|
单点登录系统(SSO)技术实现剖析 《msdn 开发精选(2005年6月第3期)>>
企业E-Business业务的发展,需要员工、合作伙伴、客户各种用户能够访问Intranet或Extranet,并需要跨越多个应用系统实现单点登录。一个通用灵活的企业级SSO基础架构能够带来很多好处,首先是财务的好处,由于减少身份信息的存储数量,简化应用的身份认证集成,可以节省费用;另外,提高企业网络和应用数据的安全性。本篇文章重点描述以Windows Server 2003活动目录为基础的企业级SSO方案,如何解决B2E/B2B业务(Business To Employee)在Intranet和Extranet场景下的单点登录的挑战,并以实例说明实现的基本方法和过程。
单点登录系统(SSO)技术实现剖析1. 导读企业E-Business业务的发展,需要员工、合作伙伴、客户各种用户能够访问Intranet或Extranet,并需要跨越多个应用系统实现单点登录。一个通用灵活的企业级SSO基础架构能够带来很多好处,首先是财务的好处,由于减少身份信息的存储数量,简化应用的身份认证集成,可以节省费用;另外,提高企业网络和应用数据的安全性。本篇文章重点描述以Windows Server 2003活动目录为基础的企业级SSO方案,如何解决B2E/B2B业务(Business To Employee)在Intranet和Extranet场景下的单点登录的挑战,并以实例说明实现的基本方法和过程。
2. 挑战与对策现代企业的信息化建设越来越完善,各种电子邮件系统、网络办公、电子财务、人事管理、针对特定行业的业务系统的信息网络化等进入了千百个企业。而企业业务正常运营时,企业用户需要同时访问多个业务系统,并经常浏览企业内部网中的相关信息资源。由于用户在访问不同业务系统时需要独立访问该业务系统;同时,用户需要在各系统间频繁地切换,操作较复杂,无法快速地获得相关业务信息并加以分析利用,此外,用户在进行业务操作时,需要分别登录到不同的应用系统中,由于系统较多,用户账号或密码遗忘现象时有发生,或者一套简单用户名和密码多系统使用,造成保密强度降低等问题;业务的快速发展,IT系统需要支持更加灵活的工作模式,例如员工移动办公,需要通过Internet访问企业内部网应用;企业合作伙伴或客户可以通过Internet访问企业内的Web应用系统,完成商务协作。而在安全性和系统管理方面,企业需要大量的IT技术管理人员,分别管理和维护不同系统(如:ERP、统计分析、OA、财务系统、电子商务、供应链系统等)的用户信息,需要建立可靠、安全、保密的业务系统网络环境,保证企业业务不受破坏和干扰。针对这种状况,企业希望通过实施建立企业级的单点登录系统和安全防护系统,为企业用户提供统一的信息资源认证访问平台,建立统一的、基于角色的和个性化的信息访问、集成平台;通过实施单点登录功能,使各种用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高IT系统的易用性、安全性、稳定性;在此基础上进一步实现企业用户高速协同办公和企业知识管理功能。需要实现SSO单点登录的应用系统。由于企业的各个业务系统会采用异构系统(在不同平台上建立不同应用服务器的业务系统)、在确保业务系统独立运行的前提下解决完善的单点登录、安全防护和信息保密。总体上讲,SSO单点登录系统应满足如下需求,采用单点登录-SSO的三个关键因素:信息系统的安全, 用户效率,IT 管理.每个用户对多个系统存在统一的单点登录需求 外部网络中的移动用户存在安全接入到内部网络并实现单点登录的需求 已有多个应用存储用户身份信息,需要解决不同系统之间的身份信息的自动同步或集成。 对Web应用和Windows 桌面应用实现单点登录 完成跨越企业边界的B2B业务协作,需要建立跨安全域的信任和认证关系,保障业务流程的顺畅和安全。 业务系统在不同的硬件架构中,例如Unix应用系统,Windows系统。 业务系统为异构系统,其运行的操作系统平台和WEB应用服务器不同,客户端使用不同的浏览器 用户单点登录时满足用户名/口令认证,证书认证,还能实现少数用户通过USB KEY等硬件认证。 最少化改动现有的应用模式和业务系统 对后续的业务系统扩充和发展有良好的兼容性和标准化支持 安全防护企业业务系统、以及内部网络用户 提供多方位的安全防护功能和审计功能3. 基于Windows Server 2003的SSO的解决方案通用安全的企业级SSO基础架构,既要适应当前复杂的IT应用环境,同时具有良好的扩展性,支持未来应用的集成和扩展。只要一种解决方案就能解决所有的标识管理挑战是不现实的,需要具有多样化的解决方法满足具体的需求。Windows Server 2003提供了综合性的SSO基础架构服务和技术,在不同的场景和环境下,需要采用不同的方法实现SSO,满足业务的需求,以下分别介绍各种场景下的具体思路和解决方法。Windows集成认证——这种实现方式,要求开发的应用系统直接集成Windows系统的安全服务和接口,可以减少自行开发费用和时间,直接利用Windows系统的安全特性,如SSO,信任关系,PKI认证协议Kerberos,提高应用的安全级别。异构平台集成——基于其他平台的应用认证,可以通过Windows平台的活动目录及跨平台集成插件实现单点登录,如Unix、Linux平台的认证集成,实现跨平台应用的单点登录。基于活动目录协议的应用集成-——应用认证开发采用Windows活动目录支持的的LDAP协议实现单点登录和认证。身份认证映射——如果采用认证集成的开发比较困难,可以使用Windows Server 2003的身份信息映射技术,实现单点登录。Windows系统集成认证采用Windows系统集成认证实现应用的认证,具有如下好处:可以实现Windows桌面应用的单点登录 应用数据网络传输获得较高的安全性 可以集成Active Directory,实现身份信息的集中管理 建立企业级的认证和授权访问管理平台,跨越多个应用实现集中的身份管理 利用Active Directory的多森林架构和信任关系模型,可以将应用的认证扩展到企业外部,如面向客户,合作伙伴的应用系统,实现B2B应用整合。 可以利用Windows系统的安全审计服务,实现单点登录环境下的日志跟踪和审计报告。基于Windows域内和一个目录林的域间的单点登录Windows系统集成认证的协议采用了工业标准Kerberos,在Windows XP,Windows 2000 Professional及Windows Server 2003做客户端的电脑,都支持这种认证协议。当客户端电脑加入域以后,客户端及集成Kerberos协议的应用及可以实现整个域的单点登录。Windows客户端和服务器都内置了Kerberos 协议,客户端只需要登陆一次,即可以访问服务器本地资源和网络中域或信任域里的资源,可以从下图1的了解他的工作原理:图1:基于Kerberos的Windows系统登录过程Windows 2000/2003域内部通过Kerberos身份验证协议提供了SSO,Kerberos身份验证协议是Windows 2000/2003默认的身份验证协议。Kerberos协议的使用极大提高了管理的简便性、安全性与网络性能。 Kerberos协议是基于“票据”的思想--票据是由称为密钥分发中心 (KDC)的可信颁发机构颁发的加密数据包。票据可以证明用户的身份,同时还携带了其它信息。KDC为其颁发机构范围或“领域”内的所有用户提供票据。在Windows 2000/2003中,每个域控制器就是一个KDC,而域控制器的领域与其所在的域对应。协议的操作过程很简单,如下图 2 所示。登录时,用户向KDC验证自己的身份,KDC为用户提供一个初始票据,称为Ticket Granting Ticket(票据授予票据,TGT)。当用户需要使用网络资源时,其用户会话将TGT提交给域控制器,并请求特定资源票据,即Service Ticket(服务票据,ST)。然后,用户将ST提交给资源,由资源授权访问。 图2:Windows域中Kerberos认证的基本事务域间的信任关系,可以在两个域间有效地“引见”域控制器——Kerberos KDC。如下所示:当一个域中的用户需要访问一个信任域中的资源时,该用户所在的域控制器就向拥有该资源的域控制器做一个跨领域“引用”,为用户请求票据。那个域控制器会信任该引用,并为用户颁发票据。基于Windows 2000/2003的网络在保持对本地资源实现本地控制的同时,能够扩展到很大规模,其中这一集成是一个主要原因。默认情况下,Windows 2000/2003域树内的所有域都相互信任,并接受来自对方的引用。而默认情况下,Windows 2000/2003中的目录林并不相互信任,但在它们间可以很容易地建立信任关系。图3: 域间的信任关系在基于Windows 2000/2003的同构网络环境内,管理员从不需执行SSO特定管理任务。相反,SSO功能已集成进了他们日常的管理任务中。例如,管理员从不需建立用户与域控制器共享的密钥。因为当他创建用户帐号时,共享密钥已经作为创建该帐号过程的一部分透明地生成了,并被安全地散布到了需要的位置。同样,当管理员在域间建立信任关系时,使跨领域引用生效所需要的密钥,也将透明地生成并安全地交换。基于联盟服务网络的单点登录在Windows Server 2003 R2版本中增加了一个重要的身份认证的服务-联盟认证服务ADFS。在跨越企业安全边界的网络环境中,如一些B2B、B2C/B2E移动办公的应用场景,实现来自Internet上用户对企业资源和应用的单点登录,ADFS基于Active Directory扩展的一种服务,实现了基于Web Service的单点登录方案,可以在信任的多个森林之间共享用户身份信息,并跨越企业的安全边界。ADFS具有以下几个技术特性:Web SSO:Active Directory 及Widows安全服务在Windows域里通过Kerberos支持单点登录,在企业Intranet Windows环境中很好的解决了SSO问题。ADFS将SSO扩展到了Internet,可允许来自Internet上的客户、合作伙伴及移动员工访问组织内的Web应用,并实现单点登录。WS 互操作:ADFS支持WS*和SAML的行业标准,允许与其他第三方的身份管理系统互操作,如IBM, Netegrity, Oblix, OpenNetwork, RSA, and Ping Identity的单点登录和身份管理系统,解决不同身份系统的单点登录集成。各种智能客户端的单点登录:ADFS支持Web服务,可以与任何支持Web 服务的客户端应用或服务器作认证集成,实现单点登录。同时允许客户化的定制,与现有的安全认证体系集成和互操作。下面一个实例,说明如何采用ADFS在Internet上实现SSO的应用场景。图4 B2B/B2E联盟服务SSOAdventure Works是一家零售和分销商,通过Interent,销售代表及连锁店销售产品,产品直接来自供应商的仓库,没有自己生产的东西。Adventure Works基于Windows 2003部署了两个森林,1) Perimeter network森林作为企业的Extranet,建立了客户服务,虚拟仓库管理及采购应用,采用ADAM保存和管理客户和合作伙伴的用户信息,为供应商、客户提供电子商务服务。该网络直接与Internet连接。2) Intranet 森林,为员工提供企业内的各种应用服务和资源访问。销售代表及外地的办事处员工需要访问extranet 的应用,如虚拟仓库和客户服务系统;但员工帐户保存在Intranet的目录系统。Perimeter的域单向信任Intranet域,并在防火墙配置了相应的端口,允许两个域的认证和Web通信。网络架构图4.由于建立了两个森林的单向信任关系,不需要在Perimeter ADAM创建销售员工的影子帐户,可以直接配置Extranet应用允许销售员工的访问。访问的进程状态来自两种帐户:客户的访问来自Internet,而员工的访问来自Intranet,如总部的库存计划员,或者移动办公的销售代表,包括了三种用户认证机制:Intranet用户采用Windows集成认证移动员工采用TLS/SSL的客户端认证客户使用Username/Password 认证,账户信息保存在ADAM。ADFS服务始终生成用户访问令牌,给予用户访问许可。虚拟库存管理应用被移动员工访问,该Web应用基于IIS 6,安装了ADFS Service Agent,因此为访问员工生成了访问令牌,实现该应用的单点登录。移动员工-—销售代表的访问信息流程如下:销售代表访问采购系统,该应用驻留在Perimeter网络,销售代表通过ADFS Proxy(FSP-A)帐户访问,该应用默认的联盟服务是resource Federation Service (FS-R),于是伙伴账户发现服务(Account Partner Discovery)将将用户身份验证请求转发给FSP-A,到Intranet Active Directory验证用户的身份,并返回携带用户身份信息的安全令牌,用于Perimeter网络的认证。客户端的应用请求流程:1) 销售代表用浏览器打开采购应用主页2)因为没有产生ADFS认证cookie,采购应用Web服务器其拒绝该请求,将其重定向到登录页面FS-R3)客户端从FS-R请求登录页面4)FS-R提示用户需要伙伴帐户发现服务5)FS-R将客户但浏览器定向到FSP-A的登录页面6)客户端浏览器从FSP-A请求登录页面图5: 移动用户的访问过程图6:移动用户认证过程移动员工—销售代表的认证流程:下面步骤是以该员工访问订单输入应用的认证过程1)在FSP-A的登录页面提示用户输入用户/密码2)FSP-A从FS-A请求安全令牌,用HTTPS协议传输3)FS-A完成下面的操作:a. 完成用户身份证书的映射,并从Intranet Active Directory 目录取得用户LDAP属性 b 为采购应用生成安全令牌 c 创建ADFS认证Cookie4)FS-A用SOAP/https 协议将安全令牌和ADFS认证Cookie发送给FSP-A5)FSP-A重定向浏览器,将POST请求发送给FS-R(ADFS Cookie 写入浏览器)6)客户端浏览器发送POST请求给FS-R7)FS-R完成一些列操作,生成Web服务器的安全令牌信息8)客户端将身份信息发送到Web应用服务器9)web 服务器将客户端重定向到新的URL,验证登录用户,并生成新的ADFS 认证Cookie跨平台集成图7 在异构网络中的 SSO 互操作性Microsoft支持基于标准的身份验证协议以及Microsoft网关产品,这样,在不同供应商提供的平台所组成的网络中实现SSO就非常灵活。从而允许企业顾客将SSO的优点扩展至他们的整个网络,并将Windows 2000/2003作为全异系统间扮演中介角色的最佳平台之一。在异构环境中提供SSO,将带来与Windows 2000同构情形下类似的总体拥有成本降低的收益。企业可以让所有网络用户共享现有的资源,而无需为每个全异系统中都重复提供相同的资源。与Windows 2000/2003同构域情形一样,用户的工作效率也得到提高。用户可以在公司网络中轻松航行,无需知道在他们何时已跨越了平台的界限。通过客户与服务器的相互身份验证,以及去除了用户企图写下多个密码的诱因,网络的安全性也得到了提高。由于一般说来,这些优点都与SSO相关,因此我们在下面的章节中将不再重复讲述;相反,我们将集中讨论各种情况所不同的SSO的优点。Windows 2000/2003中采用的Kerberos协议Microsoft版本,完全符合IETF Kerberos版本5规范。这就允许Windows 2000/2003域,可跟标准兼容的第三方Kerberos版本(如 CyberSafe的TrustBroker)无缝地互操作,并因此可以在Windows 2000/2003与运行MacOS、AIX、Digital Unix、HP-UX、IRIX、Netware、Solaris、SunOS、Tandem及MVS/ESA操作系统的网络间实现SSO。网络的简单集成使用Kerberos在Windows 2000与全异网络间建立信任关系很简单。管理员在不同领域中的KDC间建立信任关系,而票据通过跨领域引用提供给对方。Windows 2000/2003管理员设置一个用户帐户,被引入的用户将被映射到该帐户。一旦做完这些工作,就可以像Windows 2000/2003本机用户那样使用同样管理工具,通过基于Windows 2000/2003的用户帐户,来管理被引入用户的权限与特权了。在异构环境中的跨领域引用,与前面所讨论的同构Windows 2000/2003网络中的那些跨领域引用相似(见图 2)。当其它系统上的用户需访问Windows 2000/2003域中的网络资源时,其用户会话将请求该资源的票据。当 KDC 看到在Windows 2000/2003域中存在这些资源时,就将用户介绍给Windows 2000/2003域控制器并验证其身份。然后,Windows 2000/2003 域控制器将用户标识映射至相应的Windows 2000/2003用户帐户,并为该用户颁发票据,而用户向资源提交该票据。对于需要使用其它系统资源的Windows 2000/2003用户来说,过程正好相反,虽然各个系统本身的管理过程会有所不同。必须指出,与基于Windows 2000/2003的同构网络相比,在异构环境中工作确实不可避免地损失了一些管理的简便性。在Windows 2000/2003下一些透明的管理操作,在加入异构网络时必须手动实现。例如,与Windows 2000/2003相比,在异构环境内建立信任时,管理员必须手动在Windows 2000/2003域控制器与其它系统 KDC 之间同步密钥。同样,管理员会失去由于仅使用一套管理工具和一个SSO相关信息存储库而带来的优点。相反,每个平台最好都有各自一套工具以及一个SSO相关信息存储库。然而,无缝共享资源的能力,显然是对企业顾客的一个实惠,承受额外的管理负担往往也值得。 提高的安全性由于通过Kerberos互操作性提供的SSO为安全信息交换提供了混合语,安全性得到大大提高。由于操作系统几乎不共享公用身份验证协议,导致用户ID与密码在不同的系统间进行交换时,通常必须以明文方式发送。而Kerberos票据是经过加密的,从而提供了一种安全交换身份验证信息的机制。同样,因为Kerberos票据包含加密密钥信息,它们就为在平台间建立加密会话提供了安全密钥交换机制。最后,KDC间的信任关系作为所有用户身份验证信息交换的通道,提供了一种简便、有效的资源共享的方式。例如,一个公司内有两个部门,一个运行于Windows 2000/2003,一个运行其它系统,如果这两个部门允许通过基于Kerberos的SSO共享资源,那么只需删除信任关系,就能很容易地临时禁止共享。没有必要定位所有受影响的用户ID并禁用每个账户。图8 SSL 身份验证中的基本事务并非所有的企业计算用户都通过“网络到网络”的连接进入网络。现代企业计算还必须支持通过Internet访问企业网络的用户。这些用户可以包括通过Internet访问企业网络的移动用户,以及需要访问企业Intranet的企业合作伙伴。Microsoft通过安全套接字层 (SSL)安全协议,为这些用户提供SSO。SSL协议使用数字证书作为身份验证的基础。数字证书是由证书颁发机构 (CA)颁发的防篡改数据包,提供了一个公钥和与一个名称,并证明该名称所指的人或服务器是公钥的所有者。在SSO使用的模式中,Web客户与服务器交换证书,然后使用其中内嵌的公钥来交换信息(如会话密钥)。这样,就同时对两个用户进行了身份验证,因为如果任一个用户不是所提交证书所标称的实际实体,他们将无法解密由另一方发送过来的信息。。 基于活动目录协议的集成在一些情况下,采用Windows集成认证或Kerberos认证都过于负杂,难以实施,还可以采用基于LDAP协议的集成认证,实现单点登录。LDAP也是一种工业标准,大多数应用可以支持标准的LDAP调用和认证信息的交换。Windows活动目录体提供了LDAP开发接口和标准的LDAP web服务调用,可以支持各种异构应用的身份认证和用户信息存储,例如J2EE应用平台。另外Windows Server 2003还提供了一个针对应用开发和集成的轻量级目录服务——ADAM,可以与应用捆绑或嵌入,存储适于应用的个性化信息。Windows平台提供了基于LDAP的开发接口和规范,如下:1)RFC 1823——兼容的LDAP Win32 API,可开发C and C++目录应用2)基于ADSI的开发接口,可使用Asp,Scripts,VB开发3).NET 接口——. System.DirectoryServices,可开发基于目录服务的.NET应用采用ADAM开发目录集成的应用,可以获得Active Directory的所有好处,同时可以嵌入到应用程序,具有较好的移植性,非常适合需要目录服务的ISV开发产品,具体好处如下:1)兼容Active Directory的开发接口,同时集成了活动目录的安全特性,如Kerberos,Delegation及Passport。2)可以集中存储用户身份信息,在已经部署活动目录的IT环境,可与域控制器同步帐户信息。3)可以与微软其他应用服务器帐户信息集成,如Sharepoint,Exchange等。身份认证信息映射在有些情况下,采用以上的集成方案实现单点登录,比较困难,例如集成已有的Web应用,修改代码或迁移身份信息存储无法进行,Windows平台还提供了一种身份认证信息映射的技术——ESSO,实现单点登录。ESSO服务器保存了中央身份信息与已有应用的身份信息映射关系,来自客户端的认证请求,发送到后端的应用服务器时,被自动重定向到ESSO服务器,实现单点登录。Windows 2003和WindowsXP都提供了这种映射服务。如下图:图9:身份认证信息的映射在以下情况下,身份映射技术可以工作的很好,有效实现单点登录:1)异构环境下的身份信息集成。例如应用的身份信息存储在LOB的SQL数据库,而SSO架构基于活动目录,可以将LOB的身份信息在Windows平台的Credential Mapping注册维护,实现单点登录。或者来自Passport的用户,需要访问Windows系统的资源,可以将Passport帐户映射为Windows本地帐户。2)异步的工作。例如后台的操作基于流程、消息队列这种延迟的处理,需要将门户登录的用户身份信息映射为后台服务执行的代理帐户。在Sharepoint Portal、BizTalk2004、Host Integration Server这些以集成为中心的平台产品中,广泛使用了ESSO技术,实现单点登录。以SharePoint Portal的ESSO为例,说明映射方式实现单点登录的方法。在使用单独的企业定义的情况下,在第一次访问与企业应用程序集成的Web部件时,如果用户的凭据还没有存储在单一登录数据库中,那么该用户将被重定向到一个登录表单,这个表单提示用户输入访问企业应用程序所需要的适当凭据。 登录表单中的字段编号、顺序和名称由管理员在应用程序定义中配置;登录表单就是基于这些配置设置自动生成的。 开发人员需要在Web部件中编写代码来检查数据库中是否存在凭据,并在必要时将用户重定向到登录表单。用户提供的凭据然后被存储在凭据存储区中,并被映射到与该用户的 SharePoint Portal Server帐户相对应的Windows帐户。之后,该用户将被重定向回原先的Web 部件。Web部件中的代码然后以适合应用程序的方式从凭据存储区向应用程序提交凭据,同时检索必要的信息,随后在 Web 部件中向用户显示这些信息。这个过程如图 26-1所示。其中的步骤如下:1)用户第一次访问与企业应用程序集成的Web部件。Web部件代码检查所需要的应用程序的用户凭据是否存储在单一登录数据库中。如果凭据存储在该数据库中,这个过程将从清单中的第6步继续进行。2)如果没有为该用户存储所需要的应用程序的凭据,用户的浏览器将被重定向到这个应用程序的登录表单。3)用户提供该应用程序的凭据。4)所提供的凭据被映射到该用户的Windows帐户,并存储在单一登录数据库中。5)用户被重定向到原先的Web部件。6)该Web部件从单一登录数据库中检索凭据7)Web部件向企业应用程序提交凭据并检索必要的信息8)向用户显示该Web部件。对于后续的访问,当这个用户请求该Web部件,以便从企业应用程序获得必要的数据时,相应的凭据将从单一登录数据库中检索。这个过程对用户是透明的。(参见图 10)图10:采用映射机制实现SSO- ESSO当使用企业应用程序定义时,账户映射是由管理员配置的。管理员指定用于访问企业应用程序的凭据,这些凭据对某个Windows组的所有成员都有效。如果访问Web部件的用户属于该映射的Windows组,访问凭据就已经存储在单一登录凭据存储区中了。Web部件中的代码检索凭据,并将它们提交给企业应用程序,同时检索必要的信息。然后向发出请求的用户显示该Web部件。在这种情况下,整个过程对用户都是透明的。用户不清楚企业应用程序需要的任何身份验证信息,只有管理员才知道。 |
今天是:2008年12月5日 星期五 浏览次数:
打印本文 
推荐本文 
加入收藏 
返回顶部 
关闭窗口
