论文部分内容阅读
随着基于Web的分布式企业级应用规模的不断扩大,组织中的孤立的、分散的应用系统访问点不断增加。在这个发展过程中,人们逐渐意识到信息共享和统一视图的重要性,企业应用集成的概念也就应运而生。如今,企业信息集成的发展已经过了数据集成、应用接口集成、业务逻辑集成几个阶段,达到了用户界面集成阶段。此时,门户(Portal)已经成为了用户界面集成的成熟技术。然而,门户中的各应用系统往往仍采用各自的登录入口、身份认证机制和用户身份管理机制,给用户访问、系统的安全管理、开发和扩展新应用都带来很大的不便。因此,一个更高层次的需求--身份认证的集成变得越来越迫切。
单点登录是一种集中式的身份认证模型,可以应用于在同一域内的多个应用。模型中只信任唯一的登录入口,由它来提供身份的认证和处理用户登录的请求。该模型不是专门为门户设计,但是可以很好的应用于域内门户。然而,它只对身份认证中的一个方面—“用户登录应用系统”做了描述,并没有完全覆盖身份认证的整个问题域。
在此背景下,产生了本文的研究目标:扩展单点登录模型,解决域内门户的身份认证集成问题。首先,本文以北京大学电子校务信息门户平台为项目背景,分析了北京大学IAAA统一安全机制,从中提取出域内门户中普遍存在的身份认证相关的流程,提出了一个覆盖登录、代理认证、用户身份管理、退出四个流程的单点认证模型。接下来,本文对目前流行的三种相关技术--Kerberos、CAS、SAML进行了分析和比较,结合域内门户的特点,选择基于CAS协议的方式来实现单点认证模型,并增加了密码重置和单点退出协议,来支持用户身份管理和退出两个流程。本文还给出了一套基于Java语言的CAS协议实现。最后,本文详细阐述了如何对北京大学电子校务信息门户平台现有的IAAA统一安全机制进行整合,来实现单点认证模型,并以北京大学综合信息服务这个门户应用为例,介绍了如何在Webservice和Portal上使用上述CAS实现。