科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道基础软件SSO单点登陆方案整理

SSO单点登陆方案整理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

SSO单点登陆方案整理 : 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上 .

作者:纯月 来源:CSDN 2008年1月24日

关键字: 方案 单点登陆 SSO

  • 评论
  • 分享微博
  • 分享邮件

整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

  配置IE浏览器
  ①internet选项-->安全-->本地intranet-->站点-->高级
  添加wls
  ②internet选项-->高级-->安全
  确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料  http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html


 


查看本文来源
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章