单点登陆

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。

　　当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，应该返回给用户一个认证的凭据－－ticket；用户再访问别的应用的时候就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行效验，检查ticket的合法性。如果通过效验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

　　目前业界已有很多产品支持SSO，如IBM的WebSphere和BEA的WebLogic，但各家SSO产品的实现方式也不尽相同。WebSphere通过Cookie记录认证信息，WebLogic则是通过Session共享认证信息。Cookie是一种客户端机制，它存储的内容主要包括: 名字、值、过期时间、路径和域，路径与域合在一起就构成了Cookie的作用范围，因此用Cookie方式可实现SSO，但域名必须相同; Session是一种服务器端机制，当客户端访问服务器时，服务器为客户端创建一个惟一的SessionID，以使在整个交互过程中始终保持状态，而交互的信息则可由应用自行指定，因此用Session方式实现SSO，不能在多个浏览器之间实现单点登录，但却可以跨域。

　　实现SSO有无标准可寻？如何使业界产品之间、产品内部之间信息交互更标准、更安全呢？基于此目的，OASIS（结构化信息标准促进组织）提出了SAML解决方案（有关SAML的知识参看链接）。

　　用户认证中心实际上就是将以上所有功能、所有概念形成一个整体，为企业提供一套完整的用户认证和单点登录解决方案。一个完整的用户认证中心应具备以下功能:

　　1. 统一用户管理。实现用户信息的集中管理，并提供标准接口。

　　2. 统一认证。用户认证是集中统一的，支持PKI、用户名/密码、B/S和C/S等多种身份认证方式。

　　3. 单点登录。支持不同域内多个应用系统间的单点登录。

　　用户认证中心提供了统一认证的功能，那么用户认证中心如何提供统一授权的功能呢？这就是授权管理中，其中应用最多的就是PMI。

　　PMI（Privilege Management Infrastructure，授权管理基础设施）的目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。PMI是属性证书（Attribute Certificate）、属性权威（Attribute Authority）、属性证书库等部件的集合体，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。

　　PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理，即由资源的所有者来进行访问控制。同公钥基础设施PKI相比，两者主要区别在于: PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，而且PMI可以利用PKI为其提供身份认证。