单点登录（SSO）—简介

单点登录SSO（Single Sign-On）是身份管理中的一部分。SSO的一种较为通俗的定义是：SSO是指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。

;GG9d7K#D;Sk-f3a5u0

i/{H,s0]&^$_1j)X0 目前的企业应用环境中，往往有很多的应用系统，如办公自动化（OA）系统，财务管理系统，档案管理系统，信息查询系统等等。这些应用系统服务于企业的信息化建设，为企业带来了很好的效益。但是，用户在使用这些应用系统时，并不方便。用户每次使用系统，都必须输入用户名称和用户密码，进行身份验证；而且应用系统不同，用户账号就不同，用户必须同时牢记多套用户名称和用户密码。特别是对于应用系统数目较多，用户数目也很多的企业，这个问题尤为突出。问题的原因并不是系统开发出现失误，而是缺少整体规划，缺乏统一的用户登录平台，使用SSO技术可以解决以上这些问题。
.Irg0xg q U,wv0 一、使用SSO的好处主要有
h;z8a5w3k mI0 (1)方便用户
[zS-v8P(pM l0 用户使用应用系统时，能够一次登录，多次使用。用户不再需要每次输入用户名称和用户密码，也不需要牢记多套用户名称和用户密码。单点登录平台能够改善用户使用应用系统的体验。PHPChina 开源社区门户d6NL0m bi
(2)方便管理员PHPChina 开源社区门户Gm^*]|}#j Q9h8X
系统管理员只需要维护一套统一的用户账号，方便、简单。相比之下，系统管理员以前需要管理很多套的用户账号。每一个应用系统就有一套用户账号，不仅给管理上带来不方便，而且，也容易出现管理漏洞。
,LK#s(?w0 (3)简化应用系统开发
eZ#|/p5Y0 开发新的应用系统时，可以直接使用单点登录平台的用户认证服务，简化开发流程。单点登录平台通过提供统一的认证平台，实现单点登录。因此，应用系统并不需要开发用户认证程序。
L4Q pw:hpIc$a0 二、实现SSO的技术 主要有
Z#cIV U rms0 (1) 基于cookies实现，需要注意如下几点：如果是基于两个域名之间传递sessionid的方法 可能在windows中成立，在 unix&linux中可能会出现问题；可以基于数据库 实现；在安全性方面可能会作更多的考虑。另外，关于跨域问题，虽然cookies本身不跨域，但可以利用它实现跨域的SSO。
$X0?3Y ZcOf ^ Ju$a0 (2)Broker-based(基于经纪人)，例如Kerberos等；PHPChina 开源社区门户s0{8A5Xh[[
这种技术的特点就是，有一个集中的认证和用户帐号管理的服务器。经纪人给被用于进一步请求的电子的身份存取。中央数据库的使用减少了管理的代价，并为认证提供一个公共和独立的"第三方"。例如Kerberos、Sesame、IBM KryptoKnight（凭证库思想）等。PHPChina 开源社区门户FGhh-[:D
Yz bq6a&ff
(3)Agent-based(基于代理)
d'p+a-of9O j)]2X0 在这种解决方案中，有一个自动地为不同的应用程序认证用户身份的代理程序。这个代理程序需要设计有不同的功能。比如, 它可以使用口令表或加密密钥来自动地将认证的负担从用户移开。代理被放在服务器上面，在服务器的认证系统和客户端认证方法之间充当一个"翻译"。例如 SSH等。PHPChina 开源社区门户O/[*Mih xBg7bM
(4)Token-based，例如SecurID、WebID、
,b(ey^C*@&TD'D7FI0 现在被广泛使用的口令认证，比如FTP，邮件服务器的登录认证，这是一种简单易用的方式，实现一个口令在多种应用当中使用。PHPChina 开源社区门户V FWX)o%y
(5)基于网关
] WTE(D~
o0 Agent and Broker-based，这里不作介绍。
(rtc:vy0Xq9~,c0 (6) 基于安全断言标记语言(SAML)实现，SAML（Security Assertion Markup Language，安全断言标记语言）的出现大大简化了SSO，并被OASIS批准为SSO的执行标准。开源 组织OpenSAML 实现了 SAML 规范，可参考http//www.opensaml.org。
^6lZX*z8C-t0 三、SUN SSO技术
7of*vKJ^&o[0 SUN SSO技术是Sun Java System Access Manager产品中的一个组成部分。PHPChina 开源社区门户*Y K:m;w0`8|
Sun 的新身份管理产品包括Sun Java System Identity Manager、Sun Java System Directory Server Enterprise Edition 和 Sun Java System Access Manager，以上三者为Sun Java Identity Management Suite (身份识别管理套件)的组成部分，它们与Sun Java Application Platform Suite、Sun Java Availability Suite、Sun Java Communications Suite、Sun Java Web Infrastructure Suite组成Java ES。具有革新意义的这一系列产品提供端到端身份管理，同时可与 60 多种第三方资源和技术实现互操作，集成产品可以从SUN公司网站下载，一般以Agent软件方式提供，是业内集成程序最高、最为开放的身份管理解决方案之一。
lvo5v+u3Y?7t!R
O0 在Sun 的新身份管理产品中，Sun Java System Access Manager是基中的一个重要组成部分，Java Access Manager基于J2EE架构，采用标准的API，可扩展性强，具有高可靠性和高可用性，应用是部署在Servlets容器中的，支持分布式，容易部署且有较低的TCO。通过使用集中验证点、其于角色的访问控制以及 SSO，Sun Java System Access Manager 为所有基于 Web 的应用程序提供了一个可伸缩的安全模型。它简化了信息交换和交易，同时能保护隐私及重要身份信息的安全。
a / J-x*|],z0 四、CAS 介绍PHPChina 开源社区门户|&n:YUi!n)y!M
CAS （Central Authentication Service），是耶鲁大学开发的单点登录系统（SSO，single sign-on），应用广泛，具有独立于平台的，易于理解，支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。PHPChina 开源社区门户Vv4c;?'hV
Spring Framework的Acegi安全系统支持CAS，并提供了易于使用的方案。Acegi安全系统，是一个用于Spring Framework的安全框架 ，能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务，包括使用Bean Context，拦截器和面向接口的编程方式。因此，Acegi安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广泛的应用，有着良好的社区环境。PHPChina 开源社区门户yIcsaV$[
CAS 的设计目标PHPChina 开源社区门户DQS)ON0m [5_8d v/i
(1)为多个Web应用提供单点登录基础设施，同时可以为非Web应用但拥有Web前端的功能服务提供单点登录的功能；
-s.n2mqMr,u5Y0 (2)简化应用认证用户身份的流程；PHPChina 开源社区门户 P#]*E nw^r7]
(3)将用户身份认证集中于单一的Web应用，让用户简化他们的密码管理，从而提高安全性；而且当应用需要修改身份验证的业务逻辑时，不需要到处修改代码 。
8E_.|K8R0 CAS 的实现原理
x0Kh$O%[*h^0 CAS（Central Authentication Server）被设计成一个独立的Web应用。实现原理非常简单。

b]$E
q1iU0 PHPChina 开源社区门户g!E2D;SW/hegI/

CAS创建一个位数很长的随机数（ticket）。CAS把这个ticket和成功登录的用户以及用户要访问的service联系起来。例如，如果用户 peon重定向自service S，CAS创建ticket T，这个ticket T允许peon访问service S。这个ticket是个一次性的凭证；它仅仅用于peon和仅仅用于service S，并且只能使用一次，使用之后马上会过期，即ticket通过验证，CAS立即删除该ticket，使它以后不能再使用。这样可以保证其安全性。
9o W |PC"^T'd0 关于ST，在取一个ST时，即使用delete Ticket(ticketId)同时将一次性的ST删除；而对于TGT或PT，则通过reset Timer(ticketId)以更新TGT或PT的时间。在CAS服务端返回的ST中只能得出用户名。PHPChina 开源社区门户)?r4F"E|S_6Y}K$h
另外，CAS3.0版本也已经发布了，现在最新的版本是3.03，希望CAS3.0在向下兼容的同时，更能向我们提供一些新东西。PHPChina 开源社区门户FN;D M~^ u/F ]

PHPChina 开源社区门户A8M
T|ug

SUN SSO 实现原理
@7jp)QNQ0 SSO的核心在于统一用户认证，登录、认证请求通过IDENTITY SERVER服务器完成，然后分发到相应应用。
)v4LK/X;z9_0 SUN SSO是java Access Manager的一个组成部分，SSO基于Cookie实现解释如下：PHPChina 开源社区门户2j1a W/@.uX
(1)Policy Agent on Web or Application Server intercepts resource requests and enforces access control;PHPChina 开源社区门户Q*m wx h E#D
(2)Client is issued SSO token containing information for session Validation with Session service.PHPChina 开源社区门户w ~Pq3ejQ
(3)SSO token has no content- just a long random string used as a handle.
}2L#i7@&tb(W Y0 (4)Web-based applications use browser session cookies or URL rewriting to issue SSO token.
~2a&N~0V O"i,p0 (5)Non Web applications use the SSO API(Java/c) to obtain the SSO token to validate the users identity.PHPChina 开源社区门户 i@5K @ E6gqD
SUN SSO 的应用PHPChina 开源社区门户(Z.q
e'o7Qe4}WlA
这里说的应用是指Sun Java System Access Manager的应用。成功应用例子很多，包括德国电信等公司的应用，国内也有大量高校在使用，也有相当多的其它行业的应用。
6C;jir5j /GtbSb^0 SUN SSO的开源
8k4r5M.Xy-i0 Sun 将发布其网络验证与网络单点登录技术，给一项新的开放源代码计划“Open Web Single Sign-On”（Open SSO）。OpenSSO网站位于：https://opensso.dev.java.net/ 。该网站对OpenSSO的概述为：This project is based on the code base of Sun Java(tm) System Access Manager Product, a core identity infrastructure product offered by Sun Microsystems.PHPChina 开源社区门户 _A+G:Z7Qe1_Y
OpenSSO 计划的第一部份源代码，将于今年年底完成，基本的版本将于明年3月份发布，而完整的版本可能要等到明年五月份。Sun 采用与Solaris 操作系统相同的共同开发暨流通授权（Common Development and Distribution License）方式。

a dZ1T$l[ YQ0