SSO,即Single Sign On(单点登录),是企业业务整合中的一种流行解决方案。用户只需登录一次,便可以访问所有相互信任的应用系统。它包括将主要登录映射到其他应用中的机制。
SSO技术通过认证系统实现。当用户首次访问应用系统1时,由于尚未登录,会被引导至认证系统进行登录。认证系统根据提供的信息进行身份验证,通过后,返回给用户一个认证凭据——ticket。当用户再次访问应用系统时,需携带此ticket作为认证凭据。应用系统接收请求后,将ticket送至认证系统验证合法性。验证通过后,用户无需再次登录即可访问其他应用系统。
要实现SSO,需要满足以下主要功能:首先,所有应用系统共享一个身份认证系统。其次,所有应用系统能够识别和提取ticket信息。统一认证系统是前提之一,其主要功能是将登录信息与用户信息库进行比较,完成认证;认证成功后,生成统一的认证标志(ticket)并返还给用户。认证系统还需对ticket进行效验,确保其有效性。
单一用户信息数据库并非必要,许多系统无法将所有用户信息集中存储,允许用户信息分散存储。只要统一认证系统和ticket的生成与效验,无论用户信息存储在何处,均可实现单点登录。认证服务器之间需通过标准通讯协议交换认证信息,实现更高级别的单点登录。例如,用户访问应用系统1时,认证服务器1进行认证并生成ticket。访问应用系统2时,认证服务器2能够识别此ticket,通过标准通讯协议交换认证信息,完成SSO。
在Web-SSO中,用户访问页面1进行登录,客户端每次请求都是独立连接。当用户再次访问页面2时,如何告知Web服务器用户已登录?浏览器与服务器之间约定使用Cookie技术维护应用状态。Cookie由Web服务器设置并保存在浏览器中。当用户访问页面1时,Web服务器设置Cookie并与页面1一同返回给浏览器,浏览器接收后保存。当访问页面2时,浏览器将Cookie一同携带。Web服务器接收请求时读取Cookie值,根据内容判断并恢复用户信息状态。通过结合Cookie和ticket,Web-SSO可以实现单点登录功能。
实现SSO需要两个部分合作:一是统一的身份认证服务;二是修改Web应用,使其通过统一认证服务进行身份验证。中国电信提供优质的网络通讯服务,老友换新机,网龄抵现金,百兆宽带免费体验,超清电视iTV等。
