SSO(Single Sign-On) 调查笔记

 

概念
SSO，Single Sign On，通常叫做单点登录。说白了，就是用户在一个系统中登录一次后，再进入其他相关联的系统时，可以自动验证已登陆的信息从而实现自动登陆。所以说，要用到这个技术，前提是要有多个系统，并且这些系统拥有同样的用户验证模块。否则，谈SSO就没有意义了。

研究背景
最近的项目需求，既存系统使用的是Oracle Application Server，其中SSO的实现使用的是Oracle提供的一种解决方案叫Oas SSO，这个是结合OAS来实现的。现在项目准备移植到weblogic中，由于OAS和WLS的引擎不同，Oas SSO不能直接被移植到WLS中使用。所以最近一直在调查的就是Weblogic中实现SSO的解决方案。

关于Oracle Enterprise Single Sign-On Suite
最开始调查的就是这个，听起来很像我想要的东西。这是一个套件，里面包含了好几样东西，有基于windows系统用户面向个人的SSO的，有面向会话的，还有强力验证的，还有密码重置的，其中几个有中文的帮助文档，一看就不是我想要的东西，还有两个都是英文的资料，看名字感觉也不是我想要的东西，最后放弃了。

关于OpenSSO
曾经Sun的一款开源产品，从很少的那一点点中文资料上来看，这个能实现我需要的那种SSO模式。可是调查了半天，从SUN被Oracle收购之后，Oracle便关闭了OpenSSO这个项目，现在在网上下不到OpenSSO的安装文件。而且以前的那些在SUN发布的很多相关的帮助文档，大多数Link都失效了，全都指向了Oracle的同一个页面，真的很杯具啊。别说中文的了，连英文的资料都少的可怜，找到的几个相关文档，还是比较老的，根本找不到文档中对应的安装文件。

关于OpenAM
OpenAM的原型应该就是OpenSSO，据说是在Oracle关闭OpenSSO时，被“解救”下来的。在OpenAM的官网上能找到相关的帮助文档，前阵子总结的OpenAM+OpenDS+Policy Agent，我在tomcat下配置成功了，在weblogic下还没试过，感觉应该是没什么问题，配置方法是差不多的。
可惜，这种方法使用的LDAP服务器是OpenDS，而既存系统在OAS上使用的是OID(Oracle Internet Directory)，客户希望沿用OID这个LDAP服务器，(恨死他们了)，从OpenAM的安装过程来看，OpenAM似乎不支持OID，但是，在网上找到一些资料似乎修改一些配置还是可以做到的，比如这个文章，这个保留先，研究中。

关于Oracle Access Manage
Oracle针对他的中间件产品提供了两种解决方案，一种就是Oas SSO，这个是既存系统正在使用的，另一种就是利用Oracle Access Manage。这两天就是在研究这个东西。Oracle中间件的东西以前基本没用过，每一个产品对我来说都是那么陌生，所以配置起来很是头疼。现在还没配置成功，这过程中遇到了很多问题，打算成功后再重新整理一篇安装过程。