在本解决方案中,我们提供的单点登录功能,能够开放地接入第三方系统,比如第三方的邮件系统、其他业务系统等,为满足用户统一登录统一授权的需要,系统提供了单点登录技术,不仅实现系统内的集成登录,也能够提供跨产品的SSO架构。
系统的Single Sign-On技术,为Web用户提供了单一登录功能。需要单点登录的应用必须是运行在SSO框架中并依靠SSO服务验证用户的应用。
LDAP集成
SSO Server 向基于 Web 的应用提供 SSO 功能。 SSO Server 允许 SSO 用户名和口令被保存在中央 LDAP 目录中。一个用户名与口令组合通过与目录中的组合进行比较验证。如果成功,这个口令就得到了证实。
LDAP 已经日益成为维护集中式企业信息(包括 SSO 证书)的首选机制。通过在 LDAP目录中保存 SSO 证书,使得任意具有 LDAP 功能的应用都可以使用保存在 LDAP 目录中的用户名和口令作为这个应用的单一登录口令。
对PKI的支持
在许多应用中,PKI 验证开始取代口令字。在基于 Web 的应用中,PKI 验证一般作为建立 SSL 过程的一部分通过交换 X.509 证书来执行。PKI 本身可以被用来提供单一登录,因为拥有证书的用户无需输入口令,就可以向多个应用验证身份。
用户可以通过PKI 向 SSO Server 验证身份。这就为 SSO Server 支持的基于 Web 的应用和其它 PKI 驱动的应用,提供了单一登录功能。用户不是提供 SSO 用户名和口令,而是通过 SSL 利用客户机和服务器 X.509 证书交换向 HTTP Server 验证身份。SSO Server 将从 HTTP 服务器中获得用户的经过 SSL 验证的证书,并在目录服务器中查找这个证书。如果这个用户被找到,目录服务会将用户的 SSO 身份送交 SSO Server。 SSO Server 就利用Cookie 的方法,执行对应用的身份验证。
单一退出
单一退出特性使用户不仅能终止一个 SSO 会话,还能终止于应用程序的会话。该特性非常重要,因为应用程序的超时时间可能会比 SSO 会话要长,所以如果合作伙伴应用程序Cookie 的有效期比 SSO Cookie 长,则用户可能没有有效的 SSO 会话,但是还继续拥有有效的应用程序会话。单一退出特性使用户能通过一次操作从 SSO 会话和所有合作伙伴应用程序中退出。
质疑应用
质疑应用支持特性允许应用程序强制 SSO 服务器对一个用户进行重新认证,而无论SSO Cookie 是否依然有效。在该特性引入之前,如果一个应用程序的会话超时但 SSO 会话依然有效,则应用程序将用户重定向到 SSO 服务器,但 SSO 服务器不对用户重新认证,而只是简单地将用户身份返回,这个质疑应用特性允许敏感的应用程序比 SSO 服务器要求更频繁的认证。它还允许事件驱动的认证,因此当用户在一个应用程序中执行某些特别敏感的操作时就可以强制对其进行重新认证。
全局非活动状态检测
应用程序可以通过上面所述的质疑应用特性基于非活动状态使一个会话停止。当在制定的时间段内未能成功地使用任何一个应用程序将会导致 SSO 会话的超时(结束)。该特性可以用来实施安全性策略,即如果用户在一定时间段内没有进行任何操作,则要求对其进行重新认证。
