Oracle的單點登入解決方案(Single Sign-On Solution)
Single Sign-On(SSO)即單點登入,在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。在此條件下,管理員無需修改或干涉使用者登入就能方便的實施希望得到的安全控制。
Oracle現有兩套單點登入的解決方案:Oracle Access Manager,Oracle
Single Sign-On Server (OSSO)。
Oracle官方推薦Access Manager作為SSO的解決方案,Oracle Single Sign-On Server的高階使用者最終也會建議遷移到Oracle Access Manager解決方案上。
(來源:Note
1461465.2
OAM SSO實現方式有兩種:一種是通過OAM Agent(WebGate),另外一種是使用OSSO Agents(mod_osso)
1.) 使用OAM Agent(WebGate代理),然後和Oracle E-Business Suite Access Gate整合(此處以EBS為例).
WebGate是Web伺服器的一個外掛,用於攔截HTTP請求,並把請求導向Oracle Access Manager (OAM)來獲取使用者認證。
OAM SSO登陸的過程描述:
When a user tries to access a protected application, the request is received by OAM which checks for the existence of the SSO cookie.
After authenticating the user and setting up the user context and token, OAM sets the SSO cookie and encrypts the cookie with the SSO Server key (which can be decrypted only by the SSO Engine).
Depending on the actions (responses in OAM 11g) specified for authentication success and authentication failure, the user may be redirected to a specific URL, or user information might be passed on to other applications through a header variable or a cookie value.
Based on the authorization policy and results of the check, the user is allowed or denied access to the requested content. If the user is denied access, she is redirected to another URL (specified by the administrator in Webgate registration).
可以看到,Oracle OAM通過Cookie儲存使用者的資訊,進而通過Cookie來實現單點訪問授信站點。
2.) 使用mod_osso代理,這種方法只適用於從Oracle Single Sign-On Server 10gR3升級上來的使用者。
詳細見:中的“About
SSO Login Log In Processing with OSSO Agents (mod_osso)”http://blog.csdn.net/smilingleo/article/details
關於Cookie
Cookies就是伺服器暫存放在你的電腦裡的資料( 使用者ID,密碼、瀏覽過的網頁、停留的時間等資訊),好讓伺服器用來辨認你的計算機。 當你在瀏覽網站的時候,Web伺服器會先送一小小資料放在你的計算機上,Cookies 會幫你在網站上一些內容都記錄下來。當下次你再訪問同一個網站,Web伺服器會先看看有沒有它上次留下的Cookies資料,有的話,就會 依據Cookie裡的內容來判斷使用者,送出特定的網頁內容給你。
一般來說,Cookie通過HTTP Headers從伺服器端返回到瀏覽器上。IE Cookies 資料夾路徑保存於登錄檔:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
連結文章