dev2dev 首页 > 资源中心 > 专家Blog > 专家Blog文章
单点登录与组织
围绕单点登录(single sign-on,SSO)及其所涉及的组件,有相当多的不实信息。在我看来,许多供应商将过多的时间花在了技术细节上,反而使事情变得过于复杂。
当然了,对于单点登录解决方案(比如SNPEGO、Kerberos、Web Services、LDAP库),有许多技术问题是必须解决的。但是我发现,这些问题通常使用一般的方式就可以快速轻松地解决。下面的链接可帮助大家了解BEA的可插入的安全提供程序模型。
关于这些信息,我就不再说什么了。但是我要说明,单点登录更复杂的方面与业务流程和组织的更改有关。
通常单点登录解决方案都包括某种形式的Directory User Store,比如Active Directory、OpenLDAP、OiD等等。Weblogic Server提供了大量的Authenticator,使得库与他们的交互直观而且易于配置。研究部署拓扑后可以发现,问题通常出在,很明显子系统几乎总是包含自己的使用独有名称的用户凭证。由于某种原因,这些凭证需要与Weblogic Authenticator所引用的中央用户库进行同步。安全性对长期的维护和可伸缩性来说非常重要。组织必须定义一个流程,用于从这些子系统检索详细信息并填充一个中央库。
当然了,并不总是需要有一个库。例如,如果解决方案利用了诸如Kerberos令牌之类的客户端证书,组织就需要实现某种允许用户获取有效的证书的流程,并提供某种形式的Identity Asserter来确认现在出现在系统中的人确实如他们所声称的。这种单点登录方法推定子系统配置了客户端证书身份验证。任何失败的身份验证都由子系统个别处理。
此外,组织通常希望生产某种形式的伞形系统,为终端用户提供综合的透视图。这通常是门户解决方案的用武之地。使用Active Directory或LDAP Authenticator的一个好处就是能够配置他们基于他们的AD/LDAP配置文件的不同特性(如:organization unit、group base name)动态填充组成员。对于Weblogic Platform,定义在服务器层的组可以很轻松地映射到门户角色和组。在大多数实例中,这都是自动完成的。这样一个用于单点登录的集成平台的好处是能够最大程度地减少将来来自多个“接触点”的同步和管理问题。
我只触及了一些可能发生在单点登录行动中的组织复杂性的表层。好消息是通过对当前需求、未来需求的认真规划,并使用最好的软件,技术考虑可能不会占用所有的IT预算,而且使您可以灵活地公开随业务发展而发展的服务基础架构。
原文出处:http://dev2dev.bea.com/blog/quinton_wall/archive/2005/10/sso_and_the_org_1.html
作者其它文章
|
