单点登录技术的概述

    随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被应用到企业应用系统中。

统一用户管理的基本原理

    一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性，增加管理的成本。
    例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中都创建用户X，这样在A, B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外，还要保证数据的完整性，因而同步用户的程序可能会非常复杂。
    解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)UUMS统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过UUMS完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。UUMS应具备以下基本功能
    1.用户信息规范命名、统一存储，用户ID全局惟一。用户ID犹如身份证，区分和标识了不同的个体。
    2. UUMS向各应用系统提供用户属性列表，如姓名、电话、地址邮件等属性，各应用系统可以选择本系统所需要的部分或全部属性。
    3.应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。
    4.应用系统保留用户管理功能如用户分组、用户授权等功能。
    5. UUMS应具有完善的日志功能，详细记录各应用系统对UUMS的操作 。
    统一用户认证是以UUMS为基础，对所有应用系统提供统一的认证方式和认证策略，以识别用户身份的合法性。统一用户认证应支持以下几种认证方式:
    1.匿名认证方式:用户不需要任何认证，可以匿名的方式登录系统。
    2.用户名/密码认证:这是最基本的认证方式。
    3. PKI/CA数字证书认证:通过数字证书的方式认证用户的身份。
    4. IP地址认证:用户只能从指定的IP地址或者IP地址段访问系统。
    5、时间段认证:用户只能在某个指定的时间段访问系统。
    6.访问次数认证:累计用户的访问次数，使用户的访问次数在一定的数值范围之内。

单点登录

     SSO (Single Sign一On，单点登录)是身份管理中的一部分。SSO的一种较为通俗的定义是:SSO是指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。
    使用SSO的好处主要有:
    (1)方便用户
    用户使用应用系统时，能够一次登录，多次使用。用户不再需要每次输入用户名称和用户密码，也不需要牢记多套用户名称和用户密码。单点登录平台能够改善用户使用应用系统的体验 。
    (2)方便管理员
    系统管理员只需要维护一套统一的用户账号，方便、简单。相比之下，系统管理员以前需要管理很多套的用户账号。每一个应用系统就有一套用户账号，不仅给管理上带来不方便，而
且，也容易出现管理漏洞。
    (3)简化应用系统开发
    开发新的应用系统时，可以直接使用单点登录平台的用户认证服务，简化开发流程。单点登录平台通过提供统一的认证平台，实现单点登录。因此，应用系统并不需要开发用户认证程序。
    虽然SSO实现模式千奇百怪，但万变不离其宗:Web应用不处理User的登录，否则就是多点登陆了，所有的登录都在SSO认证中心进行。SSO认证中心通过一些方法来告诉Web应用当前访问用户的真实身份。SSO认证中心和所有的Web应用建立一种信任关系，SSO认证中心对用户身份正确性的判断会通过某种方法告之Web应用，而且判断结果必须被Web应用信任。