Enterprise_SSO

Oracle® Enterprise Single Sign-onLogon ManagerBest Practices: Packaging ESSO-LM for Mass Deployment Release 11.1.1.5.0E21005-01March 2011Oracle Enterprise Single Sign-on Logon Manager Best Practices: Packaging ESSO-LM for Mass DeploymentRelease 11.1.1.5.021005-01Copyright © 2011, Oracle and/or its affiliates. All rights reserved.This software and related documentation are provided under a license agreement containing restrictions on use and disclosure and are protected by intellectual property laws. Except as expressly permitted in your license agreement or allowed by law, you may not use, copy, reproduce, translate, broadcast, modify, license, transmit, distribute, exhibit, perform, publish, or display any part, in any form, or by any means. Reverse engineering, disassembly, or decompilation of this software, unless required by law for interoperability, is prohibited.The information contained herein is subject to change without notice and is not warranted to be error-free. If you find any errors, please report them to us in writing.If this software or related documentation is delivered to the U.S. Government or anyone licensing it on behalf of the U.S. Government, the following notice is applicable:U.S. GOVERNMENT RIGHTS Programs, software, databases, and related documentation and technical data delivered to U.S. Government customers are "commercial computer software" or "commercial technical data" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, the use, duplication, disclosure, modification, and adaptation shall be subject to the restrictions and license terms set forth in the applicable Government contract, and, to the extent applicable by the terms of the Government contract, the additional rights set forth in FAR 52.227-19, Commercial Computer Software License (December 2007). Oracle USA, Inc., 500 Oracle Parkway, Redwood City, CA 94065.This software is developed for general use in a variety of information management applications. It is not developed or intended for use in any inherently dangerous applications, including applications which may create a risk of personal injury. If you use this software in dangerous applications, then you shall be responsible to take all appropriate fail-safe, backup, redundancy, and other measures to ensure the safe use of this software. Oracle Corporation and its affiliates disclaim any liability for any damages caused by use of this software in dangerous applications.Oracle is a registered trademark of Oracle Corporation and/or its affiliates. Other names may be trademarks of their respective owners.This software and documentation may provide access to or information on content, products, and services from third parties. Oracle Corporation and its affiliates are not responsible for and expressly disclaim all warranties of any kind with respect to third-party content, products, and services. Oracle Corporation and its affiliates will not be responsible for any loss, costs, or damages incurred due to your access to or use of third-party content, products, or services.Table of ContentsTable of Contents (3)Introduction (4)About This Guide (4)Terms and Abbreviations (4)Accessing ESSO-LM Documentation (4)Packaging ESSO-LM for Mass Deployment (5)Overview (5)Pre-Requisites for Unattended (“Silent”) Installations (6)Creating a Customized Agent Installation Package (7)Testing the Customized Package in a Pilot Deployment (10)IntroductionAbout This GuideThis guide describes best practices and recommended procedures for creating a custom MSI package that will be used to deploy ESSO-LM to end-users. This guide is intended for installation engineers and system administrators familiar with Windows Installer (MSI) packaging and enterprise-wide deployment of applications. By following the recommendations in this and other ESSO-LM Best Practices guides, you will implement an optimal ESSO-LM configuration.Terms and AbbreviationsThe following table describes the terms and abbreviations used throughout this guide:ESSO-LM Oracle Enterprise Single Sign-On Logon ManagerAgent ESSO-LM Client-Side SoftwareConsole ESSO-LM Administrative ConsoleAccessing ESSO-LM DocumentationWe continually strive to keep ESSO-LM documentation accurate and up to date. For the latest version of this and other ESSO-LM documents, visit /docs/cd/E21040_01/index.htm.Packaging ESSO-LM for Mass DeploymentOverviewThe most convenient way to mass-deploy ESSO-LM SSO is to create a customized MSI package and distribute it to end-user machines using a deployment tool of your choice. An end-user machine that has been configured and tested for production acts as a configuration “master” from which the target Agent configuration will be derived for inclusion in the package. Below is a high-level overview of the required steps. The steps are described in detail later in this guide.1.Obtain the following:a.The latest ESSO-LM installers.b.The latest versions of the following documents:•Best Practices: Packaging ESSO-LM for Mass Deployment (this document)•Best Practices: Deploying ESSO-LM with [your target repository]•Best Practices: Configuring the ESSO-LM Agent•The Installation and Setup guide for your version of ESSO-LM2.If performing an unattended (“silent”) installation, complete the steps in Pre-Requisites forUnattended (“Silent”) Installations.3.Install the ESSO-LM Agent and the ESSO-LM Administrative Console on the “master” machine.4.Configure ESSO-LM settings using the Console. Make sure you have thoroughly read andunderstood the ESSO-LM Best Practices guides listed above before you begin.5.Generate the custom MSI package using the ESSO-LM Administrative Console:a.Select the ESSO-LM components that you want installed on the end-user machines.(For example, if your environment calls for a single primary logon method, you may want toexclude all but the desired authenticator.)b.Select the customized set of global Agent settings you have configured in step 4.c.Generate the final MSI package. This package will contain the components selected in step6a and configuration settings from step 4.d.Test the package by deploying it on a pilot group of machines. Identify and correct anyissues that may arise. Document the solutions as necessary.e.Once the pilot deployment is successful, deploy the MSI package enterprise-wide usinga third-party tool of your choice.Pre-Requisites for Unattended (“Silent”) InstallationsIn order to successfully install ESSO-LM in unattended ("silent") mode, the Windows Management Instrumentation (WMI) service must be running before the installer is executed.To check whether the WMI service is running, and start it if necessary, do the following on each target machine:1.Open the System Management Console.2.Open the Services snap-in.3.Navigate to the Windows Management Instrumentation service and check its status andstartup mode.4.Depending on the status, do one of the following:•If the status is Started, the WMI service is running; proceed to the next section.•If the status is blank, check the service's startup type and start it as follows:o If the startup type is Disabled, do the following:1.Double-click the service.2.In the dialog box that appears, change the startup type to Manual or Automatic,as required by your environment.3.Click Apply.4.Click Start to start the service. The status changes to Started.o If the startup type is not Disabled, do the following:1.Double-click the service.2.In the dialog box that appears, Click Start to start the service.The status changes to Started.3.Click OK.5.Click OK to close the service properties dialog box.Creating a Customized Agent Installation Package1.Place the base ESSO-LM Agent MSI package in a working directory on the “master” machine.2.Start the ESSO-LM Administrative Console.3.Create and configure the desired set of Global Agent settings:Note: Make sure you have thoroughly read and understood the ESSO-LM Best Practices guides listed in the Overview section of this guide.a.In the tree in the left-hand pane, right-click the Global Agent Settings node and selectImport From Live HKLM.b.When the “Live” settings set appears in the tree, right-click it, select Rename from thecontext menu, give the set a descriptive name, and hit Enter.c.Configure ESSO-LM as desired.Note: For detailed information on each setting, see the Console help.4.Create the customized MSI package for deployment to end-user machines:a.From the Tools menu, select Generate Customized MSI.b.In the “ESSO-LM MSI Generator” wizard that appears, do the following:a.In the “Base MSI Selection” screen, click Browse and navigate to the ESSO-LM Agent baseMSI package, then click Next.b.In the “Feature Selection” screen, select the ESSO-LM components that you want to includein the package. Expand each category node to find the desired component(s), then select the check box next to each desired component. When you have finished, click Next.c.In the “New MSI Generation” screen, do the following:i.Select the set of global Agent settings you have created in step 3 from the “GlobalAgent Settings” drop-down list.ii.Click Browse and provide the target path and file name for the customized MSI package.iii.Click Generate.5.Close the “ESSO-LM MSI Generator” wizard.6.Save the package settings to an XML file for future reference:a.From the File menu, select Save.b.When prompted, enter a descriptive file name and click Save.Testing the Customized Package in a Pilot DeploymentOnce you have generated your custom MSI package, test it by installing it on one or more pilot machines. Always install the package on a clean machine – that is, one that does not contain any ESSO-LM-related files or registry entries. If you are using the same machine to test multiple packages, you must sanitize it before installing a new package so that old settings and files do not remain; if the installer detects existing data, it will perform an upgrade instead of a normal installation, resulting in false problems and false positives during testing.To sanitize your pilot machine:1.Delete the following directories and their contents:•The ESSO-LM application directory:o On 32-bit systems: \Program Files\Passlogixo On 64-bit systems: \Program Files (x86)\Passlogix•The ESSO-LM user data directory:o On Windows XP:\Documents and Settings\<user>\Application Data\Passlogix o On Windows Vista and Windows 7:\Users\<user>\AppData\Roaming\Passlogix2.Delete the following registry keys and their children:•On 32-bit systems:o HKEY_CURRENT_USER\Software\Passlogixo HKEY_LOCAL_MACHINE\Software\Passlogix•On 64-bit systems:o HKEY_CURRENT_USER\Software\Passlogixo HKEY_LOCAL_MACHINE\Software\Wow6432Node\PasslogixWhen testing the package, look for any deployment and configuration problems; Oracle highly recommends that you set up a dedicated test environment so that you can perform a full range of staging tests, including the chosen global Agent settings, administrative overrides, synchronization with your central repository, and response to applications. The last item will require that you create a set of pilot templates and test them against a selected set of applications. This will let you spot and correct any application response issues that would have otherwise arisen (and been much more costly to resolve) in production.When the package has been fully tested and verified, use a deployment tool (such as Microsoft Systems Management Server) to deploy ESSO-LM enterprise-wide.。

SSO（Single Sign-On）是一种身份验证机制，它允许用户在多个应用程序中只需要进行一次身份验证，就可以无缝地访问所有已授权的应用程序。

SSO标准是一种用于实现SSO的规范，它定义了如何实现跨应用程序的身份验证和授权。

SSO标准通常包括以下内容：
1. 身份验证协议：定义了如何验证用户的身份，包括用户名和密码的输入、认证方式等。

2. 授权管理：定义了如何管理和控制用户对不同应用程序的访问权限。

3. 单点注册：定义了如何将用户信息从一个应用程序传递到其他应用程序，以便在用户第一次访问时自动完成注册过程。

4. 单点注销：定义了如何将用户从所有应用程序中注销，以便在用户退出时自动完成注销过程。

5. 令牌管理：定义了如何生成和管理令牌，以便在应用程序之间传递用户的身份信息和授权信息。

常见的SSO标准包括SAML（Security Assertion Markup Language）、OpenID Connect（OIDC）等。

这些标准提供了详细的规范和实现指南，帮助开发人员实现跨应用程序的身份验证和授权。

阿里系各个概念英文缩写名词解释大全！！！GMV成交笔数：拍下的订单笔数，包括未付款的。

GMV成交金额：拍下的订单总金额，包括未付款的。

支付宝成交笔数：通过支付宝付款的订单笔数。

支付宝成交金额：通过支付宝付款的订单总金额（不是指确认收货完成了交易，仅指买家完成了付款的动作，因此可能会因为退款，这个数值比商家实际收到的款项高）。

支付宝使用率：支付宝成交金额/GMV成交金额（珠宝66%，饰品82%）支付宝使用率的辅助参数：支付宝笔数/GMV笔数（当支付宝使用率很低时，可用此参数看是否正常(80%以上)。

因为采用限时折扣相关促销工具时，支付宝收到的款项是折扣价，销售记录中显示的是原价，会导致二者比率过低。

）IPV：itemPageView，商品详情页面打开数。

IPV_UV：商品详情页面访客数。

在线商品数：在线的商品数量（SKU）。

购买UV：通过支付宝付款的访客数。

店铺UV：到达店铺任何页面的独立访客数。

店铺PV：PageView，店铺所有页面的总打开数。

佣金：根据扣点百分比，和当日商家支付宝实际收到的金额实时划扣的佣金金额（确认收货后，卖家支付宝账户实际收到的款项为准）转化率1：IPV_UV/ 店铺UV（到达店铺的访客，有多少进入了商品详情页面。

）体现店铺首页、自定义页、分类页是否具备足够的导购能力。

转化率2：购买UV/ IPV_UV（到达商品详情页面的独立访客，有多少付款购买。

）体现店铺单品页面图片、描述等是否能刺激购买。

店铺转化率：购买UV/店铺UV（转化率1*转化率2：到达店铺任意页面的访客，有多少付款购买。

目前珠宝平均1.39%；饰品平均3.18%。

）客单价：支付宝成交金额/购买UV （平均单个客户的购买金额）体现店内的促销活动、关联营销水平，是否能让顾客买更多。

笔单价：支付宝成交金额/支付宝成交笔数（平均每张成交订单的金额）体现店内产品的价格带。

退款率：退款成功的订单笔数/支付宝成交笔数（目前珠宝和饰品平均3.39%）综合评分：以下3项评分的平均值，群内的商家至少要达到4.7以上。

ess名词解释
ESS 是指 "企业协议身份和访问管理(Enterprise SSO)"，是一种用于管理企业内部身份和访问的解决方案。

ESS 通过集中管理企业的用户身份、访问权限和认证信息来提高企业的安全性和效率。

它可以自动登录多种应用程序和系统，实现单一登录(SSO)，简化用户登录过程，减少密码管理的负担。

ESS 还提供了审计和监控功能，使企业能够追踪和监视用户的访问活动，以确保合规性和安全性。

通过使用 ESS，企业可以提高员工的工作效率，降低密码管理的风险，并确保企业的数据和资源得到有效的保护。

sso单点登录的几种实现方式
单点登录（SSO）是一种身份验证和授权的机制，允许用户仅需一次登录就可以访问多个应用程序。

以下是几种常见的SSO实现方式：
1. 基于共享 Cookie：在这种方式下，所有应用程序共享一个中心服务器，该服务器负责验证用户身份并颁发加密的Cookie。

用户登录后，Cookie会在不同的应用程序之间进行传递，以实现无需再次输入用户名和密码即可访问应用程序。

2. 基于令牌：这种方式下，用户成功登录后，认证服务器会颁发一个令牌给用户。

该令牌包含用户身份信息和权限验证。

用户在访问其他应用程序时，只需要将令牌发送给认证服务器验证即可。

3. 基于身份提供商（Identity Provider）：也称为Federation SSO，这种方式下，企业或组织委托第三方身份提供商来管理用户身份验证。

用户登录时，会被重定向到身份提供商进行验证，验证成功后，身份提供商会向应用程序提供一个供其验证用户身份的令牌。

4. 基于OAuth协议：OAuth是一个开放标准的授权协议，被广泛应用于SSO。

它允许用户使用第三方应用程序（被称为客户端）代表用户请求访问受保护的资源，而无需提供第三方应用程序的用户名和密码。

用户登录成功后，授权服务器会颁发一个访问令牌给客户端，客户端可以使用该令牌来访问受保护的资源。

这些实现方式可以根据具体的需求和系统架构选择使用。

统⼀门户与业务系统的sso整合技术⽅案（单点登录）⼀、单点登录（SSO，Single Sign On）整合⽬前计划接⼊统⼀门户的所有业务系统均为基于JavaEE技术的B/S架构系统。

由于统⼀门户的单点登录技术选⽤的是JA-SIG组织开发的Cas Server，故为了与Cas Server进⾏⽆缝整合，各业务系统选⽤的技术依然是由JA-SIG组织开发的Cas Client。

根据各业务系统服务端技术架构的不同，现提供如下2种整合⽅式：1. 在web.xml中配置4个过滤器此⽅式适⽤于所有JavaWeb应⽤。

1) 所需jarcas-client-core-3.3.3.jarslf4j-api-1.7.1.jar2) 配置4个过滤器（其中两个可选）<filter><filter-name>CAS Authentication Filter</filter-name><filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class><init-param><param-name>casServerLoginUrl</param-name><param-value>http://CAS_SERVER/cas-server/login</param-value></init-param><init-param><param-name>serverName</param-name><param-value>http://CAS_CLIENT</param-value></init-param></filter><filter-mapping><filter-name>CAS Authentication Filter</filter-name><url-pattern>/*</url-pattern></filter-mapping><!-- 使⽤CAS 2.0协议校验票据 --><filter><filter-name>CAS Validation Filter</filter-name><filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class><init-param><param-name>casServerUrlPrefix</param-name><param-value>http://CAS_SERVER/cas-server</param-value></init-param><init-param><param-name>serverName</param-name><param-value>http://CAS_CLIENT</param-value></init-param></filter><filter-mapping><filter-name>CAS Validation Filter</filter-name><url-pattern>/*</url-pattern></filter-mapping><!-- 包装了HttpServletRequest, 使得可以通过getRemoteUser()和getPrincipal()可以返回CAS相关⼊⼝ --><filter><filter-name>CAS HttpServletRequest Wrapper Filter</filter-name><filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class></filter><filter-mapping><filter-name>CAS HttpServletRequest Wrapper Filter</filter-name><url-pattern>/*</url-pattern></filter-mapping>说明：<1> 可选配置。

sso oauth2 认证流程SSO（Single Sign-On）和OAuth2是两种不同的认证流程，它们在Web应用程序中用于实现用户身份验证和授权。

下面我将分别从SSO和OAuth2的角度来解释它们的认证流程。

首先，让我们来看看SSO的认证流程。

SSO是一种身份验证服务，允许用户使用一组凭据（例如用户名和密码）登录到多个相关但独立的软件系统。

SSO的认证流程通常包括以下步骤：1. 用户访问应用程序A，并尝试进行身份验证。

2. 应用程序A检查用户的身份，并发现用户尚未登录。

3. 应用程序A重定向用户到SSO认证服务器。

4. 用户在SSO认证服务器上输入其凭据（例如用户名和密码）。

5. SSO认证服务器验证用户的凭据，并生成一个令牌。

6. SSO认证服务器将令牌返回给应用程序A。

7. 应用程序A使用该令牌来验证用户的身份，并允许用户访问。

接下来，让我们来看看OAuth2的认证流程。

OAuth2是一种授权框架，用于授权第三方应用程序访问用户的受限资源。

OAuth2的认证流程通常包括以下步骤：1. 第三方应用程序请求访问用户的受限资源。

2. 用户被重定向到授权服务器，以便进行身份验证。

3. 用户在授权服务器上输入其凭据（例如用户名和密码）。

4. 用户授予第三方应用程序对其受限资源的访问权限。

5. 授权服务器生成一个访问令牌，并将其返回给第三方应用程序。

6. 第三方应用程序使用访问令牌来访问用户的受限资源。

总的来说，SSO的认证流程旨在让用户只需一次登录即可访问多个相关系统，而OAuth2的认证流程则旨在授权第三方应用程序访问用户的受限资源。

这两种认证流程在实现用户身份验证和授权方面有着不同的重点和应用场景。

希望这些信息能够帮助你更好地理解SSO和OAuth2的认证流程。

sso认证方法
SSO（单点登录）是一种常见的认证方法，它允许用户在多个应用系统中只需登录一次，就可以访问其他相互信任的应用系统。

以下是一些常见的SSO认证方法：
1. 基于Cookie的身份验证：当用户首次登录时，服务器会生成一个唯一的session ID，并将其存储在Cookie中发送给客户端。

在后续的请求中，客户端将此Cookie发送回服务器，以验证用户身份。

2. JWT（JSON Web Token）：JWT是一种基于Token的身份验证方法，它使用JSON格式来封装用户的信息。

当用户首次登录时，服务器会生成一个JWT并将其返回给客户端。

在后续的请求中，客户端将此JWT发送回服务器以进行身份验证。

3. OAuth（Open Authorization）：OAuth是一种基于令牌的身份验证协议，它允许第三方应用程序代表用户访问其帐户，而不暴露用户的密码。

用户授予第三方应用程序访问其帐户的权限后，该应用程序将获得一个访问令牌，可以使用该令牌代表用户访问其帐户。

4. SAML（Security Assertion Markup Language）：SAML是一种基于XML的身份验证协议，它允许身份提供者（IdP）和服务提供者（SP）之间交换身份验证和授权信息。

当用户首次登录时，身份提供者将生成一个SAML断言并将其发送给服务提供者，以验证用户身份。

这些是常见的SSO认证方法，每种方法都有其优点和适用场景。

选择合适的认证方法取决于应用程序的需求和安全性要求。

4A解决方案(认证)4A解决方案（认证）引言概述：在当今信息化时代，网络安全问题日益突出，企业对于数据安全和身份认证的需求也越来越高。

为了解决这一问题，4A解决方案应运而生。

4A解决方案是指通过集成认证、授权、账号管理和审计四个环节，实现对企业内部人员身份的认证和权限管理，从而提高企业的信息安全性。

本文将详细介绍4A解决方案的认证部分。

一、集成认证1.1 单点登录（SSO）单点登录是4A解决方案中的核心功能之一。

它通过一次登录，实现用户在不同系统间的无缝切换，避免了重复登录的繁琐过程，提高了用户的工作效率。

单点登录采用统一的身份认证机制，用户只需输入一次用户名和密码，即可访问所有经过认证的系统。

这种集成认证方式不仅提高了用户体验，还能有效减少密码管理的复杂性和风险。

1.2 多因素认证（MFA）为了进一步提升认证的安全性，4A解决方案引入了多因素认证。

多因素认证是指通过结合多个不同的身份验证要素，如密码、指纹、硬件令牌等，来确认用户的身份。

相比于传统的单一密码认证方式，多因素认证能够大大增加身份验证的难度，提高系统的安全性。

4A解决方案中的多因素认证模块可以根据企业的需求进行定制，灵活应用于各个系统。

1.3 统一身份认证统一身份认证是4A解决方案中的关键环节之一。

它通过集中管理用户的身份信息和权限，实现对用户身份的全面控制。

统一身份认证将各个系统的用户身份信息集中存储在一个统一的身份认证中心，通过对用户进行身份验证和授权，确保用户只能访问到其具备权限的资源。

这种集中管理的方式不仅提高了系统的安全性，还方便了管理员对用户权限的管理和调整。

二、授权管理2.1 角色管理角色管理是4A解决方案中的重要组成部分。

通过角色管理，管理员可以将用户按照其职责和权限划分为不同的角色，然后将相应的权限分配给这些角色。

这样一来，管理员只需要管理角色的权限，而不需要逐个管理用户的权限，大大简化了权限管理的工作量。

同时，角色管理也提高了系统的安全性，确保用户只能访问到其职责范围内的资源。