【正文】 “單點(diǎn)登錄、到處運(yùn)行”的功能。 ? SSO Agent（ SSO 驗(yàn)證代理） SSO Agent（ SSO 驗(yàn)證代理）是一個 安裝在 客戶端的 驗(yàn)證代理 工具 ，其作用是為了兼容以往開發(fā)的 Web、 Win32 以及 Lotus Notes 應(yīng)用程序的驗(yàn)證過程。 SSO Agent 在用戶登錄到 SSO 系統(tǒng)以后，自動代替用戶完成這些已有系統(tǒng)的驗(yàn)證過程，使用戶感覺起來登錄一次以后，就可以登錄各種不同的系統(tǒng)，起到兼容原有系統(tǒng)的作用。在將來開發(fā)的應(yīng)用系統(tǒng)，只要利用 ADSI/LDAP 接口訪問的 SSO 系統(tǒng)目錄信息， 同步其驗(yàn)證信息， 就可以實(shí) 現(xiàn) SSO 的 統(tǒng)一登錄。 . 目錄服務(wù)層 目錄服務(wù)層是基于微軟 Active Directory 目錄服務(wù)技術(shù)實(shí)現(xiàn)的 。 . LDAP 訪問接口 LDAP 訪問接口是為了和其他支持 LDAP（輕量級目錄訪問協(xié)議）的目錄服務(wù)器以及用戶管理系統(tǒng)進(jìn)行交換的接口。通過標(biāo)準(zhǔn)的 LDAP 協(xié)議，使 SSO 系統(tǒng)能夠和其他單位的目錄服務(wù)系統(tǒng)和人力資源系統(tǒng)等可以管理用戶驗(yàn)證信息的系統(tǒng)進(jìn)行交互，使企業(yè)之間的 相互驗(yàn)證成為可能。 目錄服務(wù)是 企業(yè) 網(wǎng)絡(luò)結(jié)構(gòu)的一個必要和不可分離的部分，該結(jié)構(gòu)是特別為分布式的網(wǎng)絡(luò)環(huán)境而設(shè)計的。此外，活動目錄扮演著網(wǎng)絡(luò)安全性的主要權(quán)威的角色，它讓操作系統(tǒng)準(zhǔn)備好驗(yàn)證用戶的身份并且控制他或她對網(wǎng)絡(luò)資源的訪問。 . 目錄服務(wù)的重要性 企業(yè)要實(shí)現(xiàn) SSO，就需要一個權(quán)限驗(yàn)證的基準(zhǔn)系統(tǒng)，為各種應(yīng)用系統(tǒng)的用戶驗(yàn)證提供一個標(biāo)準(zhǔn)的參照。 Consulting Service Consulting Service Consulting Service Service Service . LDAP協(xié)議 LDAP 協(xié)議是業(yè)界標(biāo)準(zhǔn)的目錄服務(wù)訪問協(xié)議。因此，不同的目錄服務(wù)系統(tǒng)后臺的實(shí)現(xiàn)可以采用各種不同的技術(shù)，從簡單的文件數(shù)據(jù)庫、結(jié)構(gòu)化數(shù)據(jù)庫到復(fù)雜的目錄結(jié)構(gòu)數(shù)據(jù)庫，都可以用同樣的協(xié)議訪問。 . Active Directory 與其他 LDAP 目錄服務(wù)系統(tǒng) 對比 Active Directory 是微軟公司實(shí)現(xiàn)的目錄服務(wù)系統(tǒng)，內(nèi)置在 Windows 2020 Server 及以上的服務(wù)器操作系統(tǒng)中，為用戶提供了穩(wěn)定和廉價的目錄服務(wù)功能。 Active Directory 和其他基于 LDAP 技術(shù)有以下的優(yōu)勢，是本項(xiàng)目中選擇其作為目錄服務(wù)層的重要因素： . 和客戶端整合的優(yōu)勢 由于 Active Directory 是和 Windows 平臺緊密集成的目錄服務(wù)， Windows 客戶機(jī)、服務(wù)器系統(tǒng)的驗(yàn)證機(jī)制都可以自然地和 Active Directory 相互集成。 因此，在本項(xiàng)目中選擇 Active Directory，更多的體現(xiàn)了系統(tǒng)整合和部署方面的優(yōu)勢。 . 性能和功能優(yōu)化 Active Directory 在微軟的產(chǎn)品發(fā)展策略中，是 Windows 平臺現(xiàn)在和將來統(tǒng)一的目錄服務(wù)，是用戶驗(yàn)證和資源管理的基礎(chǔ)。 目錄服務(wù)的特點(diǎn)是被讀取的操作最多 ，相對目錄內(nèi)容的增刪改操作較少，因此 Active Directory 特別對目錄的讀操作進(jìn)行了性能優(yōu)化。對于大型的企業(yè)來說， Active Directory 更容易進(jìn)行大規(guī)模部署。因此在 Windows 平臺上的開發(fā)并未得到最優(yōu)化。 . SSO Web Access CA技術(shù)實(shí)現(xiàn) SSO Web Access CA（下面簡稱 Web CA）是一個基于 Web 的認(rèn)證中心， 所有用戶只需要在 Web CA 中 認(rèn)證一次，即可訪問所在 企業(yè)內(nèi)部 和 以及通過 LDAP連接的其他企業(yè)的應(yīng)用服務(wù)。同時 應(yīng)用系統(tǒng)也可將原有的用戶認(rèn)證納入到統(tǒng)一認(rèn)證中。無需大量的記錄用戶名和密碼。這些對用戶來說是非常方便的。其地位如下圖所示： S S O W e b A C C E S S C A( S S O W e b 應(yīng) 用 驗(yàn) 證 中 心 )W e b A p p l i c a t i o n s（ W e b 應(yīng) 用 ）W e b C AM i c r o s o f t A c t i v eD i r e c t o r y S e r v i c e（ 微 軟 活 動 目 錄 服 務(wù) ）用 戶驗(yàn) 證 票 據(jù) . 認(rèn)證過程 相關(guān)術(shù)語： 1. 企業(yè) 目錄 ：放置用戶權(quán)限信息的目錄服務(wù)器，如 AD 服務(wù)器 2. Web CA 認(rèn)證中心 ：為用戶和應(yīng)用系統(tǒng)發(fā)放驗(yàn)證票據(jù)（數(shù)字證書）的第三方驗(yàn)證服務(wù)器。 2. 用戶已登錄 SSO 系統(tǒng) ，但已在非活躍的情況下已超時， SSO 系統(tǒng)已設(shè)定用戶失效。 2. 應(yīng)用系統(tǒng) 發(fā)現(xiàn)該用戶沒有 CA Ticket（驗(yàn)證票據(jù)） ，確定用戶還沒有登 錄，把用戶定向至 Web CA 認(rèn)證中心。 4. 用戶在登錄頁面中輸入用戶名和密碼，確認(rèn)登錄。 6. 認(rèn)證中心為用戶頒發(fā)一個 Primary Ticket。 8. 應(yīng)用系統(tǒng) 緩存用戶的 CA Ticket 并為用戶提供內(nèi)容的服務(wù)或返回身份驗(yàn)證結(jié)果信息。 2. 應(yīng)用系統(tǒng) 發(fā)現(xiàn)用戶沒有自己的 CA Ticket， 應(yīng)用系統(tǒng) 把用戶定向到所屬的認(rèn)證中心。 4. 認(rèn)證中心生成 應(yīng)用系統(tǒng) 的 CA Ticket，返回給 應(yīng)用系統(tǒng) 。 注意：在該認(rèn)證過程中， Web CA 認(rèn)證中心不需要再訪問 用戶數(shù)據(jù)庫。 Consulting Service Consulting Service Consulting Service Service Service 用戶 B1 屬于認(rèn)證中心 B 的用戶。 ? 認(rèn)證流圖如下 1. 用戶 B1 訪問 應(yīng)用系統(tǒng) A1。 3. 認(rèn)證中心 A 先校驗(yàn) 應(yīng)用系統(tǒng) 的合法性，再發(fā)現(xiàn)用戶沒有 Primary Ticket。 5. 認(rèn)證中心 A 從用戶數(shù)據(jù)庫中讀取數(shù)據(jù)，再發(fā)現(xiàn)用戶不屬于認(rèn)證中心 A的 區(qū)域 。 7. 企業(yè)一級驗(yàn)證 中心將用戶信息交給用戶所在的 區(qū)域 的認(rèn)證中心 B。 9. 根據(jù)用戶認(rèn)證中心 B給 企業(yè)一級驗(yàn)證 中心 頒發(fā) Primary Key及 CA Ticket。 11. 認(rèn)證中心 A 給用戶頻發(fā) Primary Key。 13. 應(yīng)用系統(tǒng) A1 允許用戶訪問。 B1 已經(jīng)登陸， B1 訪問屬于認(rèn)證中心 A 的服務(wù)商 SP A2。 2. 應(yīng)用系統(tǒng) A2 發(fā)現(xiàn)該用戶沒有自己的 SP Ticket，把用戶定向到認(rèn)證中心A。 4. 應(yīng)用系統(tǒng) A2 允許用戶訪問。 ? 用戶認(rèn)證只需填寫用戶名和密碼 系統(tǒng)提供后備認(rèn)證功能，用戶在遺忘密碼后，有一個后備途徑可以恢復(fù)或更改密碼。 應(yīng)用系統(tǒng) 把用戶輸入的帳戶信息作為輸入?yún)?shù)調(diào)用認(rèn)證中心的認(rèn)證服務(wù)，認(rèn)證 中心校驗(yàn)了用戶的密碼后把用戶的ID 返回給 應(yīng)用系統(tǒng) ，并且根據(jù) 應(yīng)用系統(tǒng) 的請求，可以把用戶的部分 Profile 信息提供給 應(yīng)用系統(tǒng) 進(jìn)行個性化服務(wù)。 ? 隱私保護(hù) 系統(tǒng)在處理認(rèn)證過程中，不會將用戶的隱私信息泄漏給 應(yīng)用系統(tǒng) 。 . 安全性保證 ? 用戶標(biāo)識唯一性 每個用戶對應(yīng)于一個 64 位長的唯一標(biāo)識 ID。 ? 審核 對認(rèn)證數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行跟蹤審核。 ? 雙向驗(yàn)證 當(dāng)應(yīng)用系統(tǒng)注冊服務(wù)后，獲得一個唯一標(biāo)識 ID，和唯一的加密的鍵。 ? 安全傳輸 用戶登陸時輸入的用戶名和密碼以 SSL 方式向認(rèn)證服務(wù)器發(fā)出。該措施是為了防止一些黑客和破解程序使用字典數(shù)以千萬次不斷的猜測用戶的密碼。 SSO Agent 的作用 在于能夠最大程度兼容企業(yè)內(nèi)原來就有各種應(yīng)用程序，使用戶能夠不修改原有的應(yīng)用系統(tǒng)，就能夠?qū)崿F(xiàn)統(tǒng)一的 SSO。 . Win32 及 Lotus Notes 監(jiān)控及自動登錄實(shí)現(xiàn) Win32 和 Lotus Notes 都是通過標(biāo)準(zhǔn)的 Win32 API 在 Windows 操作系統(tǒng)上運(yùn)行的，因此可以通過 Windows API 函數(shù)跟蹤在內(nèi)存中運(yùn)行的窗口句柄，以及窗口和窗口中各種控件基于的類。 如下圖就是各種不同應(yīng)用系統(tǒng)中的控件類： SSO Agent 通過駐留在內(nèi)存中的鉤子函數(shù)，監(jiān)控內(nèi)存中正在運(yùn)行的窗口 Consulting Service Consulting Service Consulting Service Service Service 然后在 SSO Agent 能夠根據(jù)應(yīng)用程序的窗口中的控件類，識別出驗(yàn)證時需要填 寫的文本框（如：用戶名）、密碼框和需要自動點(diǎn)擊的按鈕。 . Web應(yīng)用程序監(jiān)控及自動登錄實(shí)現(xiàn) SSO Agent 包含了一個名為“ ”的 IE Addin 組件，作為監(jiān)控 Inter Explorer 正在訪問的網(wǎng)址以及網(wǎng)頁中內(nèi)容的“鉤子”。 用戶通過 IE 訪問基于 Web 的網(wǎng)站時，系統(tǒng)跟蹤到 IE 正在訪問的網(wǎng)址以及網(wǎng)頁中需要用戶填寫用戶名、密碼以及需要點(diǎn)擊的發(fā)送按鈕。 當(dāng)基于 Web 的應(yīng)用系統(tǒng)使用集成驗(yàn)證模式時，即在登錄系統(tǒng)使，不是使用HTML 頁面發(fā)送驗(yàn)證信息，而是通過 IE 彈出 Win32 驗(yàn)證窗口時，則不使用IEHelper 進(jìn)行識別和填寫，而是由 Win32 識別部分完成，因此能夠很好地兼容各種類型的 Web 應(yīng)用程序。 識別策略包含幾個部分的內(nèi)容： 1. 應(yīng)用類型 Consulting Service Consulting Service Consulting Service Service Service 2. 應(yīng)用識別信息 3. 驗(yàn)證信息獲取方法 4. 填寫策略 管理員的可以通過管理工具，指定應(yīng)用程序的識別策略的內(nèi)容，并發(fā)布到目錄服務(wù)器內(nèi)，統(tǒng)一登錄的根據(jù)。 ? 驗(yàn)證信息集中存儲 用戶各種應(yīng)用的識別和驗(yàn)證信息都集中存放在目錄服務(wù)器內(nèi)，在本地的信息通過加密后緩存在內(nèi)存中，只要用戶關(guān)機(jī)或者 注銷登錄后，就會失去，保證了信息不被竊取。 Consulting Service Consulting Service Consulting Service Service Service 第 4章 . 微軟與其他廠商解決方案對比 . 微軟解決方案的優(yōu)勢 ? 微軟的 SSO 解決方案是一套完整的體系 微軟在其 Active Directory 目錄服務(wù)的基礎(chǔ)上，實(shí)現(xiàn)了統(tǒng)一的驗(yàn)證體系。 ? SSO 實(shí)現(xiàn)的代價更低 微軟的目錄服務(wù)體系是內(nèi)置在服務(wù)器產(chǎn)品內(nèi)的，減少了其他 廠商需要額外購買的費(fèi)用。 因此微軟的 SSO 解決方案更有優(yōu)勢。 ? 能夠兼容以往的應(yīng)用系統(tǒng) 本解決能夠解決兼容以往應(yīng)用程序的問題。 . Oracle SSO解決方案分析 . Oracle SSO Server 產(chǎn)品背景 根據(jù) Oracle 官方網(wǎng)站 介紹， Oracle 9iAS Single SignOn 的解決方案是用來整合 Web 應(yīng) 用單點(diǎn)登錄的應(yīng)用需求，其核心技術(shù)就是 Oracle 9i AS SSO Server。原文如下： The core of Oracle SSO technology is the Oracle9iAS SSO Server. This technology was originally introduced in Oracle9iASv1 as a ponent of Oracle9iAS Portal, but in Oracle9iASv2 the SSO Server is an infrastructure ponent, and does not require Portal to be installed. 按照官方網(wǎng)站的介紹， Oracle SSO Server 提供了一個多個 Web 應(yīng)用程序的身份認(rèn)證 框架 ，減少了應(yīng)用程序的開發(fā)時間（新 Web 應(yīng)用無需再編寫登錄處理、身份認(rèn)證），減少 Web 應(yīng)用程序的系統(tǒng)管理員維護(hù)，而且由于用戶無需再記住多套密碼從而提供了系統(tǒng)的安全。以下分別介紹其劃分原理： 伙伴應(yīng)用與 Oracle SSO 框架緊密集成，由 SSO Server 驗(yàn)證用戶的身份，并且將驗(yàn)證過的用戶身份傳遞伙伴應(yīng)用程序。通過這種手段，可以簡化伙伴應(yīng)用程序的管理，并且減少開發(fā)的工作以及后續(xù)的管理工作的工作量。由于此類程序的驗(yàn)證登錄 Web 頁面也千差萬別，為了實(shí)現(xiàn)單點(diǎn)登錄，每個外部應(yīng)用程序都必須在 SSO Server 中進(jìn)行客戶化的應(yīng)用參數(shù)化設(shè)置。原文如下： External applications are those which retain their own usernames and passwords, and do not delegate responsibility for authenticating users to the Oracle9iAS SSO Server. These applications have not been developed or modified to work within the SSO framework. A typical external application might be one developed or deployed by a third party, such as a portal website which requires username and password for access to custom