【導(dǎo)讀】中需要面臨的重要問題。提，同時SSO實現(xiàn)企業(yè)資源統(tǒng)一管理，也是應(yīng)用系統(tǒng)之間相互訪問的基礎(chǔ)。類型，以更好地分析實現(xiàn)SSO的需求問題。息，并通過Session、Cookie或者證書保持驗證信息。戶的個性化信息，存儲在數(shù)據(jù)庫或者企業(yè)目錄內(nèi)。API運行的應(yīng)用程序。Domino/Notes自己內(nèi)部維護用戶權(quán)限管理、身份驗證和資源訪問控制。這里是指通過Windows集成驗證進行用戶身份驗證的Win32程序。良好，甚至是不能中斷地關(guān)鍵業(yè)務(wù)系統(tǒng)。架，為各種應(yīng)用系統(tǒng)提供標(biāo)準的驗證協(xié)議和接口。系統(tǒng)能夠讀取SSO的信息內(nèi)容，作為跨系統(tǒng)、跨平臺驗證的依據(jù)。低項目風(fēng)險和實現(xiàn)代價。由于目前大部分客戶端都是在Windows上面運行的，因此至少提供基于COM/DCOM的開發(fā)接口。礎(chǔ)上，已經(jīng)越來越多的成為必要和經(jīng)常性的業(yè)務(wù)。包括證券行業(yè)在內(nèi)的很多行業(yè)，不同地區(qū)的分布式系統(tǒng)部署，使之能夠滿足大型企業(yè)在跨區(qū)域聯(lián)合驗證過程中，對性能、功能和管理的要求。

　　

【正文】 on 超連接進行 SSO 整合； ? 從其外部應(yīng)用 SSO 的運作機理來看，用戶如果在瀏覽器本身的地址欄輸入外部應(yīng)用的網(wǎng)址是無法進行 SSO 整合的，另外如果用戶不將外部應(yīng)用的賬號密碼存儲的 SSO Server 的 Database，即使在 Portal 里面再一次點擊外部應(yīng)用程序，也需要用戶 重新輸入一次賬號 /密碼； ? 從其對于外部應(yīng)用 SSO 運作機理上看，只能進行 FormBase 的外部應(yīng)用整合（模擬用戶在外部應(yīng)用的登錄 Form 填寫賬號 /密碼）； Oracle SSO Server 是無法支持基于瀏覽器系統(tǒng)集成驗證方式 5（ HTTPAuthorization）的外部應(yīng)用，比如 Exchange、 Domino 等郵件系統(tǒng)的 Web 客戶端； ? 從其整合伙伴應(yīng)用的運作機理來看，對于整合一些較為簡單的伙伴應(yīng)用來講是沒有問題的；但是如果復(fù)雜一點的伙伴應(yīng)用，比如財務(wù)系統(tǒng)，即使經(jīng)過了中心登錄服務(wù)器 Login Server 的身份驗證，系統(tǒng)可以認為你是個合法的用戶，但是這個合法用戶卻是不一定能夠訪問這個財務(wù)系統(tǒng)的，因此在這種體系下，財務(wù)系統(tǒng)本身還是需要有訪問財務(wù)系統(tǒng)的賬號子集列表，不能只依賴 SSO Server 的身份驗證，并且還必須有子系統(tǒng)的身份驗證以及子系統(tǒng)的賬號 /角色 /授權(quán)管理的子系統(tǒng)支撐，然后通過特定的代碼來實現(xiàn)子系統(tǒng)的賬號和 Login Server 賬號 /授權(quán)信息的同步，這類的系統(tǒng)要求應(yīng)該講在企業(yè)內(nèi)部來講應(yīng)該是非常多的； ? 對于一些是采用 cgi 方式的外部應(yīng)用，或者是已經(jīng)編譯成 servlet 的外部應(yīng)用，這些應(yīng)用如果沒有源代碼 ，是沒有辦法通過修改程序的方式來達到整合成伙伴應(yīng)用的模式，而只能使用整合成外部應(yīng)用的方式，而 Oracle SSO Server 對于整合外部應(yīng)用的模式是有較多的限制的。 . 參考資料 1． Oracle9i AS Single SignOn Application Developer’s Guide Release 2． Oracle9i AS Single SignOn Administrator’s Guide Release 3． Oracle 9i AS Daily Feature Oracle 官方網(wǎng)頁介紹 4． Oracle 官方網(wǎng)站文檔 5． 搜索 Oracle SSO Server 共有 5400 項 5 這種驗證方式是瀏覽器獲得服務(wù)器的狀態(tài)（ status）為 HTTP Unauthorized 時，瀏覽器知 道用戶還沒有驗證，會自動彈出 瀏覽器的 系統(tǒng) 登錄 窗口，供用戶輸入賬號 /密碼 ，然后將用戶 /密碼送回給 HTTP Server 驗證身份； Consulting Service Consulting Service Consulting Service Service Service . IBM SSO解決方案分析 . IBM SSO 產(chǎn)品背景 根據(jù) IBM 官方網(wǎng)站的資料， IBM 在 SSO 方面有不同的解決方案，不同的解決方案用于解決不同的需求。在我們此次技術(shù)交流中，著重討論的 SSO 解決方案有 : Websphere Portal SSO解決方案以及 IBM Tivoli Access Manager SSO解決方案。其他的解決方案在此處不加以討論。 根據(jù) IBM Tivoli Access Manager 的 官方網(wǎng)站 以及 IBM Tivoli Access Manager產(chǎn)品幻燈片 介紹， Access Manager 的設(shè)計目標(biāo)主要完成以下兩大功能： ? 整合 Web 應(yīng)用構(gòu)造一個安全企業(yè)安全 門戶 ? 實現(xiàn) Web 應(yīng)用的單點登錄 原文的信息如下： What is IBM Tivoli Access Manager for Ebusiness ( Policy Director ) ? ? A Secure Applications Portal for the Web – Let The Right People In, To Access The Right Applications and Data – Cost Effectively Manage Security Policy Definition and Enforcement ( Web, Java) ? Single Signon to Web based applications 從原文信息中看到的 Portal 功能，但從 IBM 網(wǎng)站介紹方面可以知道，本身Tivoli 是不提供的，是通過 IBM WebSphere Portal 來實現(xiàn)。另外從下圖的資料介紹，我們可以知道 SSO 是通過 WebSEAL 來提供 Web 應(yīng)用程序的單點登錄。 Consulting Service Consulting Service Consulting Service Service Service 在 參考資料 3 一文的 章節(jié)中， IBM 重點探討了 Tivoli Access Manager 和Websphere Portal 的集成對 WebSphere 的增值， WebSphere 允許和 Tivoli Access Manager 等身份認證服務(wù)器整合， IBM 認為，使用兩者結(jié)合的解決方案對用戶是有價值的： ? Tivoli Access Manager 的安全管理模式比 WebSphere 內(nèi)置的安全模式更加有價值； ? 在大量的情況下， Tivoli Access Manager 除了可以保證 WebSphere Portal應(yīng)用的安全外，還可以保護其他 Web 應(yīng)用資源的安全 原文如下 ： Intuitively, it makes sense to implement WebSphere Portal with Tivoli Access Manager for ebusiness. WebSphere Portal consolidates and enhances a user39。s single point of contact with applications, people, content, and processes. Tivoli Access Manager addresses security. And both were designed to work exceedingly well with WebSphere Application Server. But beyond that intuitive point, we need to look further at the question of why there is customer value in using Tivoli Access Manager to secure WebSphere Portal resources. We address this in two distinct ways: ? We describe the value of Tivoli Access Manager39。s security model as pared to the native WebSphere Portal security. ? We look at the wider and quite prevalent situation where Tivoli Access Manager is securing WebSphere Portal resources as well as other Web resources. 在 參考資料 3 一文的 章節(jié)中， IBM 重點講述了 Tivoli Access Manager 對 Consulting Service Consulting Service Consulting Service Service Service WebSphere Portal 的增值： ? 提高了可管理和審計的功能 通過了 Tivoli Access Manager，管理人員無須分別通過 WebSph e Application Server、 WebSphere Portal 以及 各種 LDAP 管理工具來管理用戶、組別以及權(quán)限信息， Tivoli Access Manager 簡化了管理的復(fù)雜度。體現(xiàn)為以下重要的兩點： ? 企業(yè)級的用戶管理以及策略管理： WebSphere 安全機制適用在單一Portal 的實現(xiàn)方案上，當(dāng)企業(yè)有多個 Portal 以及幾千個用戶的情況下 ，企業(yè)都需要有更加健壯的管理以及策略管理的工具或者手段； ? 分配用戶到特定的角色的管理方式：當(dāng) WebSphere Portal 使用WebSphere Application Server 的安全模式下， 將用戶分配到角色都需要重新啟動一次 WebSphere Application Server； 原文如下： Rather then use a variety of WebSphere Application Server, WebSphere Portal, and LDAP utilities to manage users, groups, and security settings, Tivoli Access Manager simplifies the administration task, and offers a more flexible and dynamic approach to: ? Enterprise user administration and policy enforcement WebSphere Portal security is adequate for a single portal implementation, but when there are multiple portals and multiple thousands of users, more robust user administration and policy enforcement tools are desirable. ? Assigning users to roles When WebSphere Portal adopts the WebSphere Application Server security model, assigning users to roles will require the stopping and restarting of WebSphere Application Server. ? 高的安全 性 Tivoli Access Manager 建構(gòu)在高安全級別的體系結(jié)構(gòu)上，在實際應(yīng)用的場景中，往往將 Access Manager 的安全代理服務(wù) WebSEAL 構(gòu)建 DMZ（中立區(qū)），將WebSphere Portal 搭建在安全的 Intra 內(nèi)部。 使用 Tivoli Access Manager 提供用戶各種 Web 應(yīng)用程序的單點登錄，而WebSphere Portal 只能類似 Oracle SSO Server 在 Portal 內(nèi)部提供應(yīng)用程序連接的方式進行單點登錄 6。從 SSO 角度來看， Tivoli Access Manager 和 WebSphere Portal SSO 的對比如下： ? SSO 實現(xiàn)方式： Tivoli Access Manager 是通過 Tivoli Global SSO 7來實現(xiàn)， WebSphere Portal SSO 則通過組件 secure vault SSO 實現(xiàn)；兩者實現(xiàn)機理不同， Tivoli 是基于 LDAP，而 secure vault SSO 則基于 6 關(guān)于 Oracle SSO Server 在 Portal 中顯示外部 Web 應(yīng)用程序連接，進行單點登錄的工作原理及介紹，請參考文件《 Oracle SSO Server 技術(shù)分析》 7 Tivoli Global SignON 是 IBM Tivoli 產(chǎn)品系列下的一個產(chǎn)品 Consulting Service Consulting Service Consulting Service Service Service DB2， Tivoli 的實現(xiàn)方式在擴展性、性能和安全角度都比 WebSphere Portal SSO 好； ? LTPA（輕量級第三方認證協(xié)議）的支持 如果 WebSphere 使用 LTPA 來整合 Web 應(yīng)用（比如整合 Domino Web 或其他），則使用 Tivoli Access Manager 會讓這種機制更加安全； ? 跨域的單點登錄 多個應(yīng)用如果分布在不同的域（比如是 B2B 應(yīng)用），必須只有 Tivoli Access Manager 才能提供，而 WebSphere Portal SSO 是無法支持的 原文如下： Web single signon is more secure, as well. Tivoli Access Manager provides