【導讀】中需要面臨的重要問題。提，同時SSO實現(xiàn)企業(yè)資源統(tǒng)一管理，也是應用系統(tǒng)之間相互訪問的基礎。類型，以更好地分析實現(xiàn)SSO的需求問題。息，并通過Session、Cookie或者證書保持驗證信息。戶的個性化信息，存儲在數(shù)據庫或者企業(yè)目錄內。API運行的應用程序。Domino/Notes自己內部維護用戶權限管理、身份驗證和資源訪問控制。這里是指通過Windows集成驗證進行用戶身份驗證的Win32程序。良好，甚至是不能中斷地關鍵業(yè)務系統(tǒng)。架，為各種應用系統(tǒng)提供標準的驗證協(xié)議和接口。系統(tǒng)能夠讀取SSO的信息內容，作為跨系統(tǒng)、跨平臺驗證的依據。低項目風險和實現(xiàn)代價。由于目前大部分客戶端都是在Windows上面運行的，因此至少提供基于COM/DCOM的開發(fā)接口。礎上，已經越來越多的成為必要和經常性的業(yè)務。包括證券行業(yè)在內的很多行業(yè)，不同地區(qū)的分布式系統(tǒng)部署，使之能夠滿足大型企業(yè)在跨區(qū)域聯(lián)合驗證過程中，對性能、功能和管理的要求。

　　

【正文】 on 超連接進行 SSO 整合； ? 從其外部應用 SSO 的運作機理來看，用戶如果在瀏覽器本身的地址欄輸入外部應用的網址是無法進行 SSO 整合的，另外如果用戶不將外部應用的賬號密碼存儲的 SSO Server 的 Database，即使在 Portal 里面再一次點擊外部應用程序，也需要用戶 重新輸入一次賬號 /密碼； ? 從其對于外部應用 SSO 運作機理上看，只能進行 FormBase 的外部應用整合（模擬用戶在外部應用的登錄 Form 填寫賬號 /密碼）； Oracle SSO Server 是無法支持基于瀏覽器系統(tǒng)集成驗證方式 5（ HTTPAuthorization）的外部應用，比如 Exchange、 Domino 等郵件系統(tǒng)的 Web 客戶端； ? 從其整合伙伴應用的運作機理來看，對于整合一些較為簡單的伙伴應用來講是沒有問題的；但是如果復雜一點的伙伴應用，比如財務系統(tǒng)，即使經過了中心登錄服務器 Login Server 的身份驗證，系統(tǒng)可以認為你是個合法的用戶，但是這個合法用戶卻是不一定能夠訪問這個財務系統(tǒng)的，因此在這種體系下，財務系統(tǒng)本身還是需要有訪問財務系統(tǒng)的賬號子集列表，不能只依賴 SSO Server 的身份驗證，并且還必須有子系統(tǒng)的身份驗證以及子系統(tǒng)的賬號 /角色 /授權管理的子系統(tǒng)支撐，然后通過特定的代碼來實現(xiàn)子系統(tǒng)的賬號和 Login Server 賬號 /授權信息的同步，這類的系統(tǒng)要求應該講在企業(yè)內部來講應該是非常多的； ? 對于一些是采用 cgi 方式的外部應用，或者是已經編譯成 servlet 的外部應用，這些應用如果沒有源代碼 ，是沒有辦法通過修改程序的方式來達到整合成伙伴應用的模式，而只能使用整合成外部應用的方式，而 Oracle SSO Server 對于整合外部應用的模式是有較多的限制的。 . 參考資料 1． Oracle9i AS Single SignOn Application Developer’s Guide Release 2． Oracle9i AS Single SignOn Administrator’s Guide Release 3． Oracle 9i AS Daily Feature Oracle 官方網頁介紹 4． Oracle 官方網站文檔 5． 搜索 Oracle SSO Server 共有 5400 項 5 這種驗證方式是瀏覽器獲得服務器的狀態(tài)（ status）為 HTTP Unauthorized 時，瀏覽器知 道用戶還沒有驗證，會自動彈出 瀏覽器的 系統(tǒng) 登錄 窗口，供用戶輸入賬號 /密碼 ，然后將用戶 /密碼送回給 HTTP Server 驗證身份； Consulting Service Consulting Service Consulting Service Service Service . IBM SSO解決方案分析 . IBM SSO 產品背景 根據 IBM 官方網站的資料， IBM 在 SSO 方面有不同的解決方案，不同的解決方案用于解決不同的需求。在我們此次技術交流中，著重討論的 SSO 解決方案有 : Websphere Portal SSO解決方案以及 IBM Tivoli Access Manager SSO解決方案。其他的解決方案在此處不加以討論。 根據 IBM Tivoli Access Manager 的 官方網站 以及 IBM Tivoli Access Manager產品幻燈片 介紹， Access Manager 的設計目標主要完成以下兩大功能： ? 整合 Web 應用構造一個安全企業(yè)安全 門戶 ? 實現(xiàn) Web 應用的單點登錄 原文的信息如下： What is IBM Tivoli Access Manager for Ebusiness ( Policy Director ) ? ? A Secure Applications Portal for the Web – Let The Right People In, To Access The Right Applications and Data – Cost Effectively Manage Security Policy Definition and Enforcement ( Web, Java) ? Single Signon to Web based applications 從原文信息中看到的 Portal 功能，但從 IBM 網站介紹方面可以知道，本身Tivoli 是不提供的，是通過 IBM WebSphere Portal 來實現(xiàn)。另外從下圖的資料介紹，我們可以知道 SSO 是通過 WebSEAL 來提供 Web 應用程序的單點登錄。 Consulting Service Consulting Service Consulting Service Service Service 在 參考資料 3 一文的 章節(jié)中， IBM 重點探討了 Tivoli Access Manager 和Websphere Portal 的集成對 WebSphere 的增值， WebSphere 允許和 Tivoli Access Manager 等身份認證服務器整合， IBM 認為，使用兩者結合的解決方案對用戶是有價值的： ? Tivoli Access Manager 的安全管理模式比 WebSphere 內置的安全模式更加有價值； ? 在大量的情況下， Tivoli Access Manager 除了可以保證 WebSphere Portal應用的安全外，還可以保護其他 Web 應用資源的安全 原文如下 ： Intuitively, it makes sense to implement WebSphere Portal with Tivoli Access Manager for ebusiness. WebSphere Portal consolidates and enhances a user39。s single point of contact with applications, people, content, and processes. Tivoli Access Manager addresses security. And both were designed to work exceedingly well with WebSphere Application Server. But beyond that intuitive point, we need to look further at the question of why there is customer value in using Tivoli Access Manager to secure WebSphere Portal resources. We address this in two distinct ways: ? We describe the value of Tivoli Access Manager39。s security model as pared to the native WebSphere Portal security. ? We look at the wider and quite prevalent situation where Tivoli Access Manager is securing WebSphere Portal resources as well as other Web resources. 在 參考資料 3 一文的 章節(jié)中， IBM 重點講述了 Tivoli Access Manager 對 Consulting Service Consulting Service Consulting Service Service Service WebSphere Portal 的增值： ? 提高了可管理和審計的功能 通過了 Tivoli Access Manager，管理人員無須分別通過 WebSph e Application Server、 WebSphere Portal 以及 各種 LDAP 管理工具來管理用戶、組別以及權限信息， Tivoli Access Manager 簡化了管理的復雜度。體現(xiàn)為以下重要的兩點： ? 企業(yè)級的用戶管理以及策略管理： WebSphere 安全機制適用在單一Portal 的實現(xiàn)方案上，當企業(yè)有多個 Portal 以及幾千個用戶的情況下 ，企業(yè)都需要有更加健壯的管理以及策略管理的工具或者手段； ? 分配用戶到特定的角色的管理方式：當 WebSphere Portal 使用WebSphere Application Server 的安全模式下， 將用戶分配到角色都需要重新啟動一次 WebSphere Application Server； 原文如下： Rather then use a variety of WebSphere Application Server, WebSphere Portal, and LDAP utilities to manage users, groups, and security settings, Tivoli Access Manager simplifies the administration task, and offers a more flexible and dynamic approach to: ? Enterprise user administration and policy enforcement WebSphere Portal security is adequate for a single portal implementation, but when there are multiple portals and multiple thousands of users, more robust user administration and policy enforcement tools are desirable. ? Assigning users to roles When WebSphere Portal adopts the WebSphere Application Server security model, assigning users to roles will require the stopping and restarting of WebSphere Application Server. ? 高的安全 性 Tivoli Access Manager 建構在高安全級別的體系結構上，在實際應用的場景中，往往將 Access Manager 的安全代理服務 WebSEAL 構建 DMZ（中立區(qū)），將WebSphere Portal 搭建在安全的 Intra 內部。 使用 Tivoli Access Manager 提供用戶各種 Web 應用程序的單點登錄，而WebSphere Portal 只能類似 Oracle SSO Server 在 Portal 內部提供應用程序連接的方式進行單點登錄 6。從 SSO 角度來看， Tivoli Access Manager 和 WebSphere Portal SSO 的對比如下： ? SSO 實現(xiàn)方式： Tivoli Access Manager 是通過 Tivoli Global SSO 7來實現(xiàn)， WebSphere Portal SSO 則通過組件 secure vault SSO 實現(xiàn)；兩者實現(xiàn)機理不同， Tivoli 是基于 LDAP，而 secure vault SSO 則基于 6 關于 Oracle SSO Server 在 Portal 中顯示外部 Web 應用程序連接，進行單點登錄的工作原理及介紹，請參考文件《 Oracle SSO Server 技術分析》 7 Tivoli Global SignON 是 IBM Tivoli 產品系列下的一個產品 Consulting Service Consulting Service Consulting Service Service Service DB2， Tivoli 的實現(xiàn)方式在擴展性、性能和安全角度都比 WebSphere Portal SSO 好； ? LTPA（輕量級第三方認證協(xié)議）的支持 如果 WebSphere 使用 LTPA 來整合 Web 應用（比如整合 Domino Web 或其他），則使用 Tivoli Access Manager 會讓這種機制更加安全； ? 跨域的單點登錄 多個應用如果分布在不同的域（比如是 B2B 應用），必須只有 Tivoli Access Manager 才能提供，而 WebSphere Portal SSO 是無法支持的 原文如下： Web single signon is more secure, as well. Tivoli Access Manager provides