单点登录 (SSO) 是大部分大型企业向其用户(员工、合作伙伴、客户和承包商)提供的一项重要服务。在 IT 安全制度越来越严格的时代里,SSO 技术的使用使得公司能够以一种一致的方式跨多个应用程序实施访问控制策略,这减少了实现的总体成本。这些策略可能包括密码长度、密码复杂度、密码使用时长、以前的密码的重用等。无论一个应用程序必须遵守哪些规则或策略,您都只需实现一次即可在以后重用。对于利用此 SSO 基础架构的系统,认证和审计也得到了简化。
除了 IT 合规性,还能避免重大的风险。您有多少次路过配电室 (cubicle isles),看到了写着密码的便笺?您个人为记住每个企业系统的数百个密码所选的方法是什么?在整个企业中拥有 SSO,使您的用户只需记住一个密码,这不仅减少了将密码粘贴在配电室墙上的风险,还减少了密码共享的风险。如果您的电子邮件、人力资源福利制度,以及其他系统都使用同一个密码,用户不可能与他(或她)的同事共享该密码。
在成本节省方面,事实证明 SSO 能够通过减少服务台呼叫数量获得直接的投资回报。更少的不同密码意味着某人因为忘记密码而呼叫服务台的次数更少。多篇 Internet 文章与 Gartner 和 Forrester Research 等公司的报告称呼叫量可以减少 40% 到 70%。
首先看看支持 SSO 所需的一些基本的技术组件:
1.用户。一个尝试登录的用户
2.Web 应用程序。用户尝试登录到的一个应用程序对于本文,将该应用程序想作任何 Java™、Microsoft® .NET、PHP Web 应用程序或软件即服务 (SaaS) 应用程序,比如 SalesForce.com、Google Apps、Microsoft Office 365、Concur、ServiceNow 或 Workday。
3.Web 应用程序代理。对于在企业数据中心内运行的非 SaaS 应用程序,通常安装在托管该应用程序的 Web 或应用服务器之上。
4.策略服务器/SSO 服务器。提供实现 SSO 所需的所有功能和特性的软件部分
5.目录。存储用户名、密码和用户的其他属性的基础存储库
6.在大部分组织中,您会看到 Active Directory® Domain Services 或其他一些实现轻量级目录访问协议 (LDAP) 的目录软件。尽管不是最佳实践,但您也可使用关系数据库表。
策略/SSO 服务器和 Web 应用程序代理是SSO需要的两个重要组件。策略服务器/SSO 服务器常常称为身份决策点 (IDP)。IDP “决定” 用户凭据(用户名/密码)是否正确以及用户是否可以登录。每个大型企业软件供应商可能都提供了这一领域的部分技术或产品。这一领域的顶级解决方案包括 IBM® Security Access Manager for Enterprise Single Sign-On、CA SiteMinder 和 Oracle Access Management。此外,许多开源和 SaaS 产品正在市场中兴起,它们正成为上述产品(OpenAM、Okta、DirectAxs 和 Ping Identity)的重要竞争对手。
上面提及的每个产品都随带了自己的代理,这些代理必须安装在您尝试保护和为其启用 SSO 的应用程序的 Web 服务器和应用服务器上。一般而言,您将拥有大部分主要操作系统、Web 服务器软件和应用服务器软件的代理。代理的作用是拦截对一个应用程序的登录请求,然后将该请求传递给 SSO 服务器以制定决策。因此,此组件常常称为身份执行点。
本文中,web应用程序代理使用openam提供的tomcat agent,SSO服务器即openam。
服务器地址为http://openam.titan.co.nz:8080/openam
代理地址为http://tomcat.titan.local:9080/docs
将代理和sso服务器配置好之后(配置过程详见官网文档,不再赘述),登陆代理地址时页面会跳转至openam登陆页面,输入正确的用户名和密码后页面回到被保护的代理地址
604
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
