《单点登录技术的研究与应用》
单点登录技术的研究与应用
中联敏捷2013.12
1 / 18
《单点登录技术的研究与应用》
前言
随着公司提供的医疗行业解决方案的不断发展和深入,提供的业务应用系统数量不断地增加,在传统的医院管理信息系统及区域卫生医疗系统两大业务体系下,衍生出大量的专业性的应用系统,在缺乏整体规划的条件下,这些系统不同程度的存在数据冗余和重复的问题,这些系统之间随着应用的成熟,不同系统之间的业务和业务之间的相关性越来越大,为了降低管理消耗和维护成本,企业应用集成在不同层面上进行运用,例如在数据层面上的“数据大集中”,在信息利用、传输层面上的“消息交换平台”、在用户界面上的“通用企业门户”等等,其中的一个层面就是系统用户身份认证的整合,即单点登录。
通常来说,每个单独的系统都会有自己的安全体系和身份认证系统。每个系统需要各自的身份认证系统造成资源的浪费,消耗开发成本,另外进入每个系统都需要进行登录,这样的局面不仅给管理上带来了很大的困难,增加了整个系统的管理工作成本,同时,用户需要记忆多个账户和密码,用户为了图省事,直接使用默认密码或者简化密码,另外需要多次重复输入密码,被窥视的机会会大大增加,这样也在安全方面也埋下了重大的隐患。 另外,在面向服务架构体系下以及与外部程序进行数据通讯的需求下,引入“单点登录”的规范体系能够大大简化这些场景下的安全问题,提高服务与服务之间的可信性以及效率。
单点登录系统的目的就是为应用系统以及服务提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关\的目标,利于系统的集成,方便用户使用。
一、概述 1.1概念
SSO的英文全称是Single Sign On,意思是单点登录,SSO是一项技术,而不是一类软件。 单点登录简单说,就是通过用户的一次性鉴别登录,即可获得需访问系统和应用软件的访问授权,在此条件下,管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制。这是一个为了能够在分布式计算机环境中,安全和方便的鉴别用户而产生的课题
1.2背景
随着信息技术和网络技术的发展,企业内部存在着很多不同的应用系统,以医院信息化为例,根据医院的规模不同,存在的应用系统可能从一种到十余种不等,可能一个方案提供商提供的解决方案中就包含了几种独立的应用系统,常见的应用系统有:HIS(医院管理信息系统)、LIS(实验室管理信息系统)、PACS(影像归档和通信系统)、PIS(病理信息系统)、EMR(电子病历系统)、体检系统等等,除此之外,还包括一些基础类的信息化应用,比如办公系统(OA)、邮箱系统、网络代理等等。
用户在日常应用中,需要登录到不同的应用系统中,每个系统都要求用户遵循一定的安全策略,比如要求输入用户名和口令。随着用户需要登录系统的增多,不仅影响了工作效率,而且,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。
1 / 18
《单点登录技术的研究与应用》
因此,提出了这样一种需求:用户可以基于最初访问应用系统时的一次身份验证,对所有被授权的信息资源进行无缝的访问。从而提高用户的工作效率,降低操作的费用,并提高应用系统的安全性。
1.3应用场景
在目前中联产品体系中,因为未采用单点登录技术,实际上大多数应用场景是,用户登录到ZLHIS系统,如果需要再访问OA系统,需要重新再次输入用户名口令登录系统,即使是两种应用采用同样的用户身份凭证,也会要求重新进行一次身份验证。
应用系统之间应用场景可能存在以下几种情况: ? 身份凭证来源不同
系统之间的用户凭证来源不一样,相同的用户在不同的系统中具有不同的身份,各个系统维护其独立的用户凭证源,为了统一身份,这样就要求系统之间需要进行用户身份的映射;
? 运行环境不同
应用系统运行在多种运行环境下,运行环境包括了操作系统环境、运行模式,例如,应用系统的操作系统环境可能是Windows或者Linux操作系统,运行模式可以C/S或者B/S模式以及Web服务之间的调用。 ? 身份验证机制不同
不同应用系统的身份验证机制可能不同,除了传统的基于口令的认证方式,还存在智能卡、生物识别、证书认证等多种认证方式。
如何实现“一点登录、多点漫游”,让用户只需要登录一次就可以畅游所有的应用,以下就是实现SSO的几种应用场景分析。
1.3.1使用不同验证机制实现SSO
? 场景描述
假如有两个应用程序A和B,A应用使用LDAP目录服务器进行身份认证,B应用使用数据库进行身份验证,A应用通过了LDAP身份认证后,得到认证服务返回的用户身份信息(身份令牌),由A应用漫游到B应用,A提供身份令牌给B应用,B应用能够通过身份令牌识别已经在A应用登录用户的身份,并将其转换成用户在B系统中的身份,获取用户在B系统的资源访问权限,同理,已在B系统登录的用户采用同样的方式漫游到A系统。 ? 实现方法
1、 A和B采用统一的身份令牌生成和验证机构,身份认证服务根据不同的登录请求来
源判断所要采用的身份验证方法,不同的验证方法校验用户提交的欲验证的身份凭证,生成统一的身份令牌。
2、 A和B各自有其自己的身份令牌和验证机构,各自的身份验证机构构成认证联邦,
由不同的认证服务进行验证,生成的身份令牌在互信的另外的认证服务中会被承认。
1.3.2WEB程序与桌面程序实现SSO
? 场景描述
有两个应用A和B,A应用是WEB应用程序,B是桌面应用程序,A应用通过网页登录后,点击网页上的链接,能够启动桌面应用程序B,实现应用漫游,同样,B系统登录后,通过界面上的界面元素能够直接打开浏览器访问A应用的资源,实现桌面应用和WEB应用的无缝连接。
2 / 18
《单点登录技术的研究与应用》
? 实现方法
A应用成功登录后,WEB应用服务器会话中保留该用户的身份令牌信息,A应用网页上的链接是能够获取到该令牌信息的资源的URL,B客户端可以通过访问URL获得该令牌信息,B客户端对令牌进行校验,确认令牌的有效性,确认用户身份。
同样,B客户端登录成功后,本地内存中存储已登录用户的身份令牌信息,当B应用需要访问其他客户端应用或者WEB应用时,B客户端提交其身份令牌信息给认证服务器做验证,认证服务器校验令牌的有效性,生成新的令牌信息,并用资源URL的形式返回给客户端,客户端生成身份认证服务令牌资源的的URL,用户访问URL,获得新的身份信息令牌,确认令牌的有效性,确认用户身份。
1.3.3WEB服务之间实现SSO
? 场景描述 两个应用A和B,各自公布了一个WEB服务,A应用提供的Web服务为订单申请服务,WS-订单申请,B应用提供的Web服务为订单审核服务,WS-订单审核。应用A调用WEB-订单申请,服务中又调用了应用B的Web服务:Wed-订单审核,该服务需要验证调用服务的提供的身份信息。 ? 实现方法
应用A登录成功后,调用WS-订单服务时,将其验证通过的用户身份令牌加入到WebService的Head信息中或者按照WebService-Security标准,将身份令牌加入到WS-Security Header的
1.3.4企业门户实现SSO
? 场景描述
用户提供用户凭证登录企业门户Portal,门户将关系到该登录用户的系统资源、信息资源、数据资源组织起来集中展示在门户页面上。用户只需登录Portal一次就可以访问所有其他应用,而无需再分别登录每一个应用,例如:用户登录Portal之后通过展示的应用列表,可以分别访问ZLHIS桌面客户端程序,通过浏览器重定向到区域医疗公共卫生平台Web应用上。 ? 实现方法
用户登录Portal门户后,Portal服务器将用户凭证提交给身份验证服务进行验证,验证通过后,Portal服务器会话保存身份令牌信息,当用户需要通过门户访问其他应用时,门户生成对应提取该身份令牌信息的URL资源链接,客户端程序或者重定向的Web应用访问URL资源链接,从Portal服务器获取身份令牌信息并进行验证,确认该身份令牌信息的有效性,验证有效后,将该令牌信息保存在客户端或者Web应用服务器上,供应用漫游使用。
1.4实现目标
单点登录系统需要实现以下几个目标: 1. 从用户的视角看,虽然是在复杂的企业应用环境中,单点登录不会影响到诸如业务
过程,响应效率,网络吞吐量等事情,并将互操作性方面的问题减至最少,任何事情都在顺利工作。
3 / 18
