基与SAML的跨域单点登录和身份认证系统设计与研究

摘 要：跨多级域单点登录访问及身份认证系统的构造，主要用于解决了多级域之间的单点登录访问技术问题，其特征是在多级域之间访问过程中，通过统一的登录口进行访问。该课题研究技术方案为：将跨多级域单点登录访问及身份认证系统将多级域各自的认证源整合到了一起，并且将多个域之间的用户关系进行了整合，用户可以使用任意子域的用户名、密码进行访问登录。并且在用户访问子域的过程中，通过对子域单点登录客户端的优化，实现了对应用访问权限的细粒度的控制。 
　　关键词：跨域认证 单点登录 身份认证 
　　该研究针对国内电子政务多年的建设，政务信息化程度的逐步加深，各种支撑应用和用户数量不断增加，网络规模随之迅速扩张，带来了一个严重的问题，即：网络内的用户和用户的交互性逐步增大，电子政务用户认证和访问控制信息安全问题愈见突出，对系统的安全整体防护和可用性也提出了更高的要求。具体体现为，原有的帐号口令、权限认证、审计管理措施已越来越不能满足政务信息化当前及未来业务发展的要求，面对众多应用系统（包括三方应用系统）托管、复杂的区域化应用建设，迫切需要解决统一的帐号数据、集中权限分配，单点登录认证、集中安全审计等问题。使系统和安全管理人员可以操作系统、数据库、网络设备、应用系统等各种IT资源的帐号、认证、授权和审计的集中控制和管理，明确相关管理人员的权限和职责，从技术上保证企业整体安全策略的实施，保障网络及系统安全、高效的运行，提高信息化服务质量。满足萨班斯法案关于信息安全控制的要求，符合政务信息化的发展趋势。 
　　1 研究思路 
　　该课题旨在研究电子政务应用环境下多级域访问解决方案，是对于跨多级域实现单点登录访问，以及子域内访问过程中对于应用权限细粒度的控制。 
　　所述的跨多级域的实现，是指由跨域访问中心构成，跨域访问中心包含了跨域用户数据映射同步模块、（多级域）域ID生成模块、多级域访问认证接口模块。 
　　所述的子域内部的访问权限控制，是由单点登录的客户端完成，客户端会集成在应用端，当用户发起应用访问请求时，客户端负责验证用户票据的有效性，以及根据票据中包含的权限信息来判断是否对用户的访问请求进行放行。 
　　2 设计目标 
　　该课题设计目的在于克服上述已有技术的不足，提供了一种跨域单点登录机制，以解决在多级域情况下的多域应用访问，并、对于目前域内的单点登录的技术架构进行优化，以解决域内用户对应用访问权限细粒度的控制。 
　　3 设计说明 
　　该课题是对Web应用的整合管理，在每个Web应用拥有自己的登录、用户管理的情况下，提供了一种将多个web应用融合，特别是采用单一登录窗口完成对多个应用访问的一种基于SAML的登录和身份认证系统，尤其是在现有同一域内的应用基础上进行改进，提供单一登录窗口，对于用户权限许可内的多个子域实现跨域单点登录。 
　　跨域用户数据同步模块，是跨域访问中心发布用户数据同步接口，接口内容包含同步更新、修改、删除