SSO(Single Sign-on)即单次登录,指用户只需向网络验证(即证明他或她的身份)一次身份,之后无需另外验证身份,就可访问所有被授权的网络资源。这里的网络资源包括从打印机和其它硬件,到应用程序、文件和其它数据的一切资源,它们可以散布于整个企业内运行不同操作系统的不同类型的服务器上。
企业用户在构建SSO系统的时候,一般采用建立独立认证平台的方式进行构建,在这个认证平台上实现用户账号的集中统一管理,实现对用户操作的权限控制,实现对用户操作行为的审计。
1.用户通过认证客户端登录认证服务器,认证服务器根据该用户的授权返回相应的授权信息
2.用户根据授权信息访问相应的服务器
3.I_Ctrl管理器通过远程和本地管理认证和授权平台
目前实现SSO的技术主要有两种:一种是利用自动化登录技术,来屏蔽用户登录不同系统的过程;一种是采用一个具有SSO功能的协议来完成。无论用哪一种方式来实现SSO,都有一个共同的过程需要完成,就是最初的登录过程。
采用自动化登录技术,就是屏蔽用户登录目标系统的过程,原来用户在使用目标系统的时候,需要输入用户名和口令(或者其他认证方式),自动化技术能够通过一些脚本自动为用户输入口令和用户名,而整个登录过程对用户透明。这种方式一般对目标系统较为透明,能够通过脚本完成对绝大多数目标系统的登录过程。但是登录脚本的编写和使用对于用户比较专业,要求较高。
采用具有SSO功能的协议来完成的一个典型代表就是使用Kerberos协议,Kerberos协议提供了采用票据来访问目标系统,这也是目前采用的一种比较流行的单点登录技术;但是这种技术有一定的不足,就是它需要对目标系统或目标服务进行Kerberos化,这就限制它对一些封闭系统的应用如网络设备上的应用;因为在目前的很多的网络设备上都不支持Kerberos认证。
如果把以上两种技术进行有机的结合,就能比较好地解决这些问题,如亿阳信通股份有限公司研制的e_Ctrl身份&访问管理平台,可以以任意组合方式支持以上两种认证技术,实现灵活。其访问流程如左图所示。
亿阳e_Ctrl身份&访问管理平台基于开放性设计架构,为企业应用间实现账户统一管理,为企业用户提供单次登录,为企业管理提供基于角色的授权机制,平台支持包括应用程序,网络设备、网络资源访问、操作系统等多层面的资源访问管理。