SSO

在日常生活中，很多人由於忘記某些網站的登錄密碼而煩惱，因為大多數用戶都要記憶不少於10個用戶名和相應密碼。為了便於記憶，很多人都在不同的站點使用相同的用戶名和密碼，雖然這樣可以減少負擔，但是同時也降低了安全性，而且使用不同的站點同樣要進行多次登錄。同時，隨著信息化飛速發展，大型企業和政府部門等都開始使用電子系統進行辦公，而且整個辦公系統由多個不同的子系統構成，如辦公自動化(OA)系統，財務管理系統，檔案管理系統，信息查詢系統等。如果每個系統都使用獨立的登錄和驗證機制，那麼每天工作人員都要登錄不同的系統進行辦公。用戶登錄的頻繁操作，降低了員工的工作效率，造成工作成本的浪費。而大量的密碼和用戶名的記憶時間長了也會出現問題，忘記密碼或者混淆密碼都會造成很大的麻煩。基於以上原因，為用戶提供一個暢通的登錄通道變得十分重要。

單點登錄(SingleSign-On，SSO)是一種幫助用戶快捷訪問網路中多個站點的安全通信技術。單點登錄系統基於一種安全的通信協議，該協議通過多個系統之間的用戶身份信息的交換來實現單點登錄。使用單點登錄系統時，用戶只需要登錄一次，就可以訪問多個系統，不需要記憶多個口令密碼。單點登錄使用戶可以快速訪問網路，從而提高工作效率，同時也能幫助提高系統的安全性。

當用戶第一次訪問應用系統1的時候，因為還沒有登錄，會被引導到認證系統中進行登錄；根據用戶提供的登錄信息，認證系統進行身份校驗，如果通過校驗，應該返回給用戶一個認證的憑據－－ticket；用戶再訪問別的應用的時候就會將這個ticket帶上，作為自己認證的憑據，應用系統接受到請求之後會把ticket送到認證系統進行校驗，檢查ticket的合法性。如果通過校驗，用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。

要實現SSO，需要以下主要的功能：

統一的認證系統是SSO的前提之一。認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功后，認證系統應該生成統一的認證標誌（ticket），返還給用戶。另外，認證系統還應該對ticket進行校驗，判斷其有效性。

要實現SSO的功能，讓用戶只登錄一次，就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對ticket進行識別和提取，通過與認證系統的通訊，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。

另外：

1、單一的用戶信息資料庫並不是必須的，有許多系統不能將所有的用戶信息都集中存儲，應該允許用戶信息放置在不同的存儲中，事實上，只要統一認證系統，統一ticket的產生和校驗，無論用戶信息存儲在什麼地方，都能實現單點登錄。

2、統一的認證系統並不是說只有單個的認證伺服器

當用戶在訪問應用系統1時，由第一個認證伺服器進行認證后，得到由此伺服器產生的ticket。當他訪問應用系統2的時候，認證伺服器2能夠識別此ticket是由第一個伺服器產生的，通過認證伺服器之間標準的通訊協議（例如SAML）來交換認證信息，仍然能夠完成SSO的功能。

SSO簡單實現模式如圖，當用戶第一次訪問應用系統1的時候，由於還沒有登錄，會被引導到認證系統中進行登錄；根據用戶提供的登錄信息，認證系統進行身份認證，如果通過認證，返回給用戶一個認證的憑據Ticket；用戶再訪問別的應用的時候，就會將這個Ticket帶上，作為自己認證的憑據，應用系統接受到請求之後會把Ticket送到認證系統進行效驗，檢查Ticket的合法性。如果通過認證，用戶就可以在不用再次登錄的情況下直接訪問應用系統2和應用系統3。

單點登錄：用戶只需登錄一次，即可通過單點登錄系統（eTrueSSO）訪問後台的多個 應用系統，二次登陸時無需重新輸入用戶名和密碼

C/S單點登錄解決方案：無需修改任何現有的應用系統服務端和客戶端即可實現C/S單點登錄系統

即裝即用：通過簡單的配置，無須用戶修改任何現有B/S、C/S應用系統即可使用

應用靈活性：內嵌金萬維動態域名解析系統（gnHost），可獨立實施，也可結合金萬維異速聯/天聯產品使用

基於角色訪問控制：根據用戶的角色和URL實現訪問控制功能

全面的日誌審計：精確地記錄用戶的日誌，可按日期、地址、用戶、資源等信息對日誌進行查詢、統計和分析

集群：通過集群功能，實現多台伺服器之間的動態負載均衡

傳輸加密：支持多種對稱和非對稱加密演演算法，保證用戶信息在傳輸過程中不被竊取和篡改

可擴展性：對後續的業務系統擴充和擴展有良好的兼容性

1）不利於重構

因為涉及到的系統很多，要重構必須要兼容所有的系統，可能很耗時

2）無人看守桌面

因為只需要登錄一次，所有的授權的應用系統都可以訪問，可能導致一些很重要的信息泄露。