返回首页

为什么这篇文章?
本文列出了建立一个单一的登录系统时,考虑到所有重要的点。 SSO的原理看似简单的解释,但在现实中,它意味着众多功能,重要的是采取从项目开始到以后避免非常昂贵的变化。
此外,您的系统可能需要支持某些复杂的技术规格??下面列出??将增加复杂的功能。  0;
最后,我们将比较这些规范到Visual卫队,一个现成的解决方案,提供这些安全功能quot;的box.quot; 商务功能
SSO的目的是允许用户访问同一个帐户的所有应用。它提供了一个统一的机制来管理用户的身份验证,并确定用户访问应用程序和数据。
SSO系统主要功能如下: 一个1%的用户帐户的限制,以控制多个应用程序或网站的访问 在一次和收益的访问被提示登录再对每个人都没有,所有的应用程序/网站的用户日志。 记忆的全部或部分用户的凭据,所以他们不,AOT需要重新输入他们下次访问(例如,用户名和密码) 单点登录过:签署的单个动作终止访问多个应用程序/网站。默认情况下,每个应用程序将验证SSO系统管理​​的会议,是主动放弃之前的用户访问请求的页面。如果需要,每个应用程序也可以独立管理自己的超时。例如,如果用户离开网站XX分钟前,他们将需要重新连接到咨询网站一个,即使会议继续不间断地在其他网站上。 对于视觉卫队
上面列出的功能可用于Windows应用程序,网站和网络服务。
除了这些功能,视觉卫队允许您支持不同类型的用户帐户的联邦网站: 从每个站点的用户帐户转换为一个共同的格式,具体视觉卫队 每个站点的用户继续使用相同的凭据,他们最初的帐户 &# 160; 他们还可以访问其他网站,最初不支持这种类型的帐户
一个SSO会话有两种常见的情况: 先登录 - 用户首次登录到SSO基础设施,然后选择一个服务访问
 0; 例子: &# 160; SSO的基于用户的Windows帐户。在会议开始与Windows登录和继续,直到锁定或停止电脑 & #160; 通过多个网站的SSO:一个正常的注册用户提出的服务网站。在这种情况下,首先登录很有意义,因为用户知道他们需要获得由SSO服务  0; 应用第一 - 用户第一次尝试访问服务,但因为他们尚未得到验证,他们将被重定向到登录服务。成功登录后,他们将被重定向回服务。
例子:  60; SSO的基础上与高水平的安全,不允许会话留只要在Windows会话开放,用户的Windows帐户。用户必须通过身份验证来访问服务。这次会议的最大长度是指由SSO系统,Windows会话 跨多个网站的SSO:用户可以浏览整个网站​​,必须验证来执行某些操作。上经常看到的电子商务网站,用户被要求尽可能晚在他们的访问,以避免造成访问的障碍验证。  0;  60;
使用Visual Guard的,这两个方案的支持,为Windows应用程序和/或网页。 &# 160;
预期效益
单点登录,当然会简化用户的生活,但你可以期待更: 改进用户生产率:用户不,AOT重新输入多次登录,他们并不需要记住多个相同的身份ID和密码。 降低IT成本较低的IT帮助台呼叫;更少的请求重置密码遗忘 & #160; 改进的开发人员的生产力:SSO的开发提供了一个共同的身份验证框架。事实上,如果SSO机制是独立的,那么开发不担心,在所有有关认证。他们可以假设,一旦一个应用程序请求是伴随着用户名,然后验证已发生。 混合模式身份验证:支持的Windows(Kerberos)的中,LDAP的R / DBMS等各种身份验证机制 简化管理:当应用参与单点登录协议,管理用户帐户的管理负担,简化。简化的程度取决于应用的SSO与认证。应用程序可能仍然需要设立用户的特定属性(如访问权限)。  60; 控制放大器;审计署:坚持遵守的集中报告。 提高安全性:  60;减少钓鱼的成功,因为用户没有训练,到处不假思索地输入密码。 有认证的只有一个地方,它接收用户的凭据。应用程序只有他们是否可以让用户或接收信息。此外,用户验证只有一次,所以在网络上传输的敏感信息的最低,更何况,SSO系统通常强迫用户​​使用安全的沟通渠道。 对于视觉卫队
上述的好处是可以的,延伸到施用的权限执行。由管理员定义的访问权限,并集中在一个用户帐户的信息库。然后,他们自动提供给应用程序,一旦用户进行身份验证。技术特点 - 主要成分  0;
SSO系统提供的主要功能和技术的组件如下: &# 160;前端,使用户能够:   ; 自己的身份,并记住他们的凭据,全部或部分通过一个登录窗口或门户网站(见前一章) 为Web SSO,前端会自动重定向用户之间的联合网站导航。被正确验证,并取得用户在每一个新网站将立即到达,透明和自动 一个后端,会管理的认证和用户会话: 该系统提供了一个集中的认证服务器,认证的目的使用的所有应用程序和网站 用户至上一个值得信赖的认证机构认证 - SSO系统 - 然后被授予访问所有的应用程序,相信这种权力 SSO系统保留一段时间的用户的状态,因此用户可能会多次访问的应用程序/网站,而无需每次进行身份验证
,特别是为Web SSO,这将包括以下功能:
一个/识别用户 创建安全令牌(令牌,使安全系统的唯一标识每个用户会话) 令牌传送访问的网站 验证令牌不被截获(身份盗窃) 可扩展性:方便的性能。如果查看每个页面需要重新验证用户和他们的安全重装,系统会遇到性能问题
/加载用户的安全数据  0; 属性 角色 权限 一个SSO系统的应用集成解决方案: SSO集成不应施加重大修改应用程序 一体化进程应该是相同的,无论使用类型的应用程序或开发技术 SSO的通常是由开发商谁没有创建的解决方案。因此,应提供相应的文件  0; 对于视觉卫队
的VG提供了一个连贯的安全系统的所有应用程序和网站的身份验证策略和框架。 不同的前端,可用于根据您needsnbsp; 当一个SSO会话Windows会话的基础上,使用标准的Windows登录窗口将 准备使用的登录窗口。NET开发Windows应用程序提供。例如,我们可以使用这个窗口时,SSO安全系统支持多个帐户类型:用户可以选择之前输入他们的凭据的帐户类型

{S0的}
  ;
{A}
 0; 还提供了一个门户网站的现成管理SSO的用户身份验证。这个门户网站可以同时支持多种类型的身份验证:将显示用户的帐户类型,输入其凭据,然后访问所有网站

 60; {S1}

& #160; {A2} ...

 0; 最后,每个应用程序可以有一个自定义的前端,将调用的视觉卫队的API来验证用户 后端功能,保证不同的组件,根据申请抵押(Windows或Web,ASP.NET或其他技术??所有这些组件都是准备使用,并创造沟通与视觉卫队库,集中用户帐户和访问权限 & #160; 运行时间。NET程序集添加到应用程序。NET应用程序的集成。这种整合并不需要的任何应用程序的修改,AOT除了调用此运行时激活的安全机制 基于其他技术的应用程序调用WebServices的由视觉卫队暴露到的用户进行身份验证,并取得他们的角色和权限
{A3的}  60; 复杂的配置 & #160; 用户的网站是不是所有在同一网络上:
范例:由多个站点/附属公司/机构的组织  0; 用户遍布多个不同的地点 他们使用的是Windows或Web应用程序,例如,用ASP.NET开发的应用程序 一个集中的存储库包含了所有的安全数据   ;
您需要规划,运输库和遥远的站点之间的身份吗?简单的登录/密码类型的账户,但更复杂的Windows帐户。 帐户是不是所有存储在同一网络中的SSO系统
例如:独立实体使用相同的应用程序,但各自管理自己的Active Directory   ; 应用程序管理员需要能够给访问权限,用户帐户管理系统,他们不会有机会(在这种情况下,AD) SSO系统必须能够验证在距离用户提供的凭据 SSO系统不应该降低应用程序的性能,甚至与网络在沟通的重要制约因素 并非所有的网站都在相同的互联网域名
例如:SSO的联邦独立的合作伙伴或不同的实体管理网站
网页浏览器的安全性默认情况下,不允许不同的网站,共享同样的cookie来存储有关用户或他们的会话的信息。因此,您需要创建一个解决方案,解决了这个问题。 并非所有具有相同的技术开发应用程序和网站
例如:组织管理应用多代,每一个都具有不同的技术(例如,ASP.NET,Java等)开发。 用户应该能够访问同一个帐户中的所有应用程序 & #160; SSO系统将集中所有​​的安全数据,从这些应用程序 你应该保证认证系统的互操作性和安全令牌管理与开发技术有关(NET,C,JAVA等??& #160;
{A4纸} 参考来源   ; {A5的} {A6的} {A7的}& #160; {A8的} &# 160;{A9的} | Novalys

回答

评论会员: 时间:2