统一身份认证和单点登录概念研究

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了统一身份认证和单点登录概念研究相关的知识,希望对你有一定的参考价值。

在研究、建设单位信息系统的集成和登录时,自然想到了统一身份认证和单点登录,首先遇到了这样的问题,统一身份认证和单点登录的概念是什么,是不是某一个领域的术语,是不是有相应的标准和协议以及相关的解决方案,这让我对这两个经常关在嘴边的、耳熟能详的名称的来源产生了好奇。
先从百度百科中可以查到统一身份认证的定义:所谓身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议,需要用户出示更多的信息(如私钥)来证明自己的身份,如Kerberos身份认证系统。
身份认证一般与授权控制是相互联系的,授权控制是指一旦用户的身份通过认证以后,确定哪些资源该用户可以访问、可以进行何种方式的访问操作等问题。在一个数字化的工作体系中,应该有一个统一的身份认证系统供各应用系统使用,但授权控制可以由各应用系统自己管理。
中文名 统一身份认证
外文名 uniform identity authentication
释 义 判断一个人是否为合法用户的过程
简 称 IDS
再查SSO的解释:
SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。
中文名 单点登录
外文名 Single Sign On
简 称 SSO
解 释 应用系统
Wikipedia的解释:Single sign-on (SSO) is a property of access control of multiple related, yet independent, software systems. With this property, a user logs in with a single ID and password to gain access to a connected system or accomplished using the Lightweight Directory Access Protocol (LDAP) and stored LDAP databases on (directory) servers.[1] A simple version of single sign-on can be achieved over IP networks using cookies but only if the sites share a common DNS parent domain.
For clarity, it is best to refer to systems requiring authentication for each application but using the same credentials from a directory server as Directory Server Authentication and systems where a single authentication provides access to multiple applications by passing the authentication token seamlessly to configured applications as single sign-on.
现在产生了有趣的问题,对于SSO,基本上没有疑问,是一个广泛存在的术语,在google、Wikipedia上都有查到,在google,百度也都有很多的解释和实现技术方案。但是统一身份认证是什么,是一个通行的技术模型、技术架构还是规范和标准?于是我搜集到了一些关于统一身份认证英文翻译和简写,有:uniform identity authentication,unified identity authentication,Identity Authentication System,简写有IDS。
在用Baidu检索“统一身份认证”时,有许多返回结果,其中有方案、实现案例、相关技术、功能框架,当然还有许多统一身份认证的门户网站,以学校居多。但是在用Google检索uniform identity authentication,unified identity authentication,Identity Authentication System这几个关键词时,发现结果的都是论文,而且这些论文都是国内作者发表的。至于检索IDS,大家都知道结果基本上都是与Intrusion Detection Systems相关,几乎看不到与“统一身份认证”有关系的连接。所以个人猜测“统一身份认证”这个名词只是在国内通行的术语,在国外上并没有与之直接对应的东西,当然构建起“统一身份认证”的相关技术多是一些标准技术。至于说国内“统一身份认证”这个概念源自何时、何处也无从考证,也希望专家告知。
至于说在百度百科里提到的“统一身份认证的”简称IDS,经多方询问,判断应该是源自于国内某软件厂商的“统一身份认证”产品的名称。
对国内所比较流行的“统一身份认证”,从内容上一般包含了账号管理、认证管理、授权管理等功能模块,这三部分算是统一身份认证必备的功能,每个模块都由相关的技术实现的,当如除此以外还会有诸如审计、监控,UI,接口等
就所涉及的技术而言,账号管理:LDAP,关系数据库等。
认证管理:OAuth,SMAL,CAS等。
前面提到的SSO一般就会被包含在认证功能里,所以说“统一身份认证”一般会提供SSO,而SSO一般不会提供给你统一身份认证,不过SSO不断在功能向外延伸,也许到时候“统一身份认证”的代称就是SSO了。
收集整理了一些厂商“统一身份认证”的功能框架,摘其好的贴上,供大家探讨。

技术分享图片

以上是关于统一身份认证和单点登录概念研究的主要内容,如果未能解决你的问题,请参考以下文章

关于研究生教务各系统实现单点登录的通知

一平台集成多系统,实现用户统一认证和单点登录功能

企业为何要实现单点登录?单点登录和统一身份数据源能解决哪些问题?

单点登录让多系统统一认证不再难

统一身份认证与单点登录平台帮助V1.0

基于django-oauth-toolkit的统一认证流程(单点登录)