单点登录实现方式介绍.docxVIP

1 单点登录实现方式介绍 门户系统供应单点登录(SingleSign On ，SSO)支持。单点登录意味着用户只需 登录一次，即可访问任何集成到门户中的应用系统。 通过 IBM Tivoli Access Manager for e-Business 为企业 Web 环境供应功能强大 的单点登录(SSO)功能。具体实现时，在企业内部全部的Web 应用前放置一个 WebSEAL，全部用户对后台 Web 资源的访问都需要通过 WebSEAL 来完成， WebSEAL 可以与全部的 Web 应用进行集成，可以和后台的 Web 应用建立连接， 将用户的登录信息传送给应用，同时仍保持对用户的透亮?????。在使用 IBM Tivoli Access Manager for e-Business 时，用户需要在 WebSEAL 上登录一次，此后，用 户就可以通过 WebSEAL，访问有权访问的全部 Web 应用。 IBM Tivoli Access Manager for e-Business 主要供应三种实现单点登陆的方式， 1) LTPA WebSphere 和 Domino 供应基于 cookie 的轻量级第三方认证机制(LTPA ， Lightweight Third-Party Authentication)，可以配置 WebSEAL，连接支持 LTPA 的 应用系统，并为客户机供应单点登陆功能。当用户发出对 WebSphere 资源的请 求时，必需首先向 WebSEAL 认证。用户认证成功后， WebSEAL 代表用户生成 LTPA cookie。作为 WebSphere 认证标记服务的 LTPA cookie 中包含用户标识、密钥和 标记数据、缓冲区长度以及到期信息等，这些信息使用 WebSEAL 和 WebSphere 之间共享的受密码爱护的密钥加密。 WebSEAL 在恳求的 HTTP 头中插入 cookie ， 该恳求通过连接发送到 WebSphere，后台的 WebSphere 服务器接收恳求、解密 cookie 并基于 cookie 中供应的标识信息来认证用户。如下图所示： 2 LTPA 的认证机制可以支持 IBM 的三个主要产品(IBM Tivoli Access Manager for e-Business 、WebSphere Portal 、Lotus Domino)之间的用户认证，针对 606 所的 现状，要求在和现有 IBM 产品进行集成的时候，可以接受这种基于 LTPA 的认证 机制。 2) Form-Based SSO 基于表单的单点登陆功能，允许 WebSEAL 将已认证的 Tivoli Access Manager for e-Business 的用户， 透亮?????地登陆到需要通过 HTML 表单认证的后台系统中， 具 体的登陆步骤可以参看下图： 3 应用系统名 应用系统名 应用系统 A 应用系统 B 应用系统 C TAMeb 用户： zhangsan 用户名 密码 Zhangsan qwe123 Zhangs qwe125 zhang_san asd123 利用这种实现单点登陆的方式， WebSEAL 需要把用户名和密码提交给后台的 应用系统来完成认证工作， 因此需要在 TAMeb 中， 维护一套 TAMeb 用户和后台 应用系统中用户名/密码的对应关系表，例如： 3) HTTP Header 利用这种认证方式， WebSEAL 可以把经过认证的用户身份信息 (可以包括所 有在 inetOrgPerson 对象类中定义的用户属性)从用户名目中猎取到，通过HTTP 4 Header 传给后台的应用系统， 后台的应用系统可以从 HTTP Header 中把这些用户 信息截取出来， 通过一个属性或者多个属性来确认用户身份， 从而实现单点登陆 的功能。 这种单点登陆的方式需要后台应用系统进行相应的修改， 使它可以识别 HTTP Header 中的用户信息。 以上三种方式中， HTTP Header 方式配置最为便利，可以优先考虑，但前提 是这种方式必需由原系统开发商对后台系统的登录认证机制进行调整。 Header 方式的原理是(前提条件：用portal 登陆的用户名必需和后台业务 系统中的用户名全都)WebSEAL 通过在HTTP Header 中插入用户名信息来通知后 台业务系统，后台业务系统必需要改造成为信任webseal 服务器，对于webseal 发来的恳求，只要从 header 中取出用户名信息即可认为是已经认证通过。由于 后台业务系统与 WebSEAL 服务器的通讯并不会暴露在安全层以外， 所以这种信任 的安全性是