文档介绍:. .
. v 份认证是系统自动完成的。
首先,单点登录系统是采用了结合用户电子身份标识的新的身份认证机制,这种新的身份认证机制可大大提高系统的平安性。
其次,单点登录系统把原来分散的用户管理,集中起来了。各个系统之间依靠相互授权的式来进展用户身份的自动认证。用户的账号信息通过统一的电子认证进展管理管理的,管理员只需要修改统一的用户认证信息就可以关联各个系统中的用户。由此可见单点登录系统的优点有:
(1)提高用户的工作效率和带来良好的用户体验。用户不再需要每访问一个应用资源就进展一次身份认证过程,从而使用户有更多的时间从事有益的工作,同时也可以把用户从繁杂的XX信息记忆中解脱出来。
(2)更好的网络平安性。系统中使用的身份认证机制提供了加密等多种法,可以防止大局部的网络攻击。同时由于新的身份认证机制使用户的账号信息记忆量减少,使系统由于用户信息的泄露而导致平安事故出现的时机大大减少。
。
:网络用户访问不同的应用系统时,只需在统一认证入口(即单点登录中的单点)登录,取得身份认证系统的身份标识,从而到达了单点登录,多点应用的目的。
目前SSO的模型主要有三种:基于经纪人(Broker)的SSO案;基于代理(Agent)的SSO案;基于网关(Gateway)的SSO案。
. .
. v .
(1)基于经纪人的单点登录案(Broker-BasedSSO)
在Broker-BasedSSO案中,有一个完成集中认证、用户账号管理的效劳器和一个公共、统一的用户数据库。Broker为用户提供一个能够被用户进一步访问请求的电子身份凭证。Broker-basedSSO案的主要优点是有一个中央用户数据库,易于对用户数据进展管理。主要缺点是需要修改原有应用。
(2)基于代理的单点登录案(Agent-BasedSSO)
在Agent-BasedSSO案中,有一个代理程序,自动为不同的应用程序认证用户。代理程序可以用不同的式实现。假设Agent部署在客户端,它能装载获得用户名口令列表,自动替用户完成登录过程,减轻客户端程序的认证负担。Agent部署在效劳器端,它就是效劳器的认证系统和客户端认证法之间的“翻译〞。当软件供应商提供了大量的与原有应用程序通信的Agent时,Agent-BasedSSO案可使应用迁移变得十分容易。
(3)基于网关的单点登录案(Gateway-BasedSSO)
在基于Gateway-BasedSSO案中,用户对受限网络效劳的访问都必须通过网关。网关可以是防火墙,或者是专门用于通信加密的效劳器。所有需要保护的网络效劳器都放在被网关隔离的受信网段里。客户通过网关认证后获得访问效劳的授权。如果在网关后的效劳能够通过IP地址进展识别,就可以在网关上建立一个基于IP的规那么表。将规那么表与网关上的用户数据库相结合,网关就可以被用于单点登录。由于网关可以监视并改变传给应用效劳的数据流,所以它能够改变认证信息以适应适当的访问控制,而不用修改应用效劳器。网关作为一个别离的部件,安装和设置便;但是如果存在多个平安网关,那么用户数据库并不能自动地被同步。Gateway-BasedSSO案不适用于用户端使用代理的情况。
本文设计并实现的基于LDAP目录效劳的校园身份管理系统,采用的是较为简单的Broker-BasedSSO案。
. .
. v .
5LDAP目录访问协议
目录是一种专门被优化用于执行读、浏览、搜索等操作的数据库,可以包含网络以及在网络上运行的应用程序所需的信息。它倾向于包含具有描述性的、基于属性的信息,并且支持高度复杂的过滤搜索功能。目录通常不支持复杂的关系操作和事务机制,而关系型数据库管理系统那么常用于处理复杂的更新操作。目录被优化成以对大量的查找和搜索操作做出快速响应,并且目录可