SSO单点登陆方案整理

最新推荐文章于 2024-08-25 22:43:05 发布
最新推荐文章于 2024-08-25 22:43:05 发布
阅读量68 收藏
点赞数
文章标签: SSO IE 应用服务器 Windows Weblogic
<iframe align="center" marginwidth="0" marginheight="0" src="http://www.zealware.com/csdnblog336280.html" frameborder="0" width="336" scrolling="no" height="280"></iframe>

整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必须有一台SSO服务器,桌面程序通过httpclient验证身份,然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法:
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候,web app先redirect到ssoserver,验证cookies后,跳回来,对用户来说,感觉不到去过ssoserver,呵呵,

很多网站,例如google好像就是这个方法


jaas本质上只解决一个登录可配置的问题,像tomcat用jaas,只能解决同时登陆tomcat上得N个应用,而且仅限于java,对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的,扩展不一定方便。


3 如果windows是唯一登录入口,也就是没有第二台SSO登录服务器。
那么实现SSO的核心,就是登录域之后,IE能够把域信息发送给服务端:

配置IE浏览器
①internet选项-->安全-->本地intranet-->站点-->高级
添加wls
②internet选项-->高级-->安全
确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后,要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询/响应身份验证)可以使用NTLM或Kerbetas身份验证,NTLM是Microsoft的一项专有技术,自问世以来已几经更新,

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派,这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题,在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派,我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory,因为Active Directory 充当Kerberos令牌授予服务(TGS/TGT)。

如果用kerberos,那就很简单了,windows和weblogic都支持kerberos,认证数据都在AD上
参考资料 http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html





整理一下:


1 对于纯web得sso,如果有独立得SSO登陆服务器,所有的验证都跳转到这个服务器的界面,登陆的状态保留在sso server上

2 如果要桌面和web共同认证,还是必须有独立得SSO,

对于自己实现的方案,例如如果是通过一个桌面程序来实现SSO,那么必

happmaoo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSO单点登录的实现步骤及代码整理
奋斗中的小码农博客
02-21 4859
SSO单点登录的理解和总结 单点登录是什么? 通俗的讲可以理解为:是一个系统登录,与其相关的系统模块就不用重复登录。 (登录一次就可以访问多个应用场景模块,减少重复登录,增加客户体验度) SSO介绍 SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的...
单点登录(SSO
weixin_38015542的博客
07-02 2992
单点登录(Single Sign-on, SSO
JAVA-SSO单点登录方案整理-第三方登录
渔人
09-05 1125
SSO方案: 只是记录一个解决方案:(多服务器-五地三活策略) 1:利用-nginx的 ip_hash,去解决,思路就是,把某一台代理过来的客户端信息,单独跟某一台服务器绑定,以后这个ip的所有请求都会分发到绑定的这个服务器,相当于变相的解决了,单点登录。就跟传统的一个服务器系统登录没什么区别了。 这种适合并发量不大的情况下去做,缺点是容易发生单点故障 2:子系统之间同步session信息,实...
SSO 单点登录
Quasimodo24的博客
09-04 392
前言:SSO 单点登录   “半吊子”的全栈工程师又来了,技术类的文章才发表了两篇,本来想先将主攻的几个系列都开个头(Nodejs、Java、前端、架构、全栈等等),无奈博客起步太晚,写博文的时间又没有很多,只好不按顺序乱发一通,请大家见谅。   本篇文章介绍一下单点登录,不像上一篇博文介绍的前后端分离,SSO 并不能算是一种架构吧,只能说是一个解决方案。由于笔者参与过医院集成平台项目,负责其...
多维系统下单点登录之整理解决方案
08-25 1015
用户登录之后, 将认证信息存储至Cookie,当再次访问本服务或者访问其他应用服务时,直接从Cookie中传递认证信息,进行鉴权处理。
实战:单点登录的两种实现方式,附源码
阿Q的小窝
06-01 5219
单点登录(SSO)是一种身份验证服务,允许用户使用单个标识来登录多个应用程序或系统。如下图所示,用户只需要用户名/密码登陆一次就可以访问系统A、系统B和系统C。
【功能实现】单点登录 / SSO - 学习/实践
"代码"的日常搬运
01-10 4034
主要是学习,实践,实现单点登录,弄清楚其中的原理, 以及如何落到工作当中.
单点登录SSO解决方案之SpringSecurity+JWT实现
2401_84046695的博客
04-20 831
**@author: 波波烤鸭*/try {try {resultMap.put(“msg”, “用户名或密码错误!”);try {resultMap.put(“msg”, “认证通过!”);/**@author: 波波烤鸭*///如果携带错误的token,则给用户提示请登录!
bladex实现单点登录
穆雄雄的博客
04-17 3016
大家好,我是雄雄,欢迎关注微信公众号:雄雄的小课堂 前言 现在是:2022年4月17日16:19:51 在实际开发中,有时候我们有这样的需求,即,一个体系中的用户是共通的,比如统一体系下,A系统的张三,去B系统中不需要重新注册即可直接登录,今天简单的整理了下,希望对大家有帮助。 效果如下 同步用户至别的系统中 1.配置代理 找到vue.config.js文件,在devServer节点下面配置一个代理: "/programme": { //本地服务接口地址 targe..
SSO 单点登录.医疗信息系统应用
流云阁
11-17 744
前言:SSO 单点登录   “半吊子”的全栈工程师又来了,技术类的文章才发表了两篇,本来想先将主攻的几个系列都开个头(Nodejs、Java、前端、架构、全栈等等),无奈博客起步太晚,写博文的时间又没有很多,只好不按顺序乱发一通,请大家见谅。   本篇文章介绍一下单点登录,不像上一篇博文介绍的前后端分离,SSO 并不能算是一种架构吧,只能说是一个解决方案。由于笔者参与过医院集成平台项目,负责其中单点登录的设计研发工作,将经验总结分享一下,也不一定是最优方案,正确与否那就“仁者见仁智者见智”了。...
sso单点登录(整理的学习文档)
04-19
### SSO单点登录概述与关键技术 #### 一、单点登录(Single Sign-On, SSO)的概念 单点登录是一种使用户仅需一次身份验证即可访问多个应用程序的技术。这通常应用于互相信任的系统之间,允许用户在一个系统中登录后...
cas单点登录汇总整理.rar
05-10
单点登录(Single Sign-On,简称SSO)是一种网络身份验证机制,允许用户在一次登录后,即可访问多个相互关联的应用系统,而无需再次输入凭证。CAS(Central Authentication Service)是 Yale 大学开发的一个开源项目...
基于springboot大学生智能消费记账系统的设计与实现.docx
最新发布
09-06
基于springboot大学生智能消费记账系统的设计与实现.docx
基于Mnist数据集生成用于(多)目标检测的小型数据集.zip
09-06
1 目标检测的定义 目标检测(Object Detection)的任务是找出图像中所有感兴趣的目标(物体),确定它们的类别和位置,是计算机视觉领域的核心问题之一。由于各类物体有不同的外观、形状和姿态,加上成像时光照、遮挡等因素的干扰,目标检测一直是计算机视觉领域最具有挑战性的问题。 目标检测任务可分为两个关键的子任务,目标定位和目标分类。首先检测图像中目标的位置(目标定位),然后给出每个目标的具体类别(目标分类)。输出结果是一个边界框(称为Bounding-box,一般形式为(x1,y1,x2,y2),表示框的左上角坐标和右下角坐标),一个置信度分数(Confidence Score),表示边界框中是否包含检测对象的概率和各个类别的概率(首先得到类别概率,经过Softmax可得到类别标签)。 1.1 Two stage方法 目前主流的基于深度学习的目标检测算法主要分为两类:Two stage和One stage。Two stage方法将目标检测过程分为两个阶段。第一个阶段是 Region Proposal 生成阶段,主要用于生成潜在的目标候选框(Bounding-box proposals)。这个阶段通常使用卷积神经网络(CNN)从输入图像中提取特征,然后通过一些技巧(如选择性搜索)来生成候选框。第二个阶段是分类和位置精修阶段,将第一个阶段生成的候选框输入到另一个 CNN 中进行分类,并根据分类结果对候选框的位置进行微调。Two stage 方法的优点是准确度较高,缺点是速度相对较慢。 常见Tow stage目标检测算法有:R-CNN系列、SPPNet等。 1.2 One stage方法 One stage方法直接利用模型提取特征值,并利用这些特征值进行目标的分类和定位,不需要生成Region Proposal。这种方法的优点是速度快,因为省略了Region Proposal生成的过程。One stage方法的缺点是准确度相对较低,因为它没有对潜在的目标进行预先筛选。 常见的One stage目标检测算法有:YOLO系列、SSD系列和RetinaNet等。 2 常见名词解释 2.1 NMS(Non-Maximum Suppression) 目标检测模型一般会给出目标的多个预测边界框,对成百上千的预测边界框都进行调整肯定是不可行的,需要对这些结果先进行一个大体的挑选。NMS称为非极大值抑制,作用是从众多预测边界框中挑选出最具代表性的结果,这样可以加快算法效率,其主要流程如下: 设定一个置信度分数阈值,将置信度分数小于阈值的直接过滤掉 将剩下框的置信度分数从大到小排序,选中值最大的框 遍历其余的框,如果和当前框的重叠面积(IOU)大于设定的阈值(一般为0.7),就将框删除(超过设定阈值,认为两个框的里面的物体属于同一个类别) 从未处理的框中继续选一个置信度分数最大的,重复上述过程,直至所有框处理完毕 2.2 IoU(Intersection over Union) 定义了两个边界框的重叠度,当预测边界框和真实边界框差异很小时,或重叠度很大时,表示模型产生的预测边界框很准确。边界框A、B的IOU计算公式为: 2.3 mAP(mean Average Precision) mAP即均值平均精度,是评估目标检测模型效果的最重要指标,这个值介于0到1之间,且越大越好。mAP是AP(Average Precision)的平均值,那么首先需要了解AP的概念。想要了解AP的概念,还要首先了解目标检测中Precision和Recall的概念。 首先我们设置置信度阈值(Confidence Threshold)和IoU阈值(一般设置为0.5,也会衡量0.75以及0.9的mAP值): 当一个预测边界框被认为是True Positive(TP)时,需要同时满足下面三个条件: Confidence Score > Confidence Threshold 预测类别匹配真实值(Ground truth)的类别 预测边界框的IoU大于设定的IoU阈值 不满足条件2或条件3,则认为是False Positive(FP)。当对应同一个真值有多个预测结果时,只有最高置信度分数的预测结果被认为是True Positive,其余被认为是False Positive。 Precision和Recall的概念如下图所示: Precision表示TP与预测边界框数量的比值 Recall表示TP与真实边界框数量的比值 改变不同的置信度阈值,可以获得多组Precision和Recall,Recall放X轴,Precision放Y轴,可以画出一个Precision-Recall曲线,简称P-R
8051Proteus仿真c源码步进电机C版本
09-06
8051Proteus仿真c源码步进电机C版本提取方式是百度网盘分享地址
国内人气最高的Java人工智能算法框架 它可以Maven一键丝滑引入我们的Java项目,无需任何额外的环境配置与依赖,做到开箱即
09-06
国内人气最高的Java人工智能算法框架(java版pytorch)。它可以Maven一键丝滑引入我们的Java项目,无需任何额外的环境配置与依赖,做到开箱即用。再者,它既有一些我们已经封装好的图像目标检测及人工智能客服的模块,也提供各种深度学习,机器学习,强化学习,启发式学习,矩阵运算,求导函数,求偏导函数等底层算法工具。
QGraphicsView+QGraphicsScene+Item,实现加载背景图片(放大、缩小,右键移动)绘制线、矩形、多边形
09-06
继承QGraphicsItem,实现加载背景图,可鼠标滚轮放大、缩小、右键拖动; 创建CustomItemBase,实现绘制图像的父类+工厂模式, 实现绘制标记点、矩形、线、多边形、曲线,并且可对图像进行单击选中,移动、删除; 矩形、线、多边形,还可以进行选中,拖拽大小。
数字电子技术实验报告+
09-06
数字电子技术实验报告+
多层感知机的从零开始实现与pytorch简洁实现(pycharm版)
09-06
可以在pycharm直接运行的两个py文件:一个是从零实现,另一个是简洁实现。
xxxx集团惠普SSO单点登录技术实施方案
"惠普SSO单点登录技术方案旨在解决xxxx集团在系统集成中的身份验证和访问管理问题,提供统一的登录体验,提高用户效率,同时简化系统管理员的工作。" 单点登录(Single Sign-On,简称SSO)是一种让用户通过一次登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值