单点登录系统:结构、方法和实现
摘要
随着计算机技术和网络技术的飞速发展,特别是互联网应用的急剧扩张,计算机系统已经从独立的单机应用发展到越来越复杂的、互连的开放式网络应用。这一变化直接导致了系统用户身份认证技术应用的蔓延。身份认证的应用是网络安全应用系统的第一道防线,在应用系统中起着非常重要的作用,是网络系统中必不可少的一个环节。随着各种应用系统不断涌现,网络资源不断增加,需要通过身份认证之处不断增多,管理员的工作量不断增大,对于各个系统用户的管理也越来越复杂,管理人员迫切需要能够有一个集中统一的网络用户身份认证及授权系统,能够在分布式网络环境中进行有效的用户身份以及访问控制管理。
单点登录(Single Sign On,简称SSO)技术的提出正是解决这一难题的最佳方法,它是为解决传统认证机制所存在的问题而提出的一种技术。在一个单点登录系统中,用户基于最初访问系统时的一次身份认证即可获得所有业务系统和应用软件的授权,可以在整个网络综合环境中对所有被授权的网络资源、网络应用以及网络服务进行无缝的访问,而不需要进行多次认证。通过实施单点登录系统可以有效地实现企业业务系统的整合,提高整个网络系统的安全性、易用性,降低信息化的总体成本,提高了工作效率。如何实现一个安全、可靠、高效的集中用户单点登录系统已经成为IT企业、政府部门和社会各界共同关注的焦点。
单点登录技术可以探讨的范围很广,本文主要从单点登录系统的体系结构、方法、原理、实现等几方面加以研究,在对各种典型单点登录系统进行分析、总结和归纳的基础上,提出了一个新的单点登录模型并设计了系统,对建立此领域的研究体系作了有益的尝试。本文的主要贡献和创新点有:
1.提出了一个扩展性良好的单点登录核心框架模型,包括认证客
户接口、统一认证服务器、用户信息数据库三部分,该模型具
有良好的可集成性,只要遵循相应的原则,新的应用程序可以
很方便地被加入到单点登录系统整体框架中。
2.研究了单点登录领域的主要成果和相关技术要点,将分散的相
关技术研究纳入单点登录系统体系中。
3.研究了基于网关和基于代理单点登录系统,设计了一种基于网
关单点登录系统模型,并给出了基于此模型的解决方案。
4.实现了一个安全、可靠的统一用户单点登录系统,可以跨越多
个应用系统实现单点登录。并对系统的性能以及安全性进行了分析。
关键词单点登录,集中用户管理,认证,授权,访问控制,整合
SINGLE SIGN ON SYSTEM: STRUCTURE、METHOD and IMPLEMENTATION
ABSTRACT
With the development of computer technology and network technology, esp. the rapid growing of Internet, computing systems have evolved from stand –alone mainframe to complex, interconnected open systems, and this evolution has led to a proliferation of identity authentication. It is the first line of security defense of a network security application system to apply a identity authentication system, which can be used to play a important role in the application system, should be one of the most important components of a security defense system. With more and more application system appear, more and more network resource added, the workforce of the administrator enlarge, they need a centralized network user identity authentication and authorization system very much, and can manage the user identity and access control in a distributed network environment.
It is the best method to solve this problem of Apply the Single Sign On technology. SSO is a technology of solve the traditional authentication technology. In a SSO system, a user can access all the network resource、network application and network service that has been authorized, and need not authenticate again and again based on the initial authentication. Apply a SSO system can implicate the conformity of enterprise application system, and lower the total cost of information application. It is the focus of IT corporation, government and all part of social people that how implement a secure、reliable and efficient single sign on system.
It is very vast to discuss the technologies of single sign on system. This paper focused on the related technologies about infrastructure 、method、theory and implementation of single sign on system. Based on the analysis, summing-up and induction of some typical systems, this paper proposed a new single sign on system module and designed the system; it made significant exploration on establishing architecture of this research area. All original ideas of this paper are listed as follows:
1.Put forward a well expansibility single sign on system framework
module which include client authentication interface, uniform authentication server and user information database. The module can be well integrated and a new application can be added freely
to the single sign on system if obey some correspond rules.
2.Proposed the main productions and related key technologies, and
brought the related typical technologies into the system of single
sign on.
3.Proposed the proxy based single sign on system and agent based
single sign on system, designed a proxy based single sign on
system module, and gave a solution based on the module.
4.Implement a secure、reliable and efficient single sign on system
which can single sign on from many application systems, and
analyze the system performance and security.
Key words: Single sign on, Centralized User Management, authentication, authorization,Access Control,conformity
目录
第一章前言 (1)
1.1研究背景 (1)
1.2研究目标 (2)
1.3论文结构 (2)
第二章单点登录简介及其发展回顾 (4)
2.1什么是单点登录 (4)
2.2为什么要用单点登录 (4)
2.3研究和使用单点登录系统的重要意义 (6)
2.4发展阶段 (7)
2.5实际应用现状 (7)
2.5.1 CAS (8)
2.5.2 WebAuth (8)
2.5.3 JOSSO (8)
2.5.4 微软Passport (8)
2.5.5上海交通大学jAccount (9)
2.5.6 hp (9)
2.5.7 IBM (9)
2.5.8 Novell (10)
2.5.9 Pubcooie (10)
2.6专利应用 (11)
第三章单点登录系统的结构与方法 (12)
3.1单点登录系统的结构 (12)
3.1.1 简单的单点登录系统结构 (12)
3.1.2 基于Web的单点登录系统结构 (12)
3.1.3 Windows系统集成认证结构 (13)
3.1.4 分布式单点登录系统结构 (14)
3.1.5 其它单点登录结构 (15)
3.2单点登录系统的解决方法 (16)
3.2.1 基于网关单点登录SSO方法 (16)
3.2.2 基于代理单点登录SSO方法 (17)
3.2.3 基于网关和基于代理的SSO方法比较 (17)
3.2.4 其它的解决方法 (18)
3.3单点登录系统涉及关键技术要点 (21)
3.3.1 动态口令和一次性密钥 (21)
3.3.2 基于角色的访问控制(RBAC) (22)
3.3.3生物识别技术 (22)
3.3.4 USB Key认证 (23)
3.3.5 LDAP (23)
3.3.6 SSL协议 (23)
3.3.7与已有应用的无缝整合 (25)
第四章单点登录系统设计 (26)
4.1设计原则 (26)
4.2系统总体结构 (28)
4.3系统模块构成 (29)
4.4用户权限分配 (30)
4.5认证机制与过程 (32)
4.6用户授权过程 (36)
第五章单点登录系统分析 (38)
5.1主要功能和特点 (38)
5.2典型部署和具体实施 (39)
5.3系统的性能分析与安全性分析 (39)
5.3.1性能分析 (39)
5.3.2安全性分析 (40)
5.3.3社会工程学分析 (41)
第六章结论与展望 (42)
6.1发展前景 (42)
6.2发展思路 (43)
6.3结束语 (43)
参考文献 (44)
附录 (46)
附录1认证服务模块伪代码 (46)
附录2证书认证接口伪代码 (47)
附录3授权模块伪代码 (49)
附录4自定义编码传输协议伪代码 (54)
附录5系统涉及重要数据结构 (54)
致谢 (56)
第一章前言
1.1 研究背景
现代的软件开发和应用进入了一个史无前例的快速发展和增长阶段,计算机本身的硬件计算能力也得到了很大的提高。随着信息技术和网络技术的持续发展,各种应用系统不断涌现。系统应用的复杂程度与各种各样需求的产生,使软件应用越来越成为企业成功的重要基石和业务发展的重要保障。这些应用系统服务于企业的信息化建设,为企业带来了科学的管理以及良好的效益。然而网络上不同的应用往往由不同的系统提供,用户每天需要登录到许多不同的信息系统和应用软件,如电子邮件系统、办公自动化系统、各种应用服务、Web服务等,甚至是ERP、CRM的应用也得到了一定规模的普及。出于信息安全、网络安全和系统安全上的需要,每一个应用系统需要对用户的身份进行必要的认证,以保证合法用户的权益,并且拒绝非法授权用户的访问。
在应用系统中身份认证技术的应用起着非常重要的作用,是网络系统中必不可少的一个环节。用户在访问系统之前,首先需要经过身份认证系统认证用户身份,然后访问控制系统根据通过认证的用户身份和授权数据库决定用户是否能够访问某个资源,审计系统也要依赖于身份认证系统的提供的信息。一旦身份认证系统被攻破,那么系统内的所有安全措施都将形同虚设。然而每一个应用系统都要求用户遵循一定的安全策略,都要对用户进行相应的身份认证,比如要求输入用户名和密码。并且不同的系统要求用户提供不同的用户信息,用户每次使用不同的系统,都不得不输入用户名和用户密码,进行一次身份认证。
随着应用与服务的增加,要记住的用户名密码对数量也就大大地增加了。用户往往必须同时牢记多套用户名和相对应的用户密码。对于应用系统数目较多,用户数目也很多的企业,这个问题尤为突出,这样给用户带来了极大的不便。当这些安全风险逐步反映出来,管理员增加一些新的安全措施的时候,这些新的安全措施往往会减少系统的可用性、易用性,并且会增大系统管理的复杂度。同时随着用户需要登录系统的增多,出错的可能性会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。而密码存储环节的增加,也增加了密码泄露的可能性。如果用户忘记了密码,不能执行任务,就需要请求管理员的帮助,在重新获得密码之前只能等待,造成了系统和安全管理资源的不必要的开销,降低了生产效率。为避免这种尴尬,用户一般会通过简化密码牢记登录信息,或者在多个系统中使用相同的密码,或者创建一个密码列表,这些都是会危及公司信息保密性的几种习惯性做法。
针对上述的安全风险,在市场上出现了这样的需求:用户基于最初访问网络时的一次身份认证,可以在一个网络综合管理中对所有被授权的网络资源进行无缝的访问,而不需要记住众多的用户名以及相应密码对,即实现“一次登录、随处访问”。从而提高网络用户的工作效率,降低网络操作的复杂度,并最终提高
信息系统整体的安全性。这是一个为了能够在分布式计算机环境中,安全和方便地认证用户而产生的问题。问题产生的原因并不是某个系统开发出现了严重失误,而是缺少整体规划,缺乏统一的用户身份信息管理平台。特别是对于应用系统数目较多,用户数目也很多的企业,这个问题尤为突出。
在这些实际应用需求的推动下,单点登录技术的应用应运而生。所谓单点登录就是用户可以基于最初访问的某个应用系统的一次身份验证,而对所有被授权的其他应用系统进行无缝的访问。从用户角度讲,通过单点登录能及时地访问到所需的资源,提高生产效率,避免了记忆多个用户名、密码,增强了用户体验;从安全角度讲,单点登录为其他应用系统提供了功能更强的身份认证机制,从而提高了整体的安全性;从管理角度看,单点登录有助于减少口令重复设置请求,减少系统维护人员的工作量。目前应用单点登录技术已经成为企业应用集成在安全方面、用户管理方面的核心基础技术方法之一。
1.2 研究目标
本文将主要研究网络环境中的集中用户管理和单点登录技术。首先我们会对单点登录系统的结构进行分析,这部分主要包括系统的结构和模型,特别是介绍系统的实现原理;其次,我们将对单点登录的实现提出一些可行的解决方法和相关的关键技术要点;最后,我们将设计一个单点登录系统应用,并进行相应的性能分析以及安全性分析。
实施单点登录系统的主要难点在于部署应用和异构多应用所面临双重的安全挑战。首先,必须保证只有合法的用户才能访问相应的应用资源。其次,实施安全保护措施时应尽量避免增加用户的负担。20%的应用将用去了80%的时间,这是软件应用中著名的二八定律,在对于单点登录的研究也同样遵循此定律。单点登录SSO技术的研究可以探讨的范围很大,本文将抓住单点登录技术中关键问题,对单点登录系统的结构、方法以及实现进行着重研究,抓住问题的实质所在,而暂且忽略其他一些次要的技术和方法。
1.3 论文结构
本文将分为六章来进行论述。主要从系统的结构、方法、设计、分析和实现这几方面来讨论单点登录系统。
第一章简要阐述了本课题的研究背景,研究目标以及论文结构。
第二章介绍了什么是单点登录,为什么要用单点登录技术以及使用单点登录技术的意义,并简要地介绍了本研究方向迄今为止的研究成果、发展阶段实际应用中的系统以及相关领域的历史回顾。
第三章到第五章描述了单点登录系统的结构、方法、原理、实现以及性能分析和安全性分析。
第三章从系统应用的体系结构入手,主要分析了系统实现所基于的结构和网络模型,分析了单点登录的实现原理,描述了实现单点登录结构的一些方法以及涉及到的相关技术要点;
第四章结合以上章节的工作,提出了一个单点登录系统的设计和实现,描述了系统的用户管理、认证和授权机制及过程;
第五章并对单点登录系统功能特点、部署以及实施,并对系统的性能和安全性进行了分析。
第六章对本文进行了回顾和总结,并结合本文的研究给出了下一步研究发展展望。
第二章单点登录简介及其发展回顾
2.1 什么是单点登录
单点登录(Single Sign On,简称SSO)是一种偏向技术的说法。所谓单点登录,就是指用户只需在网络系统应用中主动地进行一次身份认证,随后便可以访问其被授权的所有网络资源,而不再需要参与其它任何身份认证过程。这里所指的网络资源可以是业务系统和应用软件以及打印机或其它硬件设备,也可以是各种文档和数据等。这些资源可以处于不同的计算机环境中,也可以散布于整个企业内运行不同操作系统的不同类型的服务器上。单点登录平台能够简化用户使用流程,只有当达到系统安全策略边界条件时,用户才需要重新进行认证。在此条件下,管理员无需修改或干涉用户登录就能方便地实施希望得到的安全控制。这是一个为了能够在分布式计算机环境中,安全和方便地鉴别用户身份而产生的技术问题。
目前大多数传统应用采用各自基于口令系统的认证和授权,这种做法增加了系统管理负担,也增加了用户的记忆和输入负担。单点登录是提高用户工作效率和降低管理成本的主要解决办法之一,单点登录系统把原来分散的用户管理集中起来,各系统之间依靠相互信赖的关系来进行用户身份的自动认证。单点登录系统从根本上抛弃了传统认证中用户名/密码以明文传输的方式,而是采用了结合密码学技术的新的认证机制,从而提高了整个系统的安全性。
2.2 为什么要用单点登录
目前的企业应用中应用系统是相互独立的,各自有自己的身份认证服务,没有实现信息共享。这会带来以下几方面的问题:
1)用户登录不便利:由于实行各自认证,用户在应用不同系统时就需要分别登录。多次登录不仅给用户带来不便,也容易引起登录信息泄密。
2)信息重复:由于多个系统事实上是相互关联的,就必然会造成大量的信息重复。
3)权限设置混乱:由于多个系统各自设置用户的权限,必然造成权限设置无法统一。
4)数据不一致:由于独立管理用户,在数据输入或更新时必须同时对多个系统输入或更新,这就有可能造成各应用系统之间的数据不一致。
单点登录技术以集中或委托的方式,使各个应用系统之间既相对独立又彼此关联,能够以一种统一的方式来展示不同的信息资源。单点登录平台能够简化使用流程,用户能够实现一次登录,使用多个应用系统,访问多个应用软件以及各种应用服务,不再需要每次进入应用系统时都输入用户名称和用户密码。对企业内部不同工作岗位的用户来说,以这种方式进入企业信息化系统,可以极大提高
工作效率,单点登录技术的应用可以协助企业提高安全性以及降低企业网络运营成本。
使用单点登录是基于系统管理的需要。从系统管理员角度考虑,对用户进行统一管理在整个信息化系统管理中处于很重要的位置。当网络覆盖范围不断扩大、应用访问越来越多,用户迫切要求对用户、安全、网络等进行统一管理,网络中的应用急需一个统一的用户管理平台实施对全系统用户和应用的管理,防止出现应用孤岛和分散管理困境。统一用户管理平台的重要方面之一就是提供给用户和其它的系统用户单点登录SSO服务。用户一旦认证通过就已经得到相应的授权,能访问到必要的信息。统一用户管理解决方案中一致性特点还能使用户密码的重新设置等自服务管理更加容易。统一用户管理的其它的值得探讨的方面包括有关客户与企业进行交互时所涉及的安全和隐私等问题。这些方面的要求将随着商业迁移到Web上以及越来越多的未经许可的私人数据的收集、存储和潜在的共享等任务的增加而受到越来越的关注。在统一用户管理系统中,系统管理员只需要维护一套统一的用户账号,可以方便地完成所有管理工作,管理员无需修改或干涉用户登录就能方便地实施希望得到的安全控制。相对以前需要管理很多套的用户账号而言,SSO不仅给管理上带来方便,而且也不容易出现管理漏洞。
使用单点登录是基于用户使用方便性的需要。在传统应用中每一个应用都要对用户进行相应的认证,比如要求输入用户名和密码。并且不同的应用要求用户提供不同的用户信息,用户每次使用不同的系统,都必须输入用户名和用户密码,进行身份认证。用户口令不宜太长,否则会增加用户的记忆负担,但口令又不能太短,而且很容易遗忘口令,如果记载在纸张等介质上,又可能被窃取。用户每换一个应用就需要登录一次,他们迫切需要一个统一的登录方案,登录一次即可访问其他应用。使用单点登录后用户只需要认证一次,就可以对所有被授权的网络资源进行无缝的访问,而不需要记住众多的用户名以及相应密码对,从而提高网络用户的工作效率。
使用单点登录是基于应用安全性的需要。在传统应用中一般用户会通过简化密码牢记登录信息,或者在多个系统中使用相同的密码,或者创建一个密码列表,这些都是会危及公司信息保密性的几种习惯性做法。使用单点登录后用户不需要记住众多的用户名以及相应密码对。在单点登录系统中采用用户身份信息同步技术还可以及时更新用户身份信息,避免身份信息的泄露。当他人获取到某用户的身份信息时,可能该认证信息已经处于无效状态了,经常自动地更新用户信息能够有效地保护用户的身份安全。
使用单点登录是基于应用整合的需要。所谓整合就是通过建立基于开放标准的、统一的、高效的、易于管理的IT基础平台,实现企业IT从前台用户端到后台服务器端的人员、流程、信息的相互结合,从而灵活地配制企业的内外部IT 资源,使企业在市场需求、市场机遇或竞争威胁出现时能够迅速响应。在当前信息化发展的关键阶段,应用整合已经非常重要,实际的应用需求也决定信息整合的必要性。而应用整合的表现首先要实现的就是单点登录。由于历史的原因,企业的业务架构往往是异构、分散、孤立。系统使用者更多的感觉到主要应用平台系统各自独立,管理员也无法解决信息的统一管理与资源共享的问题,这在一定程度限制了工作的效率。举一个极易在企业中出现的情况:为了企业更好的管理,该企业先后引入了三套不同方面的应用系统,这三套应用系统分别由开发商A、B、C开发,部署在同一台服务器上,不使用单点登录技术的情况下,每套应用系统因为开发商的不同,自然会有自己不同的验证模块和一套用户名口令,但事
实上,这三套应用系统的用户是同一组人(即企业员工),应用的管理人员也是同一个或同一组人。对于员工,他需要记住自己的三套用户名口令,在访问不同的应用时,还需要多次登录;对于管理员,他除了要管理三套用户名口令外,还需要设置三套安全策略。而使用SSO的话,上述的三套用户名口令、安全策略及多次登录,可以简化成为一套用户名口令、安全策略和一次登录。整合不是目标,而是一种达到期望目标,随机应变的手段。成功的整合将加大业务灵活性、提高企业效率、增强业务流程透明度、达到应用成本最小化。总之,单点登录是为解决传统认证机制所存在的问题而提出的一种技术,不需要对现有应用做任何改动,就能实现一个安全、透明、使用方便的单点登录系统。
2.3 研究和使用单点登录系统的重要意义
现代的软件开发中软件接口标准各异,各自独立,不能让用户的资源进行很好的整合,当今现有的软件标准没有为用户提供一套系统、全面的解决方案。在构建大型系统中,各个子系统往往会因为时间的差异、专注于不同的功能领域、应用方式的不同而显得丰富多彩,但为了更有效的利用用户信息资源,方便用户在各个子系统间无缝跳转,往往引入单点登录技术这种很不错的解决方法。在一个应用系统中,为了保持用户信息的一致性以及充分利用共享资源,方便用户在不同子系统中的切换,单点登录SSO应用不仅提供了方便,而且保证用户验证授权的可靠性。使用SSO的优点是显而易见的:
1)减少用户在不同系统中登录耗费的时间,减少用户登录出错的可能性。
2)增加了安全性:系统管理员有了更好的方法管理用户,包括可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限。也减少了系统管理员增加、删除用户和修改用户权限的时间。
3)实现安全的同时避免了处理和保存多套系统用户的认证信息。
4)对用户在所有应用程序权限进行集中管理,从而降低成本和应用复杂度。
5)简化使用者操作,使用者无需再记忆各种帐号和密码,提高办公效率,使应用系统更贴近于使用者。
6)不受用户名和密码的限制,既可以满足多系统间统一用户名、密码的要求,也可以满足多系统间采用不同用户名、密码的要求。
7)单点登录模块与应用系统相对独立,对以后应用系统的升级不会造成任何影响。
随着信息化建设的迅速开展,各个系统的应用范围也越来越广泛.作为信息化建设的必然过程,应用系统的不断增加给最终用户及信息管理部门带来了不少麻烦.对各系统的最终用户来说,各应用系统固然给工作质量带来了飞跃,但在身份的认证和授权方面也给自己带来了很多麻烦。而对信息系统管理人员来说,也经常需要花费大量的精力进行用户身份的管理。每上一套新的应用,都需要进行这方面的维护。总体上讲,SSO单点登录系统应该满足如下需求:
1)每个用户对多个系统存在统一的单点登录需求。
2)外部网络中的移动用户存在安全接入到内部网络并实现单点登录的需求。
3)已有多个应用存储用户身份信息,需要解决不同系统之间的身份信息的自动同步或集成。
4)完成跨越企业边界的B2B业务协作,需要建立跨安全域的信任和认证关系,保障业务流程的顺畅和安全。
5)业务系统可以在不同的操作系统中,例如Windows系统、Linux系统,Unix 系统等。
6)业务系统可以为异构系统,其运行的操作系统平台和Web应用服务器不同,客户端使用不同的浏览器。
7)用户单点登录时满足用户名/口令认证,证书认证,还能实现少数用户通过USB Key等硬件认证。
8)最少化改动现有的应用模式和业务系统。
9)对后续的业务系统扩充和发展有良好的兼容性和标准化支持。
2.4 发展阶段
单点登录不是一个新的概念。单点登录原本是分布式管理中提出的概念,是希望在一个分布式的计算环境中可以统一地管理用户的账号以及访问权限等信息。伴随着计算机网络的发展,这个概念被引申到互联网络中来,原有的孤立的信息系统之间信息交互的需求随着业务发展自然而然地产生了。计算机网络进入互联网时代后,互联网可以看作是一个松散耦合的大的分布式系统,在使用这个分布式系统中,其单点登录问题相对于普通分布式系统变得更加复杂。在单点登录Single Sign On的发展过程中,对于如何在计算机网络中进行安全的身份认证、如何实施实时的授权、如何有效地进行身份和授权的绑定等等的问题都已经有了很多的研究,最近几年来,与此相关的研究和开发层出不穷。单点登录技术发展到今天,经历了以下几个阶段:
1) 同一系统内部的不同应用之间的相互关联。在本阶段中的应用主要是对多个用户数据库进行合并,统一到一个目录数据库之中。
2) 基于Web的应用中同一网站内不同应用、不同业务。利用Cache的功能,我们把用户的登录信息保存在Cache中,并设置过期时间为Session失效的时间,因此,一旦Session失效,应用的Cache也过期;而Cache对所有的用户都可以访问。因此,用它保存用户信息比数据库来得方便。
3) 不同系统、不同应用在网络环境下的联动。企业被细分为彼此独立却又紧密相连的业务单元。业务单元是一组紧密相关的业务活动,由适当的信息系统、流程、组织结构和评测标准来支持,每一个单元服务于一个特定的目标。每一个业务单元都由相应的信息系统为支撑,这些信息系统称为支撑软件;支撑软件需要一个生长的土壤,称为基础架构。这两者相互依存,缺一不可。由于历史的原因,企业的基础架构往往是异构、分散、孤立的。所以企业需要重新构筑一个全新的基础架构,需要进行相应的整合。企业面临的竞争挑战给企业的IT战略提出了全新的课题,使得向随需应变型企业转型成为企业迫在眉睫的发展要求,而选择全新的IT整合战略,从而在技术上为企业提供强有力的保障,是企业转型能否成功的关键所在。企业已经把信息化建设的最高优先级别放在了整合和安全。各种应用和应用继承软件也将是投资的重点。整合的市场已经成为IT行业下一轮竞争的主要战场。
2.5实际应用现状
单点登录得到了广泛的应用,有以下一些发展。比较著名的应用是Yale大
学的CAS (Central Authentication Service)、基于J2EE体系结构的JOSSO (Java Open Single Sign-On)、WebAuth、Pubcooie 、Microsoft的.Net Passport以及HP、IBM、Novell公司的相应成熟产品等。
2.5.1 CAS
CAS (Central Authentication Service)是Yale大学的ITS开发的一套基于JAVA实现的开源的单点登录SSO服务。该服务是以一个java web app(eg:cas.war)来进行的,使用时需要将cas.war发布到一个servlet2.3兼容的服务器上,并且服务器需要支持SSL,在需要使用该服务的其他服务器(客户),只要进行简单的配置就可以实现SSO了。
CAS 的客户端可以有很多种,因为验证的结果是以XML的格式返回的,CAS 的客户端已打包进去的有java,perl,python,asp,apache module等好几种客户端示例,可以根据需要实现一个自己的客户端。详细内容参见附录[28]。
2.5.2 WebAuth
WebAuth是杜克大学开发的开放源代码软件。该软件是基于用户/密码认证机制。当前它仅支持Kerberos 协议,但是该软件具有可扩展性,可以用来支持任何协议。
WebAuth协议包含三个基本组件之间的交互: User-Agent (UA) 、WebAuth-enabled Application Server (WAS)和WebKDC。WebAuth 协议的目标是WAS能够安全地鉴别用户身份以及访问资源的权限,从而达到单点登录的功能,用户不必各自登录每一个应用,除非应用系统由于安全方面的需要。WAS 能够通过WebKDC认证某个用户,或者通过请求WebKDC 使用其它认证方法,例如Kerberos V5 服务请求(krb5_mk_req),krb5_mk_req 能够使用Kerberos V5 协议鉴别用户身份。详细内容参见附录[29]。
2.5.3 JOSSO
JOSSO (Java Open Single Sign-On)是一个开源的基于J2EE的单点登录SSO 体系结构,目的是为集中的用户认证平台提供一个解决方案。它的目的是提供一种用来解决在统一平台上进行用户集中认证的方案。JOSSO具有清晰的SSO概念模型,有待于研究其二次开发的成本与潜力,是一个很好的实现原型。
JOSSO通过web service技术实现对用户身份的认证, 允许Java和非Java 应用的集成,例如PHP, Microsoft ASP等,通过使用SOAP 协议实现单点登录服务。
JOSSO 提供用户透明的单点登录方法访问多应用。这个集成了Jakarta Tomcat的易于配置的解决方案通过标准的Servlet 安全API提供用户信息给Web 应用。JOSSO 即插即用的框架允许通过信任存储执行和结合多种认证方式。JOSSO 带有保留的Proxy 构件,能够使用N层单点登录配置。详细内容参见附录[30]。
2.5.4 微软Passport
微软SSO给人印象最深的莫过于MSN的Passport,在https://www.doczj.com/doc/c212783555.html,中似乎也可以直接利用这方面的技术构建自己的SSO。Microsoft的.Net Passport 是我们最为常见的单点登录SSO认证平台,MSN的用户登录以及管理就是在此平台上进行的。使用.Net Passport实施单点登录的的最大缺点是,对原有的应用系统的集
成存在较大难度,甚至需要对原有的应用系统做较大的改动,来符合.Net Passport的认证接口。而且采用此体系的应用系统,同时也必须构筑在Windows 平台服务器上。
2.5.5上海交通大学jAccount
jAccount认证体系是上海交通大学网络信息中心开发的用户认证体系。网络信息中心为每个注册的上海交通大学校园网用户提供了一个统一的网络账户,称为 jAccount,目标是使用户通过同一个账户名/密码,可以访问所有校园网上的网络应用,包括email,代理服务,拨号服务,网络存储,IP地址申请和使用等等,以及为校内第三方应用提供统一身份认证和单点登录服务。
使用 jAccount 进行身份认证(登录)的应用主要包括两大类:基于各类客户端应用程序的网络应用,基于Web浏览器的网络应用。
使用 jAccount 作为身份认证的基于各类客户端程序的网络应用主要包括:电子邮件服务、FTP网络存储服务、拨号上网服务、校内代理服务、无线上网服务等等。启动相关的客户端软件后,会出现相应的登录框,在其中输入你的jAccount 帐户名和密码即可。
在进入使用jAccount进行统一身份认证的校园网Web应用时,采用基于Web 浏览器的网络应用。页面会导引到jAccount登录页面(此时,浏览器地址栏中的域名是https://www.doczj.com/doc/c212783555.html,),页面中会出现标题为“登录jAccount”的登录框,在其中输入你的 jAccount 帐户名和密码进行登录。退出系统是按系统提供的退出按钮或链接,或者关闭浏览器。
基于Web浏览器的网络应用可以通过jAccount实现单点登录。即用户在一个浏览器会话期(session)中只需登录一次就能进入所有他拥有访问权限的jAccount成员站点。不必每进入一个站点就登录一次,大大改善了用户的登录体验。
目前交大校园网络中使用 jAccount 进行认证登录的应用列表。jAccount 统一身份认证用于向应用系统验证用户的身份。但通过jAccount身份认证并不表示你一定能使用所有的jAccount网络服务。每个服务均会根据用户的不同身份给予用户不同的权限。如,学生不能访问教工系统,教工不能访问学生系统。请与提供相应网络应用服务的部门联系,确定自己是否具有权限。
2.5.6 hp
惠普为客户提供一个真正即插即用的单点登录SSO解决方案。用户无须修改Web应用系统,也无须安装Web代理程序。只需简单的配置,用户即可拥有完美的SSO应用功能。通过部署惠普SSO应用软件系统,既可以提高Web应用系统的安全,又可以方便用户的使用,提高工作效率。
2.5.7 IBM
单点登录SSO在IBM的产品中得到了完全的体现,包括在WebSphere集群中,在WebSphere和Domino的集成中,都可以实现。
小服务程序和企业 Bean和 Domino 资源(如 Domino 数据库中的文档)或者在访问多个 WebSphere 域中的资源时只认证一次。Web 用户可以向 WebSphere Application Server或 Domino 服务器认证一次,然后就可以访问启用了SSO 的同一 DNS 域中的任何其它 WebSphere Application Server 和 Domino 服务
器,而不需要再次登录。具体实现方式是:配置 WebSphere Application Server 和 Domino 服务器,使它们共享认证信息。
SSO允许网络用户在访问多个WebSphere域的多个应用时只要向其中的某一个WebSphere应用服务器进行认证,就可以访问其他WebSphere域中的各种资源,包括HTML页面,JSP文件,Servlet和企业EJB,也可以访问其他Domino中的文档,而不需要登录多个WebSphere域。WebSphere中默认不支持SSO,如果需要实现SSO,需要对每一台WebSphere服务器进行配置,如果需要实现WebSphere 和Domino之间的SSO,则对WebSphere和 Domino 都要重新配置。要实现WebSphere服务器之间的SSO,必须满足以下前提条件:
1)所有的服务器必须配置成同一个DNS域的一部分。比如: DNS域配置为https://www.doczj.com/doc/c212783555.html,,那么,SSO将在所有Domino和WebSphere服务器起作用,只要他在属于这个DNS域的某个主机上,比如说在https://www.doczj.com/doc/c212783555.html,和https://www.doczj.com/doc/c212783555.html, 的主机上配置的两台webpshere服务器之间。
2)所有服务器必须共享用户注册表,用户注册表可以是LDAP数据库,在WebSphere服务器之间实现SSO还可以采用用户自己实现的用户注册表,但是Domino不支持用户自己实现的用户注册表,所以WebSphere和Domino之间实现SSO时只能采用LDAP数据库作为公有的用户注册表。此注册表可以是受支持的LDAP 目录服务器,也可以为定制用户注册表(如果在两个WebSphere application server 之间配置 SSO)。Domino 不支持使用定制注册表,但是Domino 支持的注册表可以用作 WebSphere 中的定制注册表。“Domino 目录”(已配置它进行 LDAP 访问)或其它 LDAP 目录可以用于用户注册表。LDAP 目录产品必须受 WebSphere Application Server 支持。受支持的产品包括 Domino 和所有 IBM SecureWay LDAP 目录服务器。无论选择使用 LDAP 还是定制注册表,SSO 配置是相同的。不同之处在于注册表的配置。
WebSphere中的SSO授权机制比较简单,采用了类似于windows文件的权限管理的机制,就是先定义一些角色,然后给这些角色授予访问某些服务器资源的权限,然后再将这些角色映射到具体的用户或者用户组。
2.5.8 Novell
Novell公司的单点登录软件是一个基于目录的软件解决方案,它消除了在多平台网络环境中对多个登录口令的需求。得益于NDS eDirectory目录服务,网络用户只需一个口令即可实现对所有网络资源包括应用程序的访问,从而使登录过程大大简化。而Novell iChain为企业提供开放的电子商务平台,进行网上B2B业务。iChain是包括安全、管理和交易在内的核心服务集合体,它能够提供目前最完整的外部网访问管理系统。
Novell的内部SSO技术以Novell SecureLogin及帐户管理(Novell Account Management)为基础,是Novell覆盖面更广的身份验证存取管理解决方案的一部分。就以Novell iChain为例,该功能可存取及单一式登录技术可扩展至网上应用软件。Novell存取管理系列产品让企业有效管理及安全地发挥网络资源的方便,让网上用户、无线存取用户、拨号用户、虚拟专网用户及企业用户能安全地推行单一式登录功能。
2.5.9 Pubcooie
Pubcooie是华盛顿大学计算机和通信系Pubcookie 工作组开发的为跨组织
WEB认证开发的开放源代码软件。它包括独立的登录服务器和专门为通用WEB 服务器像Apache 和微软的IIS 平台开发的模块。通过这些模块能够将现有的认证服务像Kerberos、LDAP、NIS 打包进一个解决方案中,使用户能够实现一次登录认证。详细内容参见附录[31]。
2.6 专利应用
关于单点登录的研究已经有了一些企业、机构、研究所就该技术的结构和方法申请了许多专利。如异构计算机系统间网络用户跨平台登录的方法和系统、在分布式计算环境中提供聚集式服务、与异类联合体环境中验证声明相关的拥有证明操作用方法和系统等。
异构计算机系统间网络用户跨平台登录的方法和系统(Method and system for providing cross-platform access to an internet user in a heterogeneous network environment)提供一种异构计算机系统间网络用户跨平台登录的方法和系统。系统包括多个异构计算机系统,其中至少有一个计算机系统需要基于因特网的用户认证和企业目录服务,企业目录服务与其他异构计算机系统共享。企业目录服务包括至少一个和因特网用户身份相关的企业角色,该企业角色可以登录其他跨平台的异构计算机系统。允许在特定操作系统下单独定义、配置企业角色,也可以根据企业组定义、配置。通过本发明可以使得因特网用户实现对异构系统的登录。详细内容参见附录[18]。
在分布式计算环境中提供聚集式服务方法(Provisioning aggregated services in a distributed computing environment)公开了用于供应与聚集web服务一起使用的软件资源的方法、系统和计算机程序产品。该公开的技术使得异构身份系统能加入到动态、运行时web 服务集成环境。现在可为聚集服务及其子服务执行认证和授权。根据本发明,可为聚集服务提供“统一登录”或单点登录能力,从而可以在执行该聚集服务的开始使用聚集服务的供应接口以向用户请求所有需要的信息。详细内容参见附录[19]。
与异类联合体环境中验证声明相关的拥有证明操作用方法和系统(Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment)提供一种方法、设备、系统和计算机程序产品,其中联合域在联合体环境中交互作用。联合体内的域能够在其它联合域为用户启动联合单一注册操作。域内的联系点服务器依靠域内的信任代理管理域和联合体之间的信任关系。根据需要,信任代理解释来自其它联合域的声明。信任代理可与一个或多个信任中介具有信任关系,信任代理可依靠信任中介帮助解释声明。为了提高安全性,通过在用户启动单一注册操作之后执行的拥有证明质询,域还可要求用户重新证明他们的身份。详细内容参见附录[20]。
第三章单点登录系统的结构与方法
本章主要介绍一些单点登录的基本结构和解决方法,以及单点登录系统涉及的关键技术要点,并对这些所介绍的结构和方法作相应的比较。
3.1 单点登录系统的结构
单点登录的结构包括简单的单点登录系统结构、基于Web的单点登录系统结构、Windows系统集成认证结构、分布式单点登录系统结构以及其它单点登录系统的结构。
3.1.1 简单的单点登录系统结构
用户与应用系统进行交互,并进行登录操作,应用系统将用户提供的用户名、密码等转发给统一身份认证系统以检验其是否通过授权。用户得到授权后可以访问本系统内所有得到授权的资源,如果需要访问其它应用系统,需要重新登录其它应用系统。该类系统结构比较简单,安全性较差,现在单点登录的应用中已经不大采用了。
3.1.2 基于Web的单点登录系统结构
基于Web的单点登录应用主要是依赖于客户端cookie。浏览器的使用者在Web层被提示进行应用程序的认证,这个身份被传到应用服务器上以用于认证用户。成功登录的结果是生成一个cookie,它的作用范围是应用服务器驻留的DNS 域。然后cookie返回到给向应用程序服务器发送请求的浏览器。默认情况下,当用户退出应用程序或关闭浏览器时,cookie 的生命周期结束。通过指定名字控制cookie的作用域,它可以实现既禁用单点登录同时又可以创建一组不同的应用程序或Web组件并使它们加入SSO组。对SSO组的使用允许单一DNS域作为多重应用程序的宿主,其中每一个应用程序都可以控制其它应用程序或Web组件作为特定单点登录环境的一部分参与。如果客户端禁止了Cookie的话,就无法正常工作;如果客户端浏览器安装了一些浏览器插件,比如上网助手之类的,就导致在SSO上成功登录以后,浏览器没有自动关闭,也无法完成正常的单点登录应用。
通常用户收到登录页面和会话token后,填入合适的认证信息。当用户提交登录页面后,这些认证信息就被发给认证提供者(authentication provider)(LDAP服务器,RADIUS服务器等)进行验证。一旦认证提供者成功验证了认证信息,用户就被认为是通过了认证。Identity Server会从用户的token中取出会话信息并将会话状态设为有效。此后,用户就可以访问这些受保护的资源。
cookie是由Web服务器创建的信息包,并传递给浏览器。cookie 保存类似用户习惯等Web服务器产生的信息。它本身并不表明用户通过了认证。Cookie 是特定于某个域的。在Identity Server的实现中,cookie由会话服务产生,
并由认证服务设定。而且,Identity Server的cookie是会话cookie,存储在内存中。会话token由会话服务创建并插入cookie。会话token利用安全随机数发生器产生,并包含Portal Server特有的会话信息。在存取受保护的资源之前,用户由认证服务验证,并创建SSO token。
Web技术的发展提供了新的模式。通过Web化将各种信息集中到Web上展现,把各种应用客户端统一到浏览器上,以减少支持和维护需求。某些基于Web的单点登录系统并不采cookie的方法,其登录认证授权方式与其它结构相似,如图3-1所示。
Fig 3-1 Web based Single Sign On System application workflow
图3-1基于Web的单点登录系统应用流程
具体应用流程如下所示:
1.用户访问认证服务器,返回应用系统首页;
2.用户在计算机USB接口上插入包含自己证书和私钥的e-Key,在Web页面上输入私钥密码,点击登录按钮;浏览器插件调用e-Key,生成认证
请求信息,并将认证请求发送到认证服务器;
3.认证服务器对用户的身份进行认证;
4.用户身份认证成功后,向用户浏览器IE返回登录成功页面,该页面包含指向应用系统;
5.用户点击应用系统链接,向认证服务器发送登录应用系统请求(可跳过);
6.认证服务器向用户浏览器IE返回重定向页面,该页面中包含加密的用户身份认证信息;
7.用户浏览器IE被自动重定向到应用系统Web服务器,并将加密的用户身份认证信息发送到应用系统Web服务器;
8.应用系统Web服务器访问认证服务器,得到用户身份认证信息,根据用户标识访问应用系统数据库为用户分配权限;
9.应用系统Web服务器根据用户权限向用户浏览器IE返回应用系统登录成功页面。
3.1.3 Windows系统集成认证结构
Windows系统集成认证实现方式要求开发的应用系统直接集成Windows系统的安全服务和接口,可以减少自行开发的费用和时间,直接利用Windows系统的安全特性,如信任关系、PKI认证协议Kerberos,提高应用的安全级别,实现Windows平台下的单点登录SSO。
Windows系统集成认证的协议采用了工业标准Kerberos,在Windows XP、Windows 2000以及Windows 2003 Server做客户端的电脑,都支持这种认证协议。当客户端电脑加入域后,客户端以及集成Kerberos的应用即可以实现整个域的单点登录。Windows客户端和服务器都内置了Kerberos协议,客户端只需要登录一次,即可以访问服务器本地资源和网络中域或信任域里的资源。
Windows 2000/2003域内部通过Kerberos身份认证协议提供了SSO,Kerberos 身份验证协议是Windows 2000/2003默认的身份认证协议。Kerberos协议的使用极大提高了管理的简便性、安全性与网络性能。
Kerberos是业界的标准网络身份验证协议,该协议是在麻省理工学院起草的,旨在给计算机网络提供"身份验证"。Kerberos协议的基础是基于信任第三方,如同一个broker集中的进行用户认证和发放电子身份凭证,它提供了在开放型网络中进行身份认证的方法,认证实体可以是用户或用户服务。这种认证不依赖宿主机的操作系统或主机的IP地址,不需要保证网络上所有主机的物理安全性,并且假定数据包在传输中可被随机窃取篡改。Kerberos协议是基于票据的思想。票据是由称为密钥分发中心KDC的可信任颁发机构颁发的加密数据包。票据可以证明用户的身份,同时还携带了其它信息。KDC为其颁发机构范围内的所有用户提供票据。在Windows 2000/2003中,每一个域控制器就是一个KDC,而域控制器的领域与其所在的域对应。
在基于Windows 2000/2003的同构网络环境内,管理员不需要执行SSO特定管理任务。SSO功能已经集成进了他们日常的管理任务中。例如管理员从不需要建立用户与域控制器共享的密钥。因为当他建立用户帐号时,共享密钥已经作为创建该帐号过程的一部分透明地生成了,并被安全地散布到需要的位置。同样,当管理员在域间建立信任关系时,使跨域引用生效所需要的密钥,也将透明地生成并安全地交换。
3.1.4 分布式单点登录系统结构
在分布式环境中,用户应用可能处于不同的操作系统中。解决分布式单点登录问题需要在不同操作系统平台所组成的网络中实现单点登录,认证服务器将作为全异构系统间扮演中介角色的最佳平台,其系统结构如图3-2所示。
统一认证与单点登录系统产品需求规格说明书 北京邮电大学
版本历史
目录 0文档介绍 (5) 0.1 文档目的 (5) 0.2 文档范围 (5) 0.3 读者对象 (5) 0.4 参考文档 (5) 0.5 术语与缩写解释 (5) 1产品介绍 (7) 2产品面向的用户群体 (7) 3产品应当遵循的标准或规范 (7) 4产品范围 (7) 5产品中的角色 (7) 6产品的功能性需求 (8) 6.0 功能性需求分类 (8) 6.0.1产品形态 (8) 6.1 外部系统管理 (9) 6.1.1外部系统注册 (9) 6.1.2外部系统集成配置 (11) 6.2 用户管理 (11) 6.2.1用户管理控制台 (11) 6.2.2用户自助服务 (13) 6.2.3统一用户管理 (13) 6.3 组织结构管理 (14) 6.4 权限管理 (15) 6.4.1统一角色管理 (18) 6.5 单点登录 (18) 6.5.1基于Httpheader单点登录 (19) 6.5.2基于表单代填的方式单点登录 (20) 6.5.3基于CAS单点登录 (20) 6.5.4总结 (23) 7产品的非功能性需求 (24) 7.1.1性能需求 (24) 7.1.2接口需求 (24) 8附录B:需求确认 (25)
0文档介绍 0.1文档目的 此文档用于描述统一认证与单点登录系统的产品需求,用于指导设计与开发人员进行系统设计与实现。 0.2文档范围 本文档将对系统的所有功能性需求进行消息的描述,同时约定非功能性以及如何与第三方系统进行交互。 0.3读者对象 本文档主要面向一下读者: 1.系统设计人员 2.系统开发与测试人员 3.系统监管人员 4.产品甲方管理人员 0.4参考文档 《凯文斯信息技术有限公司单点登录及统一用户技术方案V1.0》 0.5术语与缩写解释
单点登录和单一登录的区别? 1.单点登录: 单点登录是登录之后所有该域名的网站都可以不用登录了把包括子域名。 单点登录是从一个系统登录以后,其他地方不用登录。。。 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务 单点登录的机制也一样,如下图所示,当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录(1);根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该返回给用户一个认证的凭据--ticket(2);用户再访问别的应用的时候(3,5)就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行效验,检查ticket的合法性(4,6)。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。 [重点是Ticket,参考中国电信,重点还有认证中心] 从上面的视图可以看出,要实现SSO,需要以下主要的功能: ?所有应用系统共享一个身份认证系统。 统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行效验,判断其有效性。 ?所有应用系统能够识别和提取ticket信息 要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
威高集团Peoplesoft系统用户操作手册 -- 自助服务 创建日期: 2016-8-5 控制编码: 当前版本: 2.0
目录 第一章用户手册惯例及系统通用操作 (3) 1.1系统连接与访问方式 (3) 1.1.1客户端和浏览器要求 (3) 1.1.2网络要求 (3) 1.1.3单点登录 (3) 1.2用户登录与更改密码 (4) 1.2.1用户登录 (4) 1.2.2更改密码 (5) 第二章员工自助 (6) 2.1功能概述 (6) 2.2操作说明 (6) 2.2.1查看信息 (6) 2.2.2修改信息 (8) 2.2.2.1修改手机号码 (8) 2.2.2.2修改邮箱信息 (10) 第三章用户手册惯例及系统通用操作 (13) 3.1系统概述 (13) 3.2手册术语 (13) 3.2.1操作约定 (13) 3.2.2页面常见按钮/图标解释 (14) 文档控制 (15)
第一章用户手册惯例及系统通用操作 1.1系统连接与访问方式 2.2.1 客户端和浏览器要求 威高集团安装的PeopleSoft系统是当前最新版本——PeopleSoft 9.2。新版本中除了增加和完善部分新功能之外,在视觉美观方面也大大增强。 如欲获得最佳视觉体验,请使用较高版本的浏览器,如Internet Explorer 7.0或以上版本、Chrome28或以上版本、Mozilla Firefox 3.5或以上版本。 2.2.2 网络要求 网络方面,根据威高集团人力资源部要求,PeopleSoft系统能够通过外网及内网访问。访问地址如下: 外网:http://221.2.165.51:8070/ 内网:http://172.16.7.72/ 2.2.3 单点登录 员工可通过云办公快捷路径登录Peoplesoft系统,访问方式如下图所示:
xxxx集团 单点登录技术方案
目录 1. xxxx集团系统建设现状 (4) 1.1. Web应用系统 (4) 1.2. C/S应用系统 (4) 1.3. SSL VPN系统 (4) 2. xxxx集团单点登录系统需求 (5) 2.1. 一站式登录需求 (5) 3. SSO(单点登录)技术简介 (6) 3.1. 修改应用程序SSO方案 (6) 3.2. 即插即用SSO方案 (7) 3.3. 两种SSO方案比较 (7) 3.4. 惠普SSO (7) 3.4.1. 惠普SSO开发背景 (7) 3.4.2. 惠普SSO的功能 (8) 3.4.3. 惠普SSO的特点 (9) 3.4.4. 惠普SSO结构 (10) 4. xxxx集团单点登录技术方案 (11) 4.1. 应用系统中部署惠普SSO单点登录 (11) 4.1.1. 解决全局的单点登录 (12) 4.1.2. 应用系统的整合 (12) 4.1.3. 用户如何过渡到使用单点登录 (13) 4.1.4. 管理员部署业务系统单点登录功能 (14) 4.1.5. 建立高扩展、高容错单点登录环境 (15) 4.1.6. 建立稳定、安全、高速网络环境 (15) 4.2. 定制工作 (16) 4.2.1. SSL VPN结合 (16)
4.2.2. 密码同步 (16) 5. 项目实施进度 (17) 5.1. 基本安装配置 (17) 5.2. 配置认证脚本 (17) 5.3. 总体进度 (17) 6. 硬件清单 (19) 7. 软件清单 (20)
1.xxxx集团系统建设现状 xxxx集团有限责任公司(以下简称集团公司)管理和运营省内11个民用机场,以及20多个关联企业(全资子公司、控股企业、参股企业)。现有的信息系统主要有生产运营系统和管理信息系统,其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等,管理信息系统主要有财务系统、OA 系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。 各信息系统都有独立的用户组织体系,采用“用户名+密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题:1、终端用户需要记住多个用户名和密码;2、终端用户需要登录不同的信息系统以获取信息;3、系统管理员难以应付对用户的管理;4、难以实施系统使用安全方面的管理措施。 1.1.Web应用系统 xxxx集团现有的Web应用系统包括:办公自动化系统(OA)、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、或者购买的商业软件。每个应用系统都有自己的用户管理机制和用户认证机制,彼此独立。每个应用系统用户名、口令可能各不相同。 1.2.C/S应用系统 xxxx集团目前的C/S应用只有一个:财务系统,金蝶K3财务系统。 1.3.SSL VPN系统 xxxx集团有一套SSL VPN系统,集团局域网之外的用户(包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等)是通过SSL VPN 系统进入集团局域网的,通过SSL VPN系统进入集团局域网访问的系统包括:OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网站等。用户经过SSL VPN系统进入集团局域网需要经过身份认证。
用SSH框架整合实现注册登录系统 注册登录系统几乎是每一个web程序必须拥有的功能,因此,在本次课程设计中将其单独提取出来,并使用SSH框架的整合来实现这个系统。虽然注册和登录系统并不复杂,但这两个子系统却拥有一个完整系统的必要功能,如验证客户端输入、数据库访问等。因此,通过本次课程设计的练习,大家可以基本上了解使用SSH框架整合开发一个完整系统的一般步骤。 本次课程设计的主要内容有: ●系统概述 ●设计数据库 ●SSH三大框架的整合 ●MD5加密的实现(选做) ●注册系统的实现 ●登录系统的实现
1、系统概述 本次课程设计练习了一个简单的Web系统,该系统实现了用户注册、用户登录两个功能。本系统的实现是基于SSH框架整合技术的。本系统功能单一,业务逻辑简单。主要用于大家练习如何使用SSH框架整合技术开发一个完整的Web 系统。 1.1系统功能简介 本系统分为两个功能:注册和登录,当用户注册一个新用户时(可以使用英文和中文用户名),就是向数据库的user表中添加一条记录。 当用户输入注册信息时,本系统提供了基本的客户端验证,来判断用户输入的合法性,只有当用户的输入满足系统的要求时,才会将用户输入的数据提交到服务器端负责处理注册信息的Action。在注册Action成功处理完用户提交的注册信息后,客户端仍然会回到注册页面。如果用户想使用已经注册的用户名来登录,可以通过单击“登录”超链接转到登录页面进行登录。 当用户在登录页面正确输入在数据库中已经存在的用户名和密码时,就可以成功登录了。在用户登录页面也拥有和用户注册页面类似的客户端验证机制。也就是说,只有当用户名和密码都输入时,系统才会向服务器端负责登录的Action 提交信息。通过验证用户名和密码都正确,系统才允许登录。 1.2系统总体结构 本系统的注册系统和登录系统是相互独立的,但可以通过使用注册和登录系统的相应超链接导航到另一个系统中。每一个系统分别由一个处理业务逻辑的Action、DAO层代码和若干个JSP页面组成。其中注册系统的Action是RegisterAction类,另外还有一个用于显示用户注册页面的register.jsp文件和一个负责显示处理结果的result.jsp文件。登录系统的Action是LoginAction类,另外还有一个login.jsp文件和一个表示用户已经成功登录的success.jsp文件。用户注册登录系统的工作流程图如下图所示:
单点登录系统(SSO)详细设计说明书 1、引言 1.1编写目的 为了单点登录系统(SSO系统)的可行性,完整性,并能按照预期的设想实现该系统,特编写需求说明书。 同时,说明书也发挥与策划和设计人员更好地沟通的作用。 1.2背景 a.鉴于集团运营的多个独立网站(称为成员站点),每个网站都具有自己的身份验证机制,这样势必造成:生活中的一位用户,如果要以会员的身份访问网站,需要在每个网站上注册,并且通过身份验证后,才能以会员的身份访问网站;即使用户以同样的用户名与密码在每个网站上注册时,虽然可以在避免用户名与密码的忘记和混淆方面有一定的作用,但是用户在某一段时间访问多个成员站点或在成员站点间跳转时,还是需要用户登录后,才能以会员的身份访问网站。这样不仅给用户带来了不便,而且成员网站为登录付出了性能的代价; b.如果所有的成员网站,能够实现单点登录,不仅在用户体验方面有所提高,而且真正体现了集团多个网站的兄弟性。通过这种有机结合,能更好地体现公司大平台,大渠道的理念。同时,这样做也利于成员网站的相互促进与相互宣传。 正是出于上面的两点,单点登录系统的开发是必须的,是迫在眉睫的。1.3定义 单点登录系统提供所有成员网站的“单一登录”入口。本系统的实质是含有身份验证状态的变量, 在各个成员网站间共用。单点登录系统,包括认证服务器(称Passport服务器),成员网站服务器。 会员:用户通过Passport服务器注册成功后,就具有了会员身份。 单一登录:会员第一次访问某个成员网站时,需要提供用户名与密码,一旦通过Passport服务器的身份验证, 该会员在一定的时间内,访问任何成员网站都不需要再次登录。 Cookie验证票:含有身份验证状态的变量。由Passport服务器生成,票含有用户名,签发日期时间, 过期日期时间和用户其它数据。
中国联合网络通信有限公司合作方自服务门户系统 操作手册 文档作者: 创建日期: 确认日期: 当前版本: 审批人
文档控制 -创建- 增加- 修订
目录 1.概述 (4) 1.1.编写说明 (4) 1.2.术语解释 (4) 1.3.合作方注册与添加业务员的说明 (5) 1.1.合作方人员自助操作 (7) 2.1.1合作方自服务门户首页操作介绍 (7) 2.1.2合作方自助注册 (8) 【业务场景】 (8) 【功能概要】 (9) 【操作流程】 (9) 【操作说明】 (10) 【注意事项】 (15) 2.1.3合作方自助新增合作范围 (16) 【业务场景】 (16) 【功能概要】 (16) 【操作流程】 (17) 【操作说明】 (17) 【注意事项】 (21) 2.1.4合作方自助新增业务员 (22) 【业务场景】 (22) 【功能概要】 (22) 【操作流程】 (22) 【操作说明】 (23) 【注意事项】 (29) 2.1.5合作方管理员登录系统操作 (30) 【业务场景】 (30) 【功能概要】 (30) 【操作流程】 (30) 【操作说明】 (30) 【注意事项】 (42) 2.1.6合作方业务员登录系统操作 (42) 【业务场景】 (42) 【功能概要】 (42) 【操作流程】 (42) 【操作说明】 (42) 【注意事项】 (47)
1.概述 1.1.编写说明 本操作手册依据确认的合作方需求规格说明书—《中国联通合作方管理应用业务需求规格说明书V2.0》撰写。 手册介绍合作方登录合作方自服务门户的自助操作和联通合作方管理员通过联通云门户单点登录到合作方自服务门户对合作方管理的操作。 所有的联通员工,统一接入云门户,并通过云门户一点访问所有的业务应用系统;所有的合作方人员(供应商、合作伙伴、代理商等),统一接入合作方自服务门户,并通过合作方自服务门户一点访问相关的业务应用系统; 本用户操作手册的每一章按合作方业务中涉及的基本操作类型来展开,手册是合作方业务的操作说明,包括以下四个方面: 1.业务场景:描述功能实现的业务前提。 2.功能概要:此功能的概要描述; 3.操作流程:业务实现的系统流程。 4.操作说明:系统内的操作步骤。 5.注意事项:操作规范化内容。 本操作手册将尽量做到准确、详细、全面,报告中如有错误、不当、或遗漏的问题,请客户方予以纠正和补充。 此说明文档将作为解决方案及其以后实施工作的重要依据,需要用友和联通双方最终确认,如果需要更改或添加内容,则必须由双方共同协商同意后才可。 未经特别提示,本手册中不以图示中内容信息为准,仅供参考。 1.2.术语解释
项目实训总结 通过本次课程设计,我感受颇多,尽管上课时也认真听了老师的讲课,但是已开始面对自己的题目时,还真是有些不知所措,都不知道如何下手,后来鼓起勇气着手实训,纵然前面会很多挫折,硬着头皮开始了。 本次实训是分工合作形式,我负责JSP页面设计,在这过程中,要设计登录界面,管理员,教师和学生的相关功能。我负责了部分代码的完成,对于第一次合作完成一个完整教务登录管理系统确实有些摸不着头脑。然而,经过这差不多四个星期来的学习与编码,总算还是收获不少,对JavaEE的认识也更加的深刻了。JSP是一门新技术,他基于Java Servlet以及整个JavaEE框架体系的Web开发技术。从网上得知JavaEE的中文问题历史悠久,连绵不绝,至今也没有完全解决,但是上有政策下有对策,我们总是有办法搞定它的。跟JavaEE相关的中文问题主要有两类,一类是编程的问题,涉及到I/O,内码转换等。第二类是JavaEE运行环境的配置,涉及字体,属性配置等。觉得很有必要给自己写个备忘录之类的。学习了JavaEE,感触很深,这一技术是需要有一定基础、而且动手能力强的学科。书上也强调一点是:要想真正地掌握JavaEE技术,必须有较好的java语言基础,以及HTML语言方面的知识。想想的确对啊。 在这个过程中,我感觉就像人生的一个缩影,充满了酸甜苦辣。当一个问题想了好久也无法解决时,我感到沮丧与无助。当经过努力解决了一个程序上的难题时,我感到无比的喜悦。当经过每天为了编写代码一坐就是四五个小时,晚上还要写到凌晨一两点钟的时候,我感到无比的痛苦。但艰难痛苦已成往事,灿烂的明天向我走来,今天我总算迎接了胜利的果实,以前的辛酸与痛苦化作我坚强的力量,将在我将来的人生历程中,为我的美好明天打下坚实的基础。 从功能上来讲,本教务系统数据库采用自顶而下的设计思路,数据库的访问权限逐层限制。同时处于同一层次的不同角色之间的权限有交叉性又有差异性。基本上能够完成对数据的查询,添加,删除,修改等基本的数据库系统操作。 从数据库的运行效率上来讲,本教务管理系统由于没有采用数据库管理系统的默认的系统参数,并根据的实际的数据需求进行重新配臵,同时对物理体系结构的调整,使得数据库的运行效率得到提高。
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
设计任务书 设计题目: 网站注册登录系统的设计与开发 设计内容: 1. 访问者注册到数据库 2.注册后能够登陆 3. 注册验证 4. 登陆密码找回 设计要求: 1. 程序调试成功,能够演示。 2 攥写毕业设计论文不得少于15000字。
开题报告 一、设计题目 用户注册登录系统的设计与开发 二、设计目的 1. 掌握ASP的技术,熟悉ASP各内置对象及组件的功能,并会运用 2.掌握Vbscript脚本语言的编写,并了解相关语言Javascript的用 途,结合Access等数据库知识,掌握编写ASP的方法. 3.运用所学知识,实现用户进入系统的登录注册,并实现身份验证,以 达到与其他Web页一起管理系统的目的. 三、设计要求与方法 能用ASP完成用户的登记、注册及身份验证,结合Access等数据库的相关知识,实现小型数据管理数据库功能的一环节。 系统主要采用ASP3.0、HTML、Access数据库、JScript、SQL等技术和工具设计实现。 四、设计任务计划书 为按时完成设计任务,达到毕业设计的要求,在现有的设备、资源条件下,我的主要任务是: 1.掌握ASP的概念,知道ASP编程的优点及特点,了解当今ASP的发展现 状以及背景; 2.进一步学习ASP,理解ASP相关的重要概念,如ActiveX、SQL Server 等,熟练掌握ActiveX组件及其中的内置对象,特别是Session对象,这在本软件设计中占有重要的地位。
3.本设计另一重要语言即是脚本语言Jcript,由于Jcript与Java有诸多 共同点,一般熟悉Java的人对Jscript上手很容易,所以还需要阅读适量的Java语言,同时相关语言,如VBscript等也尽量涉猎。 4.在前三项任务基本完成后,就可以着手对用户登记注册及身份验证的编 程了,这是本次毕业设计的核心部分,所以这部分的编程、调试、运行将占有大量的时间。 基于本次毕业设计的上述四步曲,特将时间安排如下: 万事开头难,故用两到三星期查阅资料,涉猎ASP的入门知识; 完成第一步; 入门之后,四月中旬之前完成第二及第三项任务,并开始着手编 程; 再用一个半月的时间编程、调试、运行直至结果成功; 六月初开始写论文,排版,并打印上交。 五、设计所要实现的功能: 该模块的功能是实现用户远程注册。用户输入想要注册的用户名、密码,提交之后由系统判断该用户是否已经存在,如果存在,就给出相应信息,如果不存在,就把用户输入的用户名和密码写到数据库中,完成注册
数字校园系列软件产品 单点登录管理系统 功能白皮书
1产品概述 1.1产品简介 单点登录系统主要是为了方便学校管理层、教师及学生对数字化校园各个应用系统的访问而设计的一个系统。对于已经建设和将要建设的数字化校园应用系统,不同的用户身份和使用口令,不但给数字化校园系统带来安全隐患,也给使用者带来记忆负担。 单点登录系统通过对数字化校园系统平台及应用系统的登陆参数进行管理和配置,然后将单点登录Portlet插件部署到门户页面中,让用户点击单点登录插件中的应用系统列表就可以登录到各应用系统中,既保证了账户的安全又极大缩减了管理人员的管理工作量。 单点登录系统实现了与统一信息门户平台的无缝对接,通过单点登录插件使单点登录系统能够在统一信息门户平台上进行展示。通过统一信息门户平台集成的单点登录插件,单击相应的应用系统列表实现对各个应用系统的访问。 1.2应用范围
1.3界面展示 2产品结构2.1系统结构图
2.2应用模型 系统采用MVC多层设计模式,实现业务逻辑与表现层的隔离,业务逻辑与数据访问的隔离。本系统与第三方的系统集成采用WebService方式和iFram两种方式,方便第三方系统的集成。 图单点登录管理系统层次结构图 3产品介绍 3.1应用系统管理 3.1.1应用系统列表显示 实现对现有应用系统的列表显示,单击功能列表里的“应用系统管理”功能
进行显示。 3.1.2应用系统添加 实现对应用系统的添加功能,将即将上线的数字化校园应用系统添加到单点登录管理系统中,实现单点登录功能。
对单点登录管理系统现有应用系统配置信息进行修改。 3.1.4应用系统删除 对已经添加到单点登录管理系统的应用系统进行删除操作。
单点登录SSO系统 解决方案 ***有限公司 20
文档信息版本历史
目录 1.概述 (5) 1.1.背景 (5) 1.2.目标 (5) 1.3.阅读对象 (5) 1.4.术语和缩略语 (5) 2.SSO概述 (6) 2.1.SSO规范 (6) 2.1.1.名称解释 (6) 3.SSO接口规范 (7) 3.1.SSO接口图 (7) 3.2.SSO接口清单 (7) 3.3.单点登录接口 (8) 3.3.1.登录 (8) 3.3.2.登录状态检查 (10) 3.3.3.用户信息获取 (11) 3.3.4.登录状态查询 (12) 3.3.5.单点登录使用场景 (12) 3.4.组织数据WS同步 (13) 3.4.1.接口说明 (13) 3.4.2.使用场景 (13) 3.4.3.字段说明 (13) 3.4.4.业务规则和逻辑 (14)
3.5.用户数据WS同步 (15) 3.5.1.接口说明 (15) 3.5.2.使用场景 (15) 3.5.3.字段说明 (15) 3.5.4.业务规则和逻辑 (16) 4.实施建议 (17) 4.1.SSO实施(基本认证) (17) 4.1.1.接入流程 (17) 4.1.2.接入准备 (18) 4.1.3.接收数据 (18) 4.1.4.登录状态检查方法 (18) 4.1.5.登录/检查登录状态成功—主体代码(Success URL)编写 (18) 4.1.6.登录失败处理 (19) 4.1.7.状态检查未登录处理 (19) 4.2.组织和用户接收 (19) 4.2.1.开发框架 (19) 4.2.2.开发过程 (19) 5.附录 (20) 5.1.SSO E RROR C ODE (20) 5.2.SSO T OKEN XML (20) 5.3.SSO用户信息 (20) 5.4.SSO获取用户信息失败的状态码 (20)
用户注册、登录系统设计 采用的软件:Mysql+Tomcat6.0+Myeclipse 7.0 1.数据库的设计: 2.程序实现思路: 如果要完成用户登录,则一定要有一个表单页面,此页面可以输入登录用户名和密码,然后将这些信息提交到一个验证的jsp页面上进行数据库的操作验证,如果可以查询到用户名和密码,那么就表示此用户是合法用户,则可以跳转到登录成功页。如果没有查询到表示此用户是非法用户,应该跳转到错误页面提示。 3.用户注册页面:registerForm.jsp <%@ page language="java" import="java.util.*" pageEncoding="gb2312"%>