SSO单点登录概要设计说明书

SSO单点登录概要设计说明书V1.0通用权限管理概要设计说明书V1.0®版权所有©第1页共9页文件更改摘要：日期版本号修订说明修订人审核人批准人2011-5-191.0创建孙俊虎通用权限管理概要设计说明书V1.0®版权所有©第2页共9页目录1.引言.........................................................................................................................................31.1编写目的.............................................................................................................................31.1.1描述..................................................................................................................................31.1.2存在的问题.....................................................................................................................31.1.3解决技术.........................................................................................................................31.2背景......................................................................................................................................31.3术语......................................................................................................................................31.4预期读者与阅读建议......................................................................................................31.5CAS运行原理...................................................................................................................32.总体设计................................................................................................................................42.1设计目标.............................................................................................................................42.2运行环境.............................................................................................................................52.3网络结构.............................................................................................................................52.4总体设计思路和处理流程.............................................................................................52.5对象关系图........................................................................................................................52.6系统约定.............................................................................................................................52.7模块结构设计....................................................................................................................52.8尚未解决的问题...............................................................................................................73.接口设计（暂略）..............................................................................................................73.1用户接口（暂略）..........................................................................................................73.2外部接口（暂略）..........................................................................................................73.3内部接口（暂略）..........................................................................................................74.界面总体设计.......................................................................................................................7通用权限管理概要设计说明书V1.0®版权所有©第3页共9页1.引言1.1编写目的1.1.1描述随着信息化进一步发展和企业的业务运营需要，企业内部的应用系统越来越多。这些系统往往有着独立的用户认证模块和机制，用户不得不记住每一个系统的登录帐号和密码，在使用不同的系统时，必须重复登录，给用户的使用造成诸多不便。针对这种情况，单点登录(SingleSignOn)[1]模型应运而生，同时不断地应用到企业的业务系统中。在单点登录系统中，用户只需在登录时提供一次用户认证信息，通过认证以后，在访问企业门户中的各个子系统时无需再重复登录。1.1.2存在的问题在单点登录系统的实现过程中，往往会碰到如下问题：1)企业现有的各个应用系统间相互独立或者通信状况是混乱的，对外接口也不同，这给应用系统的集成带来了极大困难。2)同一个用户，拥有多个应用系统的访问凭证，使用户信息难以统一管理。3)Cookie不能跨域的限制也使实现各个应用系统之间Cookie共享成为一个难题。1.1.3解决技术本文介绍的基于CAS协议，采用用户映射机制设计的单点登录方案，能很好的解决这些问题。1.2背景a、软件系统的名称：SSO单点登录系统；b、对企业已有的或要建设的系统进行单点登录整合。1.3术语本系统：SSO单点登录系统；1.4预期读者与阅读建议预期读者阅读重点系统设计者CAS原理，自定义实现身份认证，方案设计1.5CAS运行原理我们以A公司的员工日志管理系统为例：a.传统的用户认证流程通用权限管理概要设计说明书V1.0®版权所有©第4页共9页b.使用CAS后的用户认证流程示意图中，CAS相关部分被标示为蓝色。在这个流程中，员工AT向日志系统请求进入主页面，他的浏览器发出的HTTP请求被嵌入在日志系统中的CAS客户端（HTTP过滤器）拦截，并判断该请求是否带有CAS的证书；如果没有，员工AT将被定位到CAS的统一用户登录界面进行登录认证，成功后，CAS将自动引导AT返回日志系统的主页面。2.总体设计2.1设计目标a.实现一个易用的、能跨不同Web应用的单点登录认证中心；b.实现统一的用户身份和密钥管理，减少多套密码系统造成的管理成本和安全漏洞；c.降低认证模块在IT系统设计中的耦合度，提供更好的SOA设计和更弹性的安全策略。通用权限管理概要设计说明书V1.0®版权所有©第5页共9页2.2运行环境2.3网络结构2.4总体设计思路和处理流程通常，企业应用程序基于浏览器的B/S模式，这种情况下，系统的用户凭证（一个由CAS服务器生成的唯一id号，也称之为ticket）借助cookie和URL参数方式实现；在B/S环境中，大多情况下，我们只需要配置CASFilter或者使用CASTagLibrary就可以轻松实现的验证客户端。如果应用是以普通的C/S模式运行，则需要应用程序自己来维护这个ticket在上下文环境中的传输和保存了。这时候就需要手工调用ServiceTicketValidator/ProxyTicketValidator对象的方法，向CAS服务器提交认证，并获取认证结果进行相应的处理。2.5对象关系图2.6系统约定2.7模块结构设计用户接入统一认证系统应用系统1CAS认证中心身份认证中心数据库应用系统1数据库同步数据通用权限管理概要设计说明书V1.0®版权所有©第6页共9页用户接入统一认证系统应用系统1CAS认证中心身份认证中心数据库应用系统1数据库查询数据通用权限管理概要设计说明书V1.0®版权所有©第7页共9页2.8尚未解决的问题3.接口设计（暂略）3.1用户接口（暂略）3.2外部接口（暂略）3.3内部接口（暂略）4.界面总体设计通用权限管理概要设计说明书V1.0®版权所有©第8页共9页