作者:soldierxue@163.com
单点登陆(SSO)在企业内部业务系统之间是一个非常常见的需求,本文收录了网上关于这方面的精彩介绍,并加入作者自己的实践经验,期望可以给大家一些帮助:
理解单点登录:单目录环境vs多目录环境
- 单点登陆:简单来说,就是对最终用户来讲,他们只需要登陆一次,就可以访问所有的后台系统,比如说,用户登陆到 WebSphere Portal 就可以访问后台的邮件系统、SAP应用等。
- 单点登陆是需要浏览器的 Cookie 支持的:典型的 LTPA Cookie 包含了加密的用户标识,在同一个域 (比如site1.abc.com和site2.abc.com)的情况下,浏览器会自动将 LTPA Cookie 发送到后台服务器;
- LTPA Cookie的安全性:Cookie内容是加密的,密钥保存在服务器端,所以保护好密钥文件,就能保证LTPA Cookie的安全性
- 单目录环境:就是个应用系统,通过同一的目录服务器认证,所以用户的唯一标识是一致的,只要能保证服务器之间可以解析 LTPA Cookie 就能实现SSO
- 多目录环境:比较复杂,有可能一个用户的标识符,在不同的目录服务其中是不一样的,需要作映射
IBM WebSphere Portal提供的SSO技术
- LTPA Token:
主要应用于参与SSO的登录都是WAS或者Domino等IBM的中间件产品。如果两者指向同一个LDAP服务器(或者用户信息完全相同的不同LDAP),只 需要激活该功能,在参与SSO的应用服务器之间交换密钥,浏览器就可以利用保存到本地LTPA令牌在这些服务器之间自动的进行SSO.