关键词:Web服务;单点登录;.NET平台
在企业信息化建设的过程中,企业常常具有各种异构的应用系统,如电子邮件系统、OA、CRM等等。基于业务上的需要这些系统都需要对使用人员进行身份认证和权限管理,以保证企业工作效率及资源安全。但由于这些不同的系统间存在着独立的用户认证和权限管理机制,所以暴露出了许多问题:如不同系统间缺乏用户数据同步以致造成严重的安全隐患;众多的密码等等。因此,如何解决单点登录问题,已成为企业信息化建设的一个重要问题。这里我们介绍一种基于WEB服务的解决方案。
1 单点登录及WEB服务
1.1 单点登录
Single Sign On(SSO)单点登录技术是一种认证和授权机制,它允许注册用户只需要在任一系统上登录一次,而后授权访问其他系统,无需再进行登录。SSO登录方式,减少了在不同系统中登录耗费的时间;避免了处理和保存多套系统用户的认证信息;减少了系统管理员管理用户权限的时间,增加了管理的便利性,大大增加系统的安全性。一般情况下,在企业内部实现基于WEB应用程序的单点登录是专门针对Web应用程序的SSO机制,使用一个公司的网络环境下的各种Web应用时每一次会话只需输入一次账户和密码,调用另外一个公司的应用时,SSO可以让用户在第二个公司的应用上再次登录。Web SSO是在外部网络上,两个企业以商业合同的形式建立的安全关系,使得用户从一个企业登录后,可以进入另一个企业的网络而不用再次提供登录凭据。
1.2 WEB服务
Web服务(Web Service)是基于网络的、分布式的模块化组件,执行特定的任务,遵守具体的技术规范,是自包含、自描述、模块化的应用,可以在网络(通常为Web)中被描述、发布、查找以及通过Web来调用。Web Services是以Web的开放标准为基础,其最基本的是HTTP和XML。Web服务与相关的标准有:UDDI(Universal Description Discovery and Integration):提供注册与搜寻Web Service信息的一个标准。WSDL(Web Service Description Language):描述一个Web Services的运作方式,以及指示客户端与它可能的互动方式。SOAP(Simple Object Access Protocol):在网上交换结构化和鉴别信息的一种通讯协议。由于Web服务是跨平台的,所以十分适用于实现SSO的服务;在Web服务的开发架构之下,任何系统都可以调用本平台的服务进行身份管理和认证管理。
2 基于Web服务的单点登录系统
2.1 系统架构的组成部分
在本系统架构中有四个重要组成部分,授权服务器、Web服务服务器、应用程序、用户。
授权管理服务器是一台专门负责用户信息管理、授权及身份验证的数据库服务器,该服务器上存放着用户基本信息、授权记录及用户在登录应用系统时产生的身份证书。Web 服务是一个面向用户和应用程序的服务接口,提供SSO系统的对外接口。系统的服务通过Web 服务发布在网络上,各种应用程序可通过SOAP协议调用这些服务。Web服务服务器在本架构下负责与授权服务器进行沟通与传递信息,是用户与授权服务器和应用程序与授权服务器之间的桥梁。应用程序是向用户提供最终服务的各种软件系统。用户即一般的使用者,是应用系统的最终用户。
2.2 基于Web服务的单点登录流程
基于Web服务的系统单点登录工作流程可以分为两个阶段,如图(a)和(b)所示。
阶段1:用户第一次登录使用应用程序。
(1) 用户需要访问某个应用系统时,先向Web服务服务器提出身份认证请求。
(2) Web服务服务器响应用户的请求,并把用户的基本信息提交到授权管理服务器。
(3) 授权管理服务器确认用户信息后返回一个用户合法的身份证书并记录该信息。为保证系统的安全性每个用户的身份证书只在其当次会话过程中有效,离开其当次会话,证书即被视作无效。
(4) Web服务服务器接收身份认证结果,并把该结果即身份证书返回给用户。
(5) 用户接收到身份证书后便把该证书发到应用系统请求服务。
阶段2:用户后续继续使用应用程序。
(1) 在不同的系统切换过程中,用户向应用系统请求服务。
(2) 应用系统会向Web服务服务器申请用户当前证书是否合法。
(3) Web服务服务器会将该证书返回到授权管理服务器予以确认。
(4) 授权管理服务器将证书与原来登录的信息对比,并返回结果。
(5) 用户登录到其有权可以使用的应用系统,使用其提供的服务。
3 结束语
Web服务是以Web的开放标准为基础,是跨平台的。以Web服务的方式实现单点登录,统一了用户登录访问标准,强化了资源的集中控制,也减少了在不同系统中的系统用户的身份管理,为各种软件系统整合集成提供了可行的解决方案。
