1 / 17

SSO 介绍

SSO 介绍. 平台研发部 Platform. 页面 1. 2014/9/10. Agenda. What is SSO Advantages and Disadvantage of SSO SSO Implementation Open Source SSO QA. 页面 2. 2014/9/10. Single sign-on (SSO). 定义

rafael
Télécharger la présentation

SSO 介绍

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SSO 介绍 平台研发部 Platform 页面 1 Ctrip R&D Center 2014/9/10

  2. Agenda • What is SSO • Advantages and Disadvantage of SSO • SSO Implementation • Open Source SSO • QA 页面 2 Ctrip R&D Center 2014/9/10

  3. Single sign-on (SSO) • 定义 • Single sign-on is a user/session authentication process that permits a user to enter one name and password in order to access multiple applications. The process authenticates the user for all the applications they have been given rights to and eliminates further prompts when they switch applications during a particular session. 页面 3 Ctrip R&D Center 2014/9/10

  4. 1 用户访问 被保护信息... ...用户被指向到 认证中心登录... 2 3 ...认证信息返回 信息提供商. 实现思路 用户 应用 认证中心 页面 4 Ctrip R&D Center 2014/9/10

  5. The need for web SSO • 携程内部各种用户,各有一套密码 • 域用户 • Service用户 • eTerm用户 • CTI用户… • 缺少集成 • 系统登录源未统一 • 同一个域用户登陆不同系统仍需要单独登录 • 重复用户管理 • 用户需要记多个密码 页面 5 Ctrip R&D Center 2014/9/10

  6. Advantage • 用户(角色)统一管理 • 降低运营和管理成本 • 提升用户体验 • 减轻开发人员的复杂 • 增强系统安全性 • 多种认证方式 • Smartcards • Security token • 记录登录信息 • 满足安全审计要求 (SOX, HIPAA) 页面 6 Ctrip R&D Center 2014/9/10

  7. Criticisms • 成为企业关键应用,存在单点故障风险 • 系统被攻破或者系统不严谨导致SSO下所有应用都被暴露 • SSO安全报告 by Rui Wang, Shuo Chen和XiaoFeng Wang,研究googleId, paypal Access, facebook等,找到数个严重逻辑错误 页面 7 Ctrip R&D Center 2014/9/10

  8. 实现方式 • 基于Cookie • 基于Token/Ticket • 基于安全断言(SAML) • 基于代理人(Kerberos) • 基于网关 页面 8 Ctrip R&D Center 2014/9/10

  9. 成熟SSO实现 • CAS • SAML • Facebook connect • IBM TAM • Windows Live Id • Open Id (Google ID, Paypal Access) • CA SiteMinder 页面 9 Ctrip R&D Center 2014/9/10

  10. CAS • 耶鲁发起的开源项目 • V1基于Cookie • 现在V3 • Service Ticket 只能使用一次 • Service Ticket 在一段时间内失效 • Service Ticket 是基于随机数生成的 页面 10 Ctrip R&D Center 2014/9/10

  11. SAML • Security Assertion Markup Language • Standard of OASIS (SOAP, UDDI) • 实现:Shibboleth 页面 11 Ctrip R&D Center 2014/9/10

  12. Open ID • 以用户为中心的数字身份识别框架 • http://dotnetopenauth.net/ • Microsoft WIF (WindowsIdentity Foundation) 页面 12 Ctrip R&D Center 2014/9/10

  13. IBM TAM & CA SiteMinder • WebSeal Junction, 反向代理 • Get UserId From Http Header • SiteMinder • 提供各种接入Agent for IIS, Jboss, SAP, WebLogic, Webshpere etc. 页面 13 Ctrip R&D Center 2014/9/10

  14. 自定义SSO关键点 • 支持多种认证源 • 确定统一登录范围 • Browse进程 • PC: IP地址,网卡地址等 • 提供客户端接入组件 • .NET: HTTPModule • Java(WebLogic/WebSphere/Jboss): Web Agent? • 非功能性需求 • 高可用性 • 健壮性 • 安全 页面 14 Ctrip R&D Center 2014/9/10

  15. Reference 页面 15 Ctrip R&D Center http://en.wikipedia.org/wiki/Single_sign-on http://en.wikipedia.org/wiki/List_of_single_sign-on_implementations http://en.wikipedia.org/wiki/Central_Authentication_Service http://en.wikipedia.org/wiki/SAML_2.0 http://sso-analysis.org/ 2014/9/10

  16. Q&A 页面 16 Ctrip R&D Center 2014/9/10

  17. THANKS 页面 17 Ctrip R&D Center 2014/9/10

More Related