文档介绍:单点登录-eTrust SSO
概述
在当今世界的分布计算环境中, 用户每天要登录到很多不同的系统和应用中。 每个系统
都有自己的认证过程,要求用户输入不同的用户名、口令。用户需要进入的系统越多,用户 出错的概率和安全问题出现的可能性就越多。在 Internet中,如果访问一个公司网站过于复
杂或者不安全,客户或合作者可能中止和他们的业务关系,对公司业务的影响不言而喻。
CA的eTrust Single-Sign On ,使用户进行单一认证。一旦获得认证,用户可以立即访问 所有被授权的系统,包括C/S系统。系统或安全管理员可以实施安全控制, 但不用改变或影
响用户登录。eTrust Single Sign On支持多种第三方用户认证方式,这使管理员加强和客户 化了登录过程的安全性。
体系架构
为了实现单点登录的功能, eTrust SSO采用了 Client/Server软件结构。主要包括如下部
分:
1)授权引擎一eTrust SSO服务器。它决定着用户是否可以登录以及他们可以访问哪些资
源。它通过安全地管理用户口令集并自动对每一 Web和非 Web应用提交正确的口令
来完成本功能。它简化了最终用户的登录过程,减少了口令管理工作量,并增强了总 体应用的安全性。该产品支持多种验证最终用户身份的方法, 从而为使用该产品的所
有公司提供了灵活性。
z eTrust SSO数据库存储了所有关于用户、组、资源、应用、登录参数和访问控制规则 等信息,与其它eTrust产品所使用的是同一个数据库。一旦你在该数据库中录入信息, 这些产品都可对该共享数据库进行访问和更新操作, 以满足其各自的或共同的需求, 从
而为用户提供了有效而先进的方法。 在安装该数据库的过程中或安装完成以后, 您可以
将公司已有数据库中的用户和组信息导入其中。您还可以通过运行一个 eTrust Single
Sign-On支持的实用程序,或使用 eTrust Single Sign-On所支持的命令行界面来输入用
户和组信息。
z 登录会话 与eTrust SSO数据库保存在同一服务器主机上,上面提供了 eTrust SSO客户 端进行用户登录应用操作时所执行的指令。
eTrust SSO客户端软件 安装运行于每一个使用 eTrust Single Sign-On系统的工作站。
eTrust Single Sign-On客户端软件的功能有:
z 与主身份验证代理进行通讯,对访问 eTrust Single Sign-On的用户进行身份验证。
z 显示最终用户被授权使用的应用。
z 与eTrust SSO服务器通讯并从服务器平台上检索登录日志和登录数据。
z 执行登录会话并使用户登录所授权应用。
z (如果登录会话发出指令),将登录尝试的结果送到 eTrust SSO服务器。
eTrust SSO身份验证代理 运行于企业的身份验证主机 /平台上,例如 Windows NT和 第三方安全服务器,方便了最终用户的主身份验证。实际上,单点登录系统对用户的
认证是可以通过这些用户系统完成的,这就很容易把 SSO的用户认证与企业正在使
用的认证系统结合起来。
以下示意图显示了安装在网络中的 eTrust Single Sign-On各种组件:
1够「
HlaF^ zc*jefclndtech!.-. rz>
功能介绍
在当今分布式计算环境中,用户每天都需要登录到许多不同的应用软件和系统,如包 括电子邮件、网络、数据库和WEB服务器等。每一个系统都要求自己独特的安全登录步骤。 用户使用的系统越多,所必须记住的 ID和口令就越多,客户出错和威胁到安全性的可能也
就越大。换句话说,多个口令导致多种安全隐患。
例如,一个系统管理员可能要管理 5台UNIX主机、20台Windows NT服务器、维护
上面的多个数据库、维护电子邮件系统、还要管理多台网络设备等,他需要记忆各个操作系 统、数据库系统、应用系统、网络设备的用户名和口令。其它的管理人员和工作人员也是如 此。
各种系统用户的口令应该互不相关,口令比较长而且没有规律,在使用一段时间后要 改变为新的值,这样才能保证统的安全。但是,要让一个人记忆许多长而难记又经常变化的 口令是很困难的。如果用户忘记了口令,就不能执行任务,从而降低生产效率。最终用户必 须请求帮助台帮助,在重新获得口令之前只能等待, 这样造成了系统和安全管理员资源的浪
费。为牢记登录信息,用户一般会简化密码, 为多个系统使用相同的口令, 或创建一个口令
a
l宓如耘琳舞归
ZONfFCUNDTECH^CCT CD. ITD
列表”-这是会危及公司信息保