论文部分内容阅读
随着信息技术的飞速发展,网络与人们的日常生活、工作以及各方各面的联系已经密不可分。但网络亦是一把双刃剑,在它给予人们提供方便的同时,也让人们遭受着各个方面的攻击。信息安全问题已经变得尤为重要。身份鉴别和访问控制技术普遍成为信息安全的关键。但是每次访问一个新的系统就要进行一次身份鉴别以及管理众多的账户让人们感觉极为的不方便,于是单点登录技术出现在了人们的视野中,单点登录技术(SSO, Single Sign On)是用于解决企业业务整合和跨域资源共享的关键技术,其核心思想是用户只需要通过一次认证,就可以访问信任域和信任的跨域中的所有资源。单点登录不但能够解决系统的信息安全问题,而且能够让用户方便的去访问每一个应用系统,并且解决了管理多个账户的问题。ADFS是微软推出的Windows Server2003R2中最亮眼的地方,它是一种能够在一次会话过程中进行多个Web应用用户认证的新技术。基于ADFS可以很好的完成单点登录的功能。本论文就是基于ADFS,来实现多种应用场景下的域内及跨域单点登录。首先实现了对单个ADFS的单点登录,之后完成对多个ADFS跨域的基于NT令牌和声明感知应用程序的单点登录。重点解决了:1、组织的身份联盟建立在ADFS单点登录环境下,对于非IIS服务器中部署的应用系统通过实现一个ADFS Web代理的逻辑处理组件,以安全令牌作为登录凭证完成本地登录,从而和ADFS一起构成身份联盟;2、一个组织中IIS上部署的.NET业务系统加入到该组织本身已经存在的SAML身份联盟体系下的安全域,通过在SAML身份联盟的身份提供者SAML IDP中实现ADFS联合身份验证服务;3、SAML身份联盟体系中的IDP通过开发扩展组件的方式来充当ADFS-A账户伙伴角色支持和ADFS-R进行跨域单点登录;4、SAML身份联盟体系中的IDP通过开发扩展组件的方式来充当ADFS-R资源伙伴角色支持和ADFS-A进行跨域单点登录。本论文对以上场景方案进行了实现及验证。通过ADFS自身以及ADFS与SAML身份联盟体系间的互联互操作,有效的实现了不同协议身份联盟之间的域内及跨域单点登录功能。