2016/1/11 16:01:10 单点登录在数字化校园中的应用(技术支持篇)

数字化校园建设为什么需要单点登录模式:

数字化校园的内涵包含:(1)网络基础设施,它是数字校园的基础,没有它就不可能形成数字的空间。(2)网络基本服务,它是数字流动的软件基础,包括电子邮件、文件传输、域名服务、身份认证和目录服务等。(3)应用支撑系统,包括办公自动化和各类管理信息系统等。(4)信息服务系统,它是校内用户的主要使用界面,为用户提供各种服务。由于各应用系统相互独立,一个用户在使用每一应用系统之前,都必须按照相应的系统身份进行系统登录。这样用户必须记住每一个系统的登录身份信息,造成用户使用的极大不便。鉴于此,单点登录(SSO:Single Sign-On)技术应运而生,它是指当一个用户要访问多个需要认证的应用系统时,只需要初始进行一次登录和身份认证,就可以对所有被授权的应用系统进行无缝地访问。

这是单点系统能够在数字化校园建设中应用而生的最主要原因,也是数字化校园建设中必不可少的技术,下面小编具体介绍单点登录系统的功能,简介和使用。

单点登录的认证机制

   SSO技术是在自己的安全域内验证多个资源或服务的一种方法,它只需要提交一次验证证书。 SSO的工作过程如下:(1)首先在两个应用系统A和B之间建立信任关系,共享用户身份信息;(2)用户通过身份验证登录到应用系统A;(3)登录到应用系统A的用户试图访问B应用系统,应用系统A将该用户的身份信息传送给应用系统B;(4)应用系统B接受传送来的用户身份信息,并验证其身份。如果验证通过,直接提供用户授权范围内的服务请求,不再需要用户提供凭证信息,如用户名和密码等。

在SSO的工作机制中,两个应用服务系统之间交互的关键内容是:身份信息和不同应用系统之间交换信息的方法。它涉及到如下几个主要的元素:(1)主要域 第一次验证用户身份信息的应用系统中的安全域,它将用户身份信息映射到次要域中。(2)次要域 系统中其它的安全域,它们获取从主要域映射来的用户身份信息,并对用户身份进行验证。(3)帐号/身份 用户信息。(4)身份验证上下文 应用系统通过身份验证上下文来了解另一个应用系统获取用户信息所采用的技术、协议、过程。(5)提供者元数据 建立两个交互的应用系统服务之间的信任及操作协议。

单点登录的实现模式

目前市场上出现了众多的SSO产品,例如Microsoft公司.net中的Passport, IBM WebSphere Portal Server, Netegrity Site-Minder,Oracle9iAS PortalServer等。虽然每个SSO产品的实现机制都不尽相同,但这些产品的实现机制都遵循一种通用的模式。它由三个主要部分组成:入口检查单元(gatekeeper)、身份认证单元(authenticator)和用户凭证存储单元(user credentialsstore)。

这三个组成部分之间的交互关系描述如下:

(1)当gatekeeper检查到用户正在访问一个受到保护的Web资源时,它首先检查该用户是否已为该Web应用创建好一个login session,如果没有,gatekeeper再检查是否已建立一个和authenticator相关的全局SSO session,如果没有,该用户被重定向到authenticator的登录页面,并要求该用户提供凭证信息,如用户名和密码等;

(2) authenticator接受该用户提供的凭证信息,并通过身份认证系统验证该用户;

(3)如果验证成功,它将创建一个全局login session,导向至gatekeeper,并在该用户的Web应用中为其创建一个loginsession;

(4) authenticator和gatekeepers之间通过多种方式进行交互,如共享cookie方式。

单点登录在数字化校园中的应用

本文以河南师范学校为例具体介绍单点登录模式在该校数字化校园建设中的应用

该校在2000年完成了校园网的一期工程建设。从那时起,在校园网络基础建设之上,学校各部门、院系陆续建设了各种业务应用系统,如人事管理,科研管理,财务管理,图书借阅管理等等。其中不乏很多提供公共服务的系统,这些系统往往各自拥有一套权限管理机制和身份认证方式。在这种情况下,一个用户如果需要登录不同的系统就需要采用多个账号和密码,不容易记忆,而很多用户往往在不同系统中使用相同的账号和密码,这样也不安全。同时,不同系统都采用自身的一套认证和用户管理机制,非常不利于学校统一管理。

单点登录系统正是为满足这种需求而产生的,用户经过一次身份认证就可以根据授权透明无缝地使用各个应用系统的资源,无需再次登录,避免了应用系统的重复开发和数据同步更新问题,便于系统之间的资源共享,促进网络的应用和发展。由于LDAP查询效率高,可以进行访问控制以及含有丰富的API与各种应用系统联系,安装管理维护也很简单,所以校园网的单点登录选择基于LDAP来实现。

数字化校园的建设是一个庞大的系统工程,该校根据学校的现状,制定了数字化校园建设分四步走的策略:第一步校园网基础设施建设;第二步校园一卡通建设;第三步公共数据库项目建设;第四步网上资源库建设。公共数据库项目是实现校内各类公共信息(管理、教学、科研)统一采用的整体解决方案,通过公共应用平台的构建使校内各种信息系统互通互连、数据共享,并通过门户网站提供给不同身份的用户相应的各类服务。公共数据库项目是整个数字化校园建设的主干项目和核心内容,是数字化校园建设中的“重中之重”,该校公共数据库体系结构如图1所示。

公共数据库系统

用户使用校园网的各种应用时,首先从客户端发送认证请求,通过统一身份认证接口到达LDAP服务器,LDAP服务器在目录信息树中查询是否为合法身份,进行身份认证和根据身份授予相应的权限,通过统一身份认证接口返回给客户端。

校园网单点登录是校园公共数据库项目的一部分。该校的公共数据库采用Sun Fire6800服务器,分为三个域,分别运行PortalServer,Application Server和Database Server,他们都支持LDAP。我们选择Sun ONE Directory Server和Sun ONE Certifi-cateManagementSystem等SunOne软件来实现单点登录。一旦用户授权认证, the iPlanetDirectory ServerAccessManagementE-dition SSO API就开始工作。每一次已授权用户试图访问一个受保护的WEB页面时,SSO API就检测用户是否有权利访问该资源。如果用户有权限访问该资源就不会有其他的认证过程发生,否则用户会被提示重新认证,如图2所示。

单点登录图

单点登录在该校邮件系统中的应用

该校Email系统使用的是亿邮的邮件系统。用户通过身份验证进入该校的公共数据库系统后,可以通过公共数据库系统中的“邮件”链接直接访问该校的教职工电子邮件系统,而不需要用户再次输入用户名和密码进行验证。该校Email SSO的具体实施步骤如下:

(1)首先在邮件系统和公共数据库系统上各保存一个se-cret字串,作为互相信任的依据。

(2)在公共数据库系统向邮件系统漫游认证时,向login传送如下表单:userid:用户的电子邮件用户名@域名格式。timestamp:当前时间戳。如果该时间戳和邮件系统当前时间相差超过设定上限则不允许漫游登录。authid:用secret+用户名+域名+时间戳生成的加密串。

(3)邮件服务器根据自身的secret和表单中的userid和timestamp进行标准md5计算,如果结果和authid吻合则执行登录过程,完成单点登录。

所以在这里特别推荐对数字化校园建设的院校,在进行新旧校园网技术改革的过程中一定要记着,选择门户技术的重要性。SSO是建立门户的关键技术,是构建数字化校园应用系统的基础。


 
QQ在线咨询
销售热线
0371-53302651