行业解决方案
SAMC互联网Web系统的单点登录

SAMC单点登录系列产品,针对互联网Web系统,提供了一整套单点登录解决方案。


互联网系统的多样性

互联网网站对每个系统的功能、性能、安全、便捷等多方面要求都不尽相同,每个网站的侧重点和功能点也都不一样。通常站点为了性能更高,使用更为便捷辑,使用客户端cookie来存储用户以及回话的信息;如果对站点安全性要求较高,便会使用服务器端session存储了。如此多样性的系统集成,就对单点登录系统提出了多方面,多功能的要求。


SAMC单点登录认证模式

1、多点认证模式

每个站点都有各自的登录认证界面,只要在其中一个登录界面上登录,其他系统无需再次登录即可通过身份认证。

在多点认证模式下,用户的登录操作都在各个网站上完成,用户很难感知到与SSO系统集成。其优点就是,任何一个网站的宕机都不会对其它系统产生影响,也不会影响正常运行的SSO系统。

2、集中认证模式

当网站需要登录认证时,统一交由SSO服务器完成身份认证动作,其他网站无需提供用户登录界面。

相对与多点认证模式来说,集中认证模式的适用范围更广,而且在SSO服务器中使用的是统一的用户名和密码,用户无需关注当前登录的是哪个网站,所以用户体验更加优秀。由于所有的登录都放在了单点登录服务器,所以当集中认证服务器宕机时,所有系统无法正常登录,或丢失SSO的功能,因此以独立服务器作为SSO服务器是必要的,并需要保证单点登录服务器的稳定性。SSO用户登录界面页可以根据要求来实现定制化。

3、嵌入式认证模式

每个站点都使用SSO服务器提供的认证界面嵌入到各个网站中,在其中一个网站上登录之后,其他系统无需再次登录即可通过身份验证。

嵌入式认证模式下,用户访问的网站如果检测到未经认证,网站随即提示嵌入式认证界面,当用户认证完成后,站点界面显示不做变更。相对于多点认证模式和集中认证模式,嵌入式认证的使用范围更加广泛,如各大型的网站通常都使用这种认证模式。嵌入式认证界面也可以根据要求来实现定制化。


SAMC单点登录功能实现

1、同域Cookie作为凭证媒介

Cookie作为媒介,存放用户凭证,同域下用户登录一个站点之后,会存储客户端浏览器一个加密的cookie,当用户访问其他同域的站点时,便会携带这个加密的cookie信息,站点通过验证其合法性,实现SSO登录。该方式的安全性一般,使用范围较广,对于安全性要求较低的网站便是首选。

2、同域代填/代理登录

代填登录的原理就是模拟表填代填,在浏览器端通过表单提交的方式模拟网站系统的登录操作,实现SSO。代填值支持同域,且密码需要明文,安全性差,虽然可以实现,但一般不会选择。代理登录,就是代填的原理,只是这里的密码变为了一次性密码,后台通过后置代理服务器(如:LDAP Agent Server等)认证,来实现SSO功能。所以该方式的安全性很高,缺点就是需要后置代理服务器支持,且不支持跨域。

3、跨域身份票据(ticket)登录

身份票据是通过URL的方式传递,通过“两次握手”的方式,实现SSO。身份票据的方式,是适用范围和安全性最高的一种SSO实现方式,可以解决跨域等问题,且稳定性好。是“集中认证模式”、“多点认证模式”和“嵌入式认证模式”的主力实现技术。

4、跨域令牌环(token)登录

令牌环也是通过URL的方式传递,各个服务器通过SAMC单点登录系统统一分配的密钥,对令牌码值进行加密/解密,所以该方式具有安全性高、稳定性好、性能消耗低等优点。


用户信息统一管理说明

1、用户统一管理是以SAMC单点登录系统为基础,集成多个网站,实现用户的统一管理。

2、用户统一管理也可以把第三方网站用户数据源作为用户管理中心,SAMC单点登录作为嵌入式的SSO功能。


SAMC单点登录系统安全性说明

1、API接口加密:接口调用数据传输提供多种加密方式,根据实际环境和安全要求来选择加密方式。

2、身份票据加密:系统安全加密 + 消息摘要验证,安全性非常高。

3、一次性令牌环加密:系统安全加密 + 消息摘要验证 + 访问来源控制,安全性非常高。

4、同域的cookie加密存储:系统安全加密 + 服务器端验证 + 时效性验证,安全级别较高。


集成系统语言和产品实用性

1、支持基于HTTP、WebService、Socket的API接口,支持Java、PHP、C#等多种流行语言编写的站点。

2、支持站点同域、跨域单点登录功能,实现多个网站之间的自由跳转。

3、适用于多个(2个或者2个以上)网站的整合,并且实现SSO功能和用户数据同步。

4、支持用户认证扩展,如,短信认证,令牌认证,证书认证等。

5、支持SSO功能以外具有共性的功能扩展。


专注于品牌,我们会更专业