南方航空公司sso解决方案

南方航空公司sso解决方案内容摘要：

Service 全。  安全传输 用户登陆时输入的用户名和密码以 SSL 方式向认证服务器发出。  防止破解功能 如果一个用户连续输入几次密码都不对，认证服务器自动的将该用户帐号阻塞几分钟。 该措施是为了防止一些黑客和破解程序使用字典数以千万次不断的猜测用户的密码。 . SSO Agent技术实现 SSO Agent 是一个安装在客户端的程序，只要用户登录 SSO 系统以后， SSO Agent 能够自动为用户登录 Web、 Win32 和 Lotus Notes 应用程序，使用户在使用过程中，不用多次反复输入用户名和密码， 实现“一次登录，到处运行”。 SSO Agent 的作用 在于能够最大程度兼容企业内原来就有各种应用程序，使用户能够不修改原有的应用系统，就能够实现统一的 SSO。 . SSO Agent 登录过程 用户利用 SSO Agent 实现单点登录的过程如下图所示： Consulting Service Consulting Service Consulting Service Service Service S S O A g e n t( S S O 验 证 代 理 )W e b / W i n 3 2 / L o t u s N o t e s应 用 程 序S S O A g e n tM i c r o s o f t A c t i v eD i r e c t o r y S e r v i c e（ 微 软 活 动 目 录 服 务 ）用 户2 . S S O 代 理 从 目 录 服 务 器获 取 应 用 系 统 的 验 证 信 息1 . 用 户 登 录 S S O 服 务 器3 . 用 户 访 问 应 用 系 统4 . S S O 代 理 自 动 填 写 验 证 信 息 1. 用户通过 SSO Agent 登录 SSO 系统， SSO Agent 和 SSO 系统的目录服务器通信，确认用户身份的合法性； 2. SSO Agent 从目录服务器获取用户登录各种应用系统的验证信息，如用户名、密码 、需要识别的应用程序的窗口类、窗口内各个控件的类和需要进行的操作 等，缓存在 SSO Agent 内；同时 SSO Agent 驻留在客户端内存内，监控机器上正在运行的应用程序类型； 3. 当用户访问应用程序时， SSO Agent 即可通过驻留在内存上的监控程序，获知用户需要访问应用系统 ，如果和缓存中的信息吻合，则启动自动验证功能 ； 4. SSO Agent 根据设定信息， 通过 Win32 API 直接在应用程序窗口内 填写用户名和密码，并且自动点击发送按钮，使验证过程自动完成； 5. 当用户注销在 SSO 系统的登录状态时， SSO Agent 清除缓存在本地的验证信息； Consulting Service Consulting Service Consulting Service Service Service . SSO Agent 关键技术 说明 SSO Agent是一个已经成功开发和在客户实际应用中部署的客户端代理程序，下面根据 SSO Agent 已有功能，说明其关键的实现技术。 . Win32 及 Lotus Notes 监控及自动登录实现 Win32 和 Lotus Notes 都是通过标准的 Win32 API 在 Windows 操作系统上运行的，因此可以通过 Windows API 函数跟踪在内存中运行的窗口句柄，以及窗口和窗口中各种控件基于的类。 这就为 SSO Agent 监控应用程序的运行和自动写入验证信息打下基础。 如下图就是各种不同应用系统中的控件类： SSO Agent 通过驻留在内存中的钩子函数，监控内存中正在运行的窗口 Consulting Service Consulting Service Consulting Service Service Service 然后在 SSO Agent 能够根据应用程序的窗口中的控件类，识别出验证时需要填 写的文本框（如：用户名）、密码框和需要自动点击的按钮。 如下图是窗口内需要填写用户名的文本框： Consulting Service Consulting Service Consulting Service Service Service 下面是密码框： Consulting Service Consulting Service Consulting Service Service Service 最后是需要自动点击的按钮控件： Consulting Service Consulting Service Consulting Service Service Service 可以看到 SSO Agent 能够很好地识别和管理针对不同 Win32 和 Lotus Notes应用程序中的类以及需要实施的自动填写和点击策略。 . Web应用程序监控及自动登录实现 SSO Agent 包含了一个名为“ ”的 IE Addin 组件，作为监控 Inter Explorer 正在访问的网址以及网页中内容的“钩子”。 IE Helper 直接挂接在 Inter Explorer 上，当 IE 启动时， IEHelper 也随之启动。 用户通过 IE 访问基于 Web 的网站时，系统跟踪到 IE 正在访问的网址以及网页中需要用户填写用户名、密码以及需要点击的发送按钮。 如下图： Consulting Service Consulting Service Consulting Service Service Service IEHelper 能够支持基于所有 HTML FORM格式进行验证信息发送的识别和自动信息写入。 当基于 Web 的应用系统使用集成验证模式时，即在登录系统使，不是使用HTML 页面发送验证信息，而是通过 IE 弹出 Win32 验证窗口时，则不使用IEHelper 进行识别和填写，而是由 Win32 识别部分完成，因此能够很好地兼容各种类型的 Web 应用程序。 . 识别策略的生成与管理 SSO Agent 如何识别出各种应用系统、以及如何填写验证信息、填写什么验证信息是通过识别策略实现。 识别策略包含几个部分的内容： 1. 应用类型 Consulting Service Consulting Service Consulting Service Service Service 2. 应用识别信息 3. 验证信息获取方法 4. 填写策略 管理员的可以通过管理工具，指定应用程序的识别策略的内容，并发布到目录服务器内，统一登录的根据。 . 安全性保证  身份确认 只有用户登录到 SSO 系统时， SSO Agent 才会把用户的验证信息下载到本地，才开始代替用户自动验证，因此能够保证用户身份确认。  验证信息集中存储 用户各种应用的识别和验证信息都集中存放在目录服务器内，在本地的信息通过加密后缓存在内存中，只要用户关机或者 注销登录后，就会失去，保证了信息不被窃取。  自动登录过程快 由于 SSO Agent 自动登录应用系统的过程是通过 API 函数自动完成的，因此过程非常快，用户完全感觉不到窗口弹出和发送的过程，难以进行跟踪。 Consulting Service Consulting Service Consulting Service Service Service 第 4章 . 微软与其他厂商解决方案对比 . 微软解决方案的优势  微软的 SSO 解决方案是一套完整的体系 微软在其 Active Directory 目录服务的基础上，实现了统一的验证体系。 微软在服务器端和客 户端的软件产品中，都贯彻了这一标准的验证体系，对比某些厂商多种不同的验证体系并存，更容易为企业提供统一的规划和实施策略。  SSO 实现的代价更低 微软的目录服务体系是内置在服务器产品内的，减少了其他 厂商需要额外购买的费用。 和微软解决方案一向秉承易于开发、周期短、成本低 的优点， 基于微软的 SSO 应用开发 成本更为低廉。 因此微软的 SSO 解决方案更有优势。  和客户端软件集成的天然优势 目前客户端软件在微软产品一支独秀的前提下，用户常用的操作系统、 Office软件、 Wen 浏览器和客户端软件都是基于微软的平台开发，因此和 微软 SSO 整合的优势不言而喻。  能够兼容以往的应用系统 本解决能够解决兼容以往应用程序的问题。 而其他应用系统则需要所有的应用系统遵循其提供的框架、标准或者接口进行开发，才能实现 SSO。 . Oracle SSO解决方案分析 . Oracle SSO Server 产品背景 根据 Oracle 官方网站 介绍， Oracle 9iAS Single SignOn 的解决方案是用来整合 Web 应 用单点登录的应用需求，其核心技术就是 Oracle 9i AS SSO Server。 这个技术最早推出是在 Oracle 9i AS Sv1 这个版本，但是在这个版本，这个功能只是作为 Oracle 9i AS Portal 的一个组件功能，到了 Oracle 9i AS Sv2， SSO Server Consulting Service Consulting Service Consulting Service Service Service 变成 Oracle 9i AS 的基础组件，不需要再和 Oracle 9i AS Portal 一起安装。 原文如下： The core of Oracle SSO technology is the Oracle9iAS SSO Server. This technology was originally introduced in Oracle9iASv1 as a ponent of Oracle9iAS Portal, but in Oracle9iASv2 the SSO Server is an infrastructure ponent, and does not require Portal to be installed. 按照官方网站的介绍， Oracle SSO Server 提供了一个多个 Web 应用程序的身份认证 框架 ，减少了应用程序的开发时间（新 Web 应用无需再编写登录处理、身份认证），减少 Web 应用程序的系统管理员维护，而且由于用户无需再记住多套密码从而提供了系统的安全。 原文如下： Oracle9iAS SSO provides an authentication framework which can be highly useful when deploying multiple web applications. SSO improves the user experience, reduces application development costs since applications do not need their own authentication mechanisms, reduces system administration costs, and improves system security since problems associated with multiple passwords are eliminated. 按照 Oracle SSO Server 的设计情况，将需要整合的 Web 应用分为两类，分别是 Partner 应用（下简称伙伴应用）以及 External 应用（下简称外部应用）。 以下分别介绍其划分原理： 伙伴应用与 Oracle SSO 框架紧密集成，由 SSO Server 验证用户的身份，并且将验证过的用户身份传递伙伴应用程序。 伙伴应用程序可以被设计或者修改成将身份的验证工作委托给 9i SSO Server，并且接收 SSO Server 传递过来的验证用户身份。 通过这种手段，可以简化伙伴应用程序的管理，并且减少开发的工作以及后续的管理工作的工作量。 原文如下： Partner applications are those which work within the SSO framework. Specifically, they are designed (or have been modified) to delegate responsibility for user authentication to the Oracle9iAS SSO Server. They accept the user identity presented to them by the Oracle9iAS SSO Server. Consulting Service Consulting Service Consulting Service Service Service Since partner applications take advantage of the aut。