CN101656609A - 一种单点登录方法、系统及装置 - Google Patents
一种单点登录方法、系统及装置 Download PDFInfo
- Publication number
- CN101656609A CN101656609A CN200810210044A CN200810210044A CN101656609A CN 101656609 A CN101656609 A CN 101656609A CN 200810210044 A CN200810210044 A CN 200810210044A CN 200810210044 A CN200810210044 A CN 200810210044A CN 101656609 A CN101656609 A CN 101656609A
- Authority
- CN
- China
- Prior art keywords
- saml
- voucher
- asserts
- server
- authentication message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明实施例公开一种单点登录方法、系统及装置。该方法包括:接收用户端的认证消息,确定所述认证消息携带指向安全断言标记语言SAML断言的凭证;根据所述凭证获取所述SAML断言,根据所述SAML断言对所述用户端进行认证。采用本发明实施例提供的技术方案基于统一标准,兼容C/S、B/S系统,实现了单点登录功能,使登录操作更加方便快捷。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种单点登录方法、系统及装置。
背景技术
随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统包括采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。
SSO(Single Sign-on,单点登录)是一种方便用户访问多个系统的技术,用户只需在登录时进行一次注册,就可以在多个系统间自由穿梭,不必重复输入用户名和密码来确定身份。单点登录的实质就是安全上下文或凭证在多个应用系统之间的传递或共享。当用户登录系统时,客户端软件根据用户的凭证(例如用户名和密码)为用户建立一个安全上下文,安全上下文包含用于验证用户的安全信息,系统用这个安全上下文和安全策略判断用户是否具有访问系统资源的权限。
目前主要有C/S(Client/Server,客户端/服务器)架构系统与B/S(Browser/Server,浏览器/服务器)架构系统用于实现SSO。
发明人在实现本发明的过程中发现,现有技术至少存在以下缺陷:
C/S架构系统与B/S架构系统采用不同的平台、不同的信息交互模式,而且业界厂商实现SSO方式多样,存在各种使用场景的限制,难以兼容,因此,很难实现统一的单点登录功能。
发明内容
本发明实施例提供了一种单点登录方法、系统及装置,以兼容C/S、B/S架构,实现一个与平台无关的单点登录方法。
本发明实施例一方面提出一种单点登录方法,包括:
接收用户端的认证消息,确定所述认证消息携带指向安全断言标记语言SAML断言的凭证;
根据所述凭证获取所述SAML断言,根据所述SAML断言对所述用户端进行认证。
本发明实施例另一方面提出一种网络系统,包括:
用户端,用于向服务端发送认证消息;
服务端,用于接收来自所述用户端的认证消息,当所述认证消息中携带指向SAML断言的凭证时,根据所述凭证获取所述SAML断言,根据所述SAML断言对所述用户端进行认证。
本发明实施例另一方面提出一种网络装置,包括:
查找模块,用于查找指向SAML断言的凭证;
认证消息发送模块,用于向所述服务端发送认证消息,当所述查找模块查找到所述凭证时,所述认证消息中携带所述凭证。
本发明实施例另一方面提出一种网络装置,包括:
接收模块,用于接收来自用户端的认证消息;
SAML断言获取模块,用于当所述认证消息中携带指向SAML断言的凭证时,根据所述认证消息中的凭证获取所述SAML断言;
认证模块,用于根据所述SAML断言对所述用户端进行认证。
本发明实施例的技术方案具有以下优点:
基于SAML统一标准,实现了兼容C/S、B/S系统的与平台无关的单点登录功能,使登录操作更加方便快捷。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一般的Browser/Artifact方式的认证过程示意图;
图2为本发明实施例中的兼容C/S、B/S系统的单点登录的系统架构示意图;
图3为本发明实施例中一种单点登录方法流程图;
图4为本发明实施例中提供共用凭证的Client/Artifact方式单点登录的认证过程示意图;
图5为本发明实施例中提供共用凭证的Browser/Artifact方式单点登录认证过程示意图;
图6为本发明实施例中的Client/Artifact模式中的单点登录系统及装置的结构示意图;
图7为本发明实施例中一种用户端网络装置结构图;
图8为本发明实施例中一种服务端网络装置结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在以下各个实施例中,网络的类型可以是移动网络、固定网络、移动固定融合网络等,可以是局域网、城域网、广域网等。服务端和用户端可以是:计算机、服务器、网关、路由器、移动终端等。
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述:
本发明实施例提供了一种单点登录方法,该方法基于SAML(SecurityAuthentication Markup Language,安全断言标记语言)机制,以实现用户端从C/S系统或B/S系统单点登录。
本发明实施例中的SAML是一种与协议和平台无关的XML(EXtensibleMarkup Language,可扩展置标语言)在不同的系统间交换认证信息和授权信息;SAML支持可扩展机制,允许开发者对其中一些元素进行扩展。在SAML包括两种实现Web SSO的认证授权方式,SSO定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。实现Web SSO的认证授权方式由用户浏览器、源站点(一般为认证服务端)和目的站点组成。源站点和目的站点间传送断言时,采用SAML协议中定义的请求/应答消息格式。本发明实施例中构建基于SAML融合的SSO架构也就是将SAML Artifact(凭证)从会话中提取出来作为安全认证的凭证,将SAML Artifact与C/S系统内部协议进行绑定,再通过协议转换,将SAML Artifact绑定在C/S系统的通用协议上,如HTTP(Hyper Text Transfer Protocol,超文本传输协议)、SOAP(Simple Object Access Protocol,简单对象访问协议),以达到与集中认证设备通信。例如,浏览器间传送消息的HTTP URL(Uniform Resource Locations,统一资源定位器)形式为:http:/<HOST>:<PORT>/<path>/<searchpart>,其中,<HOST>:<PORT>/<path>表示站点的地址及请求文档的路径。<searchpart>采用Target=<Target>形式,用于表示目的站点的资源和指向断言的Artifact。其中,认证过程如图1所示,包括:
步骤S101,用户浏览器访问站点间传输服务(源站点),将预访问资源携带在浏览器请求信息URL的<searchpart>部分。
步骤S102,源站点收到请求后,发送应答信息(URL的<search-part>部分包含了Artifact),将用户浏览器指向目的站点。
步骤S103,用户浏览器访问目的站点,将Artifact附在URL后。
步骤S104,目的站点通过收到的Artifact向源站点请求认证需要的断言。
步骤S105,源站点根据Artifact向目的站点回复所请求的断言。
步骤S106,目的站点根据收到的断言及相关安全策略,向用户浏览器发送是否允许访问的授权应答消息。
步骤S104、步骤S105步中,源站点和目的站点间传输断言的过程对用户是透明的。传输时可使用各种传输协议,如SAML Bindings and profiles中定义的SOAP(Simple Object Access Protocol,简单对象访问协议)over HTTP。
本实施例中,融合C/S系统和B/S系统的系统架构如图2所示,包括:用户端210、支持SAML标准认证代理的服务端220(本实施例中的SAML标准认证代理由SAML proxy来实现,进行协议的转换)、以及第三方认证服务器230(该认证服务器可以是集中认证服务器,也可以是分布式认证服务器)。其中用户端中的共用凭证处214存储指向SAML断言的凭证(可采用数字证书、Cookie、文件或其它存储方式进行存储),该凭证可以被用户端的C/S系统客户端A 211、C/S系统客户端B 212选择以Client/Server模式中的客户端身份,或Browser/Server中的浏览器213身份获取。且客户端中的C/S系统客户端A 211、C/S系统客户端B 212与服务端220中的C/S系统服务端A 221、C/S系统服务端B 222一一对应,浏览器213与服务端中的B/S系统服务端223对应,用户端的客户端与浏览器共享凭证,在服务端与认证服务器的交互过程中采用统一的基于SAML标准的协议。其中,C/S架构系统与B/S架构系统的信息交互模式不同,认证流程也不完全相同。例如:B/S架构系统认证流程遵循SAML Browser/Artifact流程方式,C/S架构系统需要通过服务端的SAML proxy来完成内部协议和外部协议的转换。虽然C/S架构系统与B/S架构系统的内部协议不同,但同认证服务器交互都是在超文本传输协议上通过SAML绑定SOAP协议实现;另一方面,用户端从一种架构系统获取到凭证将该凭证保存在共用凭证处后,则在该用户端的后续单点登录、以及选择新的架构系统进行单点登录时,直接从共用凭证处获取凭证。
因此,本实施例中,用户端的客户端与浏览器共享凭证,在服务端与认证服务器的交互过程中采用统一的基于SAML的标准,实现了兼容C/S、B/S系统的与平台无关的单点登录功能,使登录操作更加方便快捷。
本发明实施例提供了一种单点登录方法,如图3所示,包括以下步骤:
步骤301,服务端接收来自用户端的认证消息,确定认证消息携带指向安全断言标记语言SAML断言的凭证。其中,用户端可以将凭证通过Cookie、数字证书、或文件的方式存储。
步骤302,服务端根据凭证获取SAML断言,根据SAML断言对用户端进行认证。其中,服务端根据凭证获取SAML断言具体包括:通过指向SAML断言的凭证从本地找到对应的SAML断言;或根据凭证从认证服务器获取对应的SAML断言。
另外,步骤302中,当用户端为客户端/服务器模式中的客户端时,且认证消息未携带凭证,则客户端/服务器模式中的服务端进行协议转换,将协议转换后的消息发送给认证服务器;客户端/服务器模式中的服务端接收认证服务器根据认证消息生成的SAML断言,接收来自所述认证服务器的指向SAML断言的凭证;客户端/服务器模式中的服务端进行协议转换,将协议转换后的消息发送给客户端。
当用户端为浏览器/服务器模式中的浏览器时,且认证消息未携带凭证,则浏览器/服务器模式中的服务端将认证消息重定向到认证服务器;浏览器/服务器模式中的服务端接收认证服务器根据认证消息生成SAML断言,接收来自所述认证服务器的指向SAML断言的凭证;浏览器/服务器模式中的服务端将凭证发送到浏览器。
在步骤302之后还可以包括:客户端认证成功后,可以向服务器发送访问请求,服务器允许该客户端登录访问。
因此,本实施例中,用户端的客户端与浏览器共享凭证,在服务端与认证服务器的交互过程中采用统一的基于SAML的标准,实现了兼容C/S、B/S系统的与平台无关的单点登录功能,使登录操作更加方便快捷。
本发明实施例从C/S架构系统与B/S架构系统两种不同的认证流程来描述,C/S系统中单点登录的流程如下:如图4所示,包括以下步骤:
步骤401,客户端查看本地共用凭证处是否已经有认证凭证,如果有则表明已经登录过,转到步骤405,否则客户端向服务端发起认证,发送认证消息(如用户名密码信息等),该认证消息为未携带指向SAML断言的凭证。客户端与服务端进行通信和信令交互的认证消息通过C/S内部协议进行承载,服务端的SAML proxy接收到认证消息后,进行协议转换,将协议转换后的消息发送给认证服务器。
步骤402,认证服务器对该第一认证消息进行判断,如果认证通过,认证服务器生成并保存SAML断言和认证凭证Artifact,Artifact是用来唯一指向一个完整的SAML断言,如果认证失败,返回错误信息。
步骤403,认证服务器将SAML断言和认证凭证Artifact发送给服务端,服务端的SAML proxy进行协议转换,将认证结果和认证凭证Artifact返回给客户端。
步骤404,客户端将Artifact提取出来,保存在共用凭证处,共用凭证Artifact可以采用Cookie、数字证书或者文件的方式进行保存。
步骤405,当第二个应用客户端选择登录时,客户端向共用凭证处获取共用凭证Artifact(该共用凭证也可以是由B/S架构中的浏览器存储在共用凭证处的凭证,通过凭证共享,完成单点登录)去服务端认证,向服务端发送认证消息,该认证消息携带凭证。
步骤406,服务端的SAML proxy获取到共用凭证Artifact后完成内外部协议的转换工作,将Artifact发送到认证服务器请求SAML断言。
步骤407,认证服务器对Artifact进行判断,如果判断是合法的Artifact,将与之唯一对应的SAML断言发送给服务端。
步骤408,服务端对SAML断言进行判断,向客户端返回认证通过信息。
步骤409,客户端认证成功后,可以向服务器发送访问请求,服务器允许该客户端登录访问。
本实施例中,用户端的客户端与浏览器共享凭证,在服务端与认证服务器的交互过程中采用统一的基于SAML的标准,实现了兼容C/S、B/S系统的与平台无关的单点登录功能,使登录操作更加方便快捷。
本实施例中B/S架构系统中单点登录的流程如图5所示,包括以下步骤:
步骤501,浏览器向服务端发送认证消息。
步骤502,服务端将认证消息重定向到认证服务器,向浏览器返回重定向消息。
步骤503,如果浏览器本地有认证凭证,则从本地获取Artifact(该共用凭证可以由其它的C/S架构的浏览器或B/S架构的客户端登录获取,实现凭证共享)。否则发起认证过程,浏览器向服务端发送认证消息(如用户名密码信息)进行登录,服务端将认证消息定向到认证服务器,认证服务器判断第二认证信息是否正确,如果正确,则认证服务器生成并保存SAML断言和认证凭证Artifact。
步骤504,认证服务器携带Artifact向用户浏览器发送重定向请求,浏览器客户端将Artifact保存在共用凭证处,共用凭证可以采用Cookie、数字证书或者文件的方式来保存Artifact。
步骤505,浏览器发送认证消息(本实施例中,C/S系统和B/S系统中携带凭证的认证消息统称为认证消息,需要注意的是:C/S系统中的认证消息通常是基于C/S系统内部协议的认证消息,而现有的B/S系统中的认证消息通常是基于SAML机制的认证消息),该认证消息携带Artifact重定向到服务端。
步骤506,服务端的SAML proxy获取到Artifact后将artifact发送到认证服务器请求SAML断言。
步骤507,认证服务器对Artifact进行判断,如果判断是合法的Artifact,将与之唯一对应的SAML断言发送给服务端。
步骤508,服务端对SAML断言进行判断,如果认证通过,则向浏览器反馈认证成功消息。
步骤509,客户端认证成功后,可以向服务器发送访问请求,服务器允许该客户端登录访问。
本实施例中,用户端的客户端与浏览器共享凭证,在服务端与认证服务器的交互过程中采用统一的基于SAML的标准,实现了兼容C/S、B/S系统的与平台无关的单点登录功能,使登录操作更加方便快捷。
综上图4、图5,在本发明实施例中,用户端本地存储有共用凭证(该公用凭证可以通过C/S或B/S系统获取)之后,用户端单点登录的方法如下,包括:
服务端接收用户端的认证消息,认证消息携带用户端通过查找得到的指向SAML断言的凭证;
服务端根据凭证获取SAML断言,根据SAML断言对用户端进行认证。
其中C/S、B/S系统的处理流程的差别主要体现在:
在C/S系统中,需要服务端进行消息的转发以及进行内部协议和外部协议的转换;而在B/S系统中,服务端进行消息的重定向处理,且现有的B/S系统也是基于SAML机制的,因此,基本流程与图1类似,其不同之处在于:浏览器从本地共用凭证处获取指向SAML断言的凭证,服务端根据该凭证直接与认证服务器进行交互,获取该SAML断言,在浏览器与服务端的交互过程中,不需要传递SAML断言,增强了系统的安全性。
本实施例中,基于SAML统一标准,实现了兼容C/S、B/S系统的与平台无关的单点登录功能,使登录操作更加方便快捷。
本发明实施例还提供一种单点登录的系统,如图6所示,包括:用户端100和服务端300,Client/Server模式中的服务端与用户端的客户端对应,Browser/Server模式中的服务端与用户端的浏览器对应;其中,用户端100,用于向服务端300发送认证消息;服务端300,用于接收来自用户端100的认证消息,当认证消息中携带指向SAML断言的凭证时,根据凭证获取SAML断言,根据SAML断言对用户端100进行认证。
单点登录的系统还包括:认证服务器500,用于生成SAML断言和指向SAML断言的凭证,存储SAML断言和指向SAML断言的凭证,SAML断言和指向SAML断言的凭证供服务端300调用。
本发明实施例还提供了一种网络装置,可以作为用户端,如图7所示,包括:查找模块110,用于查找指向SAML断言的凭证;认证消息发送模块130,用于向服务端300发送认证消息,当查找模块110查找到凭证时,认证消息中携带凭证,当查找模块110没查找到凭证时,认证消息中不携带凭证。共享模块150,用于从认证服务器获取指向SAML断言的凭证,存储所述指向SAML断言的凭证,供查找模块110查找。用户端可以是:计算机、服务器、网关、路由器、移动终端等。
本发明实施例还提供了一种网络装置,可以作为服务端,包括:接收模块310,用于接收来自用户端100的认证消息;SAML断言获取模块330,用于当认证消息中携带指向SAML断言的凭证时,根据认证消息中的凭证获取SAML断言;认证模块350,用于根据SAML断言对用户端100进行认证。凭证获取模块370,用于当认证消息中未携带指向SAML断言的凭证时,从认证服务器500获取SAML断言和指向SAML断言的凭证,将凭证发送给用户端100。
凭证获取模块370具体包括:
第一凭证获取子模块,用于当用户端为客户端/服务器模式中的客户端时,对所述认证消息进行协议转换,将协议转换后的消息发送给认证服务器,接收来自认证服务器的由认证服务器根据认证消息生成的SAML断言,接收来自所述认证服务器的指向SAML断言的凭证;或
第二凭证获取子模块,用于当用户端为浏览器/服务器模式中的浏览器时,将认证消息重定向到认证服务器,接收来自认证服务器的由认证服务器根据认证消息生成SAML断言,接收来自所述认证服务器的指向SAML断言的凭证。
SAML断言获取模块330具体包括:
第一SAML断言获取子模块,用于通过指向SAML断言的凭证从本地查找对应的SAML断言;或者
第二SAML断言获取子模块,用于根据凭证从认证服务器获取对应的SAML断言。
其中,Browser/Server模式中的服务端与Client/Server模式中的服务端结构类似,其不同之处在于:Browser/Server模式中的服务端本身就是基于SAML机制的(接收到认证消息后解析和认证的过程与Client/Server方式类似),且当认证消息不携带凭证时,对该认证消息进行重定向处理。服务端可以是:计算机、服务器、网关、路由器、移动终端等。
本发明实施例中,基于SAML统一标准,采用Artifact机制以避免直接传输SAML断言,提高了认证的速率,实现了兼容C/S、B/S系统的与平台无关的单点登录功能。方便后续的其他厂商的B/S系统和C/S系统根据该SAML统一标准融合到SSO系统中。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以可借助软件加必要的通用硬件平台的方式来实现基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (16)
1、一种单点登录方法,其特征在于,包括:
接收来自用户端的认证消息,确定所述认证消息携带指向安全断言标记语言SAML断言的凭证;
根据所述凭证获取所述SAML断言,根据所述SAML断言对所述用户端进行认证。
2、如权利要求1所述的方法,其特征在于,所述根据所述凭证获取所述SAML断言包括:
通过指向SAML断言的凭证从本地查找对应的SAML断言;或者,
根据所述凭证从认证服务器获取对应的SAML断言。
3、如权利要求1所述的方法,其特征在于,所述用户端包括单个或多个:客户端/服务器模式中的客户端、或浏览器/服务器模式中的浏览器;所述客户端/服务器模式中的客户端与客户端/服务器模式中的服务端对应,所述浏览器/服务器模式中的浏览器与浏览器/服务器模式中的服务端对应。
4、如权利要求3所述的方法,其特征在于,当所述用户端为客户端/服务器模式中的客户端,且所述认证消息未携带所述凭证时,则
所述客户端/服务器模式中的服务端进行协议转换,将协议转换后的消息发送给认证服务器;
所述客户端/服务器模式中的服务端接收所述认证服务器根据所述认证消息生成的SAML断言,接收来自所述认证服务器的指向所述SAML断言的凭证。
5、如权利要求4所述的方法,其特征在于,接收所述认证服务器根据所述认证消息生成的SAML断言,接收来自所述认证服务器的指向所述SAML断言的凭证之后还包括:
所述客户端/服务器模式中的服务端进行协议转换,将协议转换后的SAML断言的凭证发送给发送到所述客户端。
6、如权利要求3所述的方法,其特征在于,当所述用户端为浏览器/服务器模式中的浏览器,且所述认证消息未携带所述凭证时,则
所述浏览器/服务器模式中的服务端将所述认证消息重定向到认证服务器;
所述浏览器/服务器模式中的服务端接收所述认证服务器根据所述认证消息生成SAML断言,接收来自所述认证服务器的指向所述SAML断言的凭证。
7、如权利要求6所述的方法,其特征在于,所述浏览器/服务器模式中的服务端接收所述认证服务器根据所述认证消息生成SAML断言,接收来自所述认证服务器的指向所述SAML断言的凭证之后还包括:
所述浏览器/服务器模式中的服务端将所述凭证发送到所述浏览器。
8、如权利要求1至7中任一项所述的方法,其特征在于,还包括:
所述用户端将所述凭证以Cookie、或数字证书、或文件的方式存储。
9、一种网络系统,其特征在于,包括:
用户端,用于向服务端发送认证消息;
服务端,用于接收来自所述用户端的认证消息,当所述认证消息中携带指向SAML断言的凭证时,根据所述凭证获取所述SAML断言,根据所述SAML断言对所述用户端进行认证。
10、如权利要求9所述的系统,其特征在于,还包括:
认证服务器,用于生成所述SAML断言和指向所述SAML断言的凭证,存储所述SAML断言和指向所述SAML断言的凭证,所述SAML断言和指向所述SAML断言的凭证供所述服务端调用。
11、一种网络装置,其特征在于,包括:
查找模块,用于查找指向SAML断言的凭证;
认证消息发送模块,用于向服务端发送认证消息,当所述查找模块查找到所述凭证时,所述认证消息中携带所述凭证。
12、如权利要求11所述的网络装置,其特征在于,还包括:
共享模块,用于从认证服务器获取指向SAML断言的凭证,存储所述指向SAML断言的凭证,供所述查找模块查找。
13、一种网络装置,其特征在于,包括:
接收模块,用于接收来自用户端的认证消息;
SAML断言获取模块,用于当所述认证消息中携带指向SAML断言的凭证时,根据所述认证消息中的凭证获取所述SAML断言;
认证模块,用于根据所述SAML断言对所述用户端进行认证。
14、如权利要求13所述的网络装置,其特征在于,还包括:
凭证获取模块,用于当所述认证消息中未携带指向SAML断言的凭证时,从认证服务器获取SAML断言和指向所述SAML断言的凭证,将所述凭证发送给用户端。
15、如权利要求14所述的网络装置,其特征在于,所述凭证获取模块包括:
第一凭证获取子模块,用于当所述用户端为客户端/服务器模式中的客户端时,对所述认证消息进行协议转换,将协议转换后的消息发送给给认证服务器,接收来自所述认证服务器的由认证服务器根据所述认证消息生成的SAML断言,接收来自所述认证服务器指向所述SAML断言的凭证;或
第二凭证获取子模块,用于当所述用户端为浏览器/服务器模式中的浏览器时,将所述认证消息重定向到认证服务器,接收来自所述认证服务器的由认证服务器根据所述认证消息生成SAML断言,接收来自所述认证服务器指向所述SAML断言的凭证。
16、如权利要求14所述的网络装置,其特征在于,所述SAML断言获取模块包括:
第一SAML断言获取子模块,用于通过指向SAML断言的凭证从本地查找对应的SAML断言;或者,
第二SAML断言获取子模块,用于根据所述凭证从认证服务器获取对应的SAML断言。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810210044A CN101656609A (zh) | 2008-08-22 | 2008-08-22 | 一种单点登录方法、系统及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810210044A CN101656609A (zh) | 2008-08-22 | 2008-08-22 | 一种单点登录方法、系统及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101656609A true CN101656609A (zh) | 2010-02-24 |
Family
ID=41710717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810210044A Pending CN101656609A (zh) | 2008-08-22 | 2008-08-22 | 一种单点登录方法、系统及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101656609A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102655494A (zh) * | 2011-03-01 | 2012-09-05 | 广州从兴电子开发有限公司 | 一种基于saml的单点登录模式设计的认证平台 |
CN102739658A (zh) * | 2012-06-16 | 2012-10-17 | 华南师范大学 | 一种单点登录的离线验证方法 |
CN104506542A (zh) * | 2014-12-29 | 2015-04-08 | 深圳中兴网信科技有限公司 | 安全认证方法和安全认证系统 |
CN104917728A (zh) * | 2014-03-13 | 2015-09-16 | 盈止道明(北京)科技发展有限公司 | 一种跨终端的单点登录系统的实现方法 |
CN104994102A (zh) * | 2015-07-08 | 2015-10-21 | 浪潮软件股份有限公司 | 一种基于反向代理的企业信息系统认证和访问控制的方法 |
CN106850513A (zh) * | 2015-12-03 | 2017-06-13 | 山大鲁能信息科技有限公司 | 一种家校通应用系统的单点登录方法及其装置 |
CN107835165A (zh) * | 2017-10-27 | 2018-03-23 | 北京慧点科技有限公司 | 单点登陆的系统及方法 |
CN107846408A (zh) * | 2017-11-17 | 2018-03-27 | 北京汉王智远科技有限公司 | 基于云平台的身份认证系统及方法 |
CN110971585A (zh) * | 2018-09-28 | 2020-04-07 | 柯尼卡美能达美国研究所有限公司 | 安全断言标记语言服务提供商发起的单点登录方法和系统 |
CN111245795A (zh) * | 2019-12-31 | 2020-06-05 | 熵加网络科技(北京)有限公司 | 一种保护企业信息资产的单点登录方法 |
CN113630377A (zh) * | 2015-06-15 | 2021-11-09 | 安维智有限公司 | 托管移动设备的单点登录 |
-
2008
- 2008-08-22 CN CN200810210044A patent/CN101656609A/zh active Pending
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102655494B (zh) * | 2011-03-01 | 2017-04-12 | 瑞典爱立信有限公司 | 一种基于saml的单点登录模式设计的认证平台 |
CN102655494A (zh) * | 2011-03-01 | 2012-09-05 | 广州从兴电子开发有限公司 | 一种基于saml的单点登录模式设计的认证平台 |
CN102739658B (zh) * | 2012-06-16 | 2015-09-30 | 华南师范大学 | 一种单点登录的离线验证方法 |
CN102739658A (zh) * | 2012-06-16 | 2012-10-17 | 华南师范大学 | 一种单点登录的离线验证方法 |
CN104917728A (zh) * | 2014-03-13 | 2015-09-16 | 盈止道明(北京)科技发展有限公司 | 一种跨终端的单点登录系统的实现方法 |
CN104506542A (zh) * | 2014-12-29 | 2015-04-08 | 深圳中兴网信科技有限公司 | 安全认证方法和安全认证系统 |
CN113630377A (zh) * | 2015-06-15 | 2021-11-09 | 安维智有限公司 | 托管移动设备的单点登录 |
CN104994102A (zh) * | 2015-07-08 | 2015-10-21 | 浪潮软件股份有限公司 | 一种基于反向代理的企业信息系统认证和访问控制的方法 |
CN106850513A (zh) * | 2015-12-03 | 2017-06-13 | 山大鲁能信息科技有限公司 | 一种家校通应用系统的单点登录方法及其装置 |
CN107835165A (zh) * | 2017-10-27 | 2018-03-23 | 北京慧点科技有限公司 | 单点登陆的系统及方法 |
CN107835165B (zh) * | 2017-10-27 | 2021-05-28 | 北京慧点科技有限公司 | 一种单点登录的系统及方法 |
CN107846408A (zh) * | 2017-11-17 | 2018-03-27 | 北京汉王智远科技有限公司 | 基于云平台的身份认证系统及方法 |
CN110971585A (zh) * | 2018-09-28 | 2020-04-07 | 柯尼卡美能达美国研究所有限公司 | 安全断言标记语言服务提供商发起的单点登录方法和系统 |
CN111245795A (zh) * | 2019-12-31 | 2020-06-05 | 熵加网络科技(北京)有限公司 | 一种保护企业信息资产的单点登录方法 |
CN111245795B (zh) * | 2019-12-31 | 2021-11-26 | 北京升鑫网络科技有限公司 | 一种保护企业信息资产的单点登录方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101656609A (zh) | 一种单点登录方法、系统及装置 | |
US10382434B2 (en) | Actively federated mobile authentication | |
CN103475726B (zh) | 一种虚拟桌面管理方法、服务器和客户端 | |
EP2307982B1 (en) | Method and service integration platform system for providing internet services | |
CN101388773B (zh) | 身份管理平台、业务服务器、统一登录系统及方法 | |
CN101420416B (zh) | 身份管理平台、业务服务器、登录系统及方法、联合方法 | |
CN101588390B (zh) | 提高集中认证服务系统业务黏性的方法及负载均衡设备 | |
JP4867486B2 (ja) | 制御プログラムおよび通信システム | |
CN102984169A (zh) | 单点登录方法、设备及系统 | |
US20090158392A1 (en) | Dynamic authentication gateway | |
CN105592003B (zh) | 一种基于通知的跨域单点登录方法及系统 | |
US20040064687A1 (en) | Providing identity-related information and preventing man-in-the-middle attacks | |
US9232338B1 (en) | Server-paid internet access service | |
CN105007280A (zh) | 一种应用登录方法和装置 | |
CN101355527A (zh) | 一种跨域名单点登录的实现方法 | |
CN102638454A (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
CN101873332B (zh) | 一种基于代理服务器的web认证方法和设备 | |
CN104065616A (zh) | 单点登录方法和系统 | |
JP2005538434A (ja) | 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム | |
CN109347864B (zh) | 基于虚拟专用网络的单点登录方法及装置 | |
CN108259457B (zh) | 一种web认证方法及装置 | |
CN110401641A (zh) | 用户认证方法、装置、电子设备 | |
CN103023856A (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
CN103634111B (zh) | 单点登录方法和系统及单点登录客户端 | |
CN102739678A (zh) | 单点登录处理系统和单点登录处理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20100224 |