文档介绍:单点登录解决方案
单点登录解决方案
随着信息技术和网络技术在组织机构中的广泛应用,很多机构单位已经拥有
了各种各样的应用系统,如 OA 办公自动化系统、HR 人力资源管理系统、财务
系统、CRM 客户关系管理系统、企业 ERP 系统、政府网上审批系统、学校一卡
通系统、以及各种业务应用系统。
但用户要想享受到这些应用系统带来的诸多好处,就需要登录到许多不同的
应用系统中,而每个系统都要求用户遵循其独立的身份认证安全策略,比如要求
输入用户 ID 和口令。用户所使用的应用系统越多,登录时出错的可能性就会越
大,受到非法截获和破坏的可能性也会大大增加,系统的安全性就会相应降低;
而如果用户忘记了口令,不能正确的登录系统,就需要请求管理员的帮助,而且
只能在重新获得口令之前等待,造成了系统和安全管理资源的不必要的开销,降
低了系统的使用效率。有时,用户为避免这种尴尬情况的出现,也为记清楚登录
信息,通常会采用简化用户名、密码,或者在多个系统中使用相同的口令,或者
干脆将密码记录在笔记本上的做法,而这些都是会危及企业信息安全的几种不良
的习惯。
此外,通常情况下,各个应用系统都存在自己独立的用户信息数据库和授权
管理机制,故而如何实现中央用户目录数据、门户用户数据与各应用系统用户数
据之间的用户数据同步和登录帐号/密码的对照,也是信息化建设面临的重要挑
战之一。
正是基于上述安全风险和挑战,门户平台 CenGRP 提供了一站式单点登录
(SSO,Single Sign-On)功能,即通过用户的一次性鉴别登录,可获得需访问系
统和应用软件的授权,在此条件下,用户可对所有被授权的各类信息资源进行无
缝的访问,管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控
制,实现“一次登录、随处访问/全网漫游”;从而提高用户的工作效率,减少操
作时间,降低用户安全管理的复杂度,并提高信息系统整体的安全性。
通过单点登录:
z 从用户角度讲,能及时的访问到所需的资源,提高了生产效率;避免了
1
单点登录解决方案
记忆多个用户名、密码,增强了用户体验;
z 从安全角度讲,单点登录为其他应用系统提供了功能更强的身份认证机
制,从而提高了整体的安全性;
z 从管理角度看, 单点登录有助于减少口令重复设置请求,减少了系统
维护人员的工作量。
针对一个组织内部多种异构系统应用整合的要求,CenGRP门户平台开发了自
己的单点登录系统,在设计和实现中,该系统力求达到以下目标:
1、采用开放架构,兼容主流技术,保证系统整合能力。
2、提供系统平台的配置和开发能力,降低实施难度,保护用户投资。
1、单点登录模型
CenGRP SSO 提供一种基于动态票据或令牌的单点登录解决方案,如下图所
示:
CenGRP 采用独立的认证模块和用户管理;与授权机制相结合;实现了一次
性签发的机制,并且签发的票据都有一个有效期;支持双向的身份认证,既服务
器可以通过身份认证确认客户方的身份,而客户如果需要也可以反向认证服务方
的身份;支持分布式网络环境下的认证机制,通过交换"跨域密钥"来实现。
2
单点