberos服务包含的子序列服务票据中。
(9).客户将票据直接提交到需要访问的网络服务上,通过服务票据就能证明
用户的标识和针对该服务的权限,以及服务对应用户的标识。
I. 单点登录可以支持双认证的方式吗
支持双认证方式的单点登录方案 - 支持多认证方式的单点登录是目前的一个新需求,通常这又使认证协议的实现和跨域的认证更加复杂。为此提出一种灵活的支..
J. SSO是什么
微软已经推出了Office System,其中的SharePoint Portal Server 2003(以下简称SPS2003)可以用来快速地建立起一个门户网站,可以使企业内用户轻易地找到所需要的信息,协同工作,同时,也可以向Internet上的用户提供一个信息查询的门户网站。
如果用户的客户端和SPS2003服务器以及其他一些服务器(例如Exchange Server)在同一个域中,那么通过SPS2003的网站,访问其他的信息是一件轻而易举的事情,但在很多时候,可能会遇到下面的问题:
1. 客户端并没有加入到域中,或者客户端通过虚拟专用网(VPN)接入公司网络。此时,在访问所有的服务器时,都需要输入用户信息。
2. 用户会使用一些第三方的产品,无法将这些服务器加入到域中。此时,即使登录了SPS2003的网站,在访问其他服务器的时候,还是会出现需要用户信息的窗口。
正是基于以上的需求,在SPS2003中,有一项新的功能—Single Sign On(以下简称SSO)。SSO的基本思想就是:
建立一个加密的数据库,把用户的认证信息,存放到这个数据库中。当成功地验证了登录SPS2003网站的用户身份以后,就可以从加密的数据库中,获得用户的信息,从而用来访问其他的服务器或者一些第三方的服务器。