單點(diǎn)登陸(Single Sign-On)標(biāo)準(zhǔn)的范圍(在這里稱(chēng)做 XSSO),定義如下支持的服務(wù):
???
??? 為企業(yè)的應(yīng)用開(kāi)發(fā)提供通用的、單一的終端用戶(hù)登陸接口,并且并行管理多用戶(hù)帳號(hào)基礎(chǔ)信息的應(yīng)用開(kāi)發(fā)是由企業(yè)來(lái)維護(hù)的。
???
功能目標(biāo)
???
??? 用戶(hù)登陸接口
???
??? 為實(shí)現(xiàn)用戶(hù)登陸接口,XSSO 應(yīng)該支持下列功能目標(biāo):
???
??? 接口應(yīng)該與驗(yàn)證信息的處理類(lèi)型無(wú)關(guān)。
??? 提供更改受控用戶(hù)驗(yàn)證信息的功能。這意味著在最初更改用戶(hù)密碼會(huì)受到限制,當(dāng)然不排除將來(lái)對(duì)其提供這種功能。
??? 提供為調(diào)用者建立默認(rèn)用戶(hù)屬性的支持。目前還不用從一組可用的用戶(hù)屬性選項(xiàng)來(lái)選擇這些用戶(hù)屬性,當(dāng)然不排除今后提供這種功能。
??? 當(dāng)會(huì)話(huà)終止、注銷(xiāo)時(shí)提供默認(rèn)的清除服務(wù)。
??? 提供一種能讓調(diào)用者通過(guò)從除該 XSSO 實(shí)現(xiàn)以外的應(yīng)用通知 XSSO 實(shí)現(xiàn)改變受控用戶(hù)驗(yàn)證信息的服務(wù)。
??? XSSO 不能預(yù)先確定第二次登陸操作的時(shí)間。
??? 注意:做為主登陸操作,意味著 XSSO 將不需要所有登陸操作同時(shí)執(zhí)行。這將導(dǎo)致用戶(hù)會(huì)話(huà)在所有可能的服務(wù)中被創(chuàng)建,即便某些服務(wù)用戶(hù)并沒(méi)有實(shí)際的使用。
???
??? 用戶(hù)帳號(hào)管理接口
為了實(shí)現(xiàn)用戶(hù)帳號(hào)管理接口,XSSO 應(yīng)該支持下列功能目標(biāo):
???
??? 提供創(chuàng)建、刪除、修改用戶(hù)帳號(hào)的功能。
??? 提供為單個(gè)用戶(hù)帳號(hào)設(shè)置屬性的功能。
????
非功能性目標(biāo)
XSSO 的非功能性目標(biāo)包括:
???
??? XSSO 應(yīng)該與驗(yàn)證技術(shù)無(wú)關(guān)。接口不能指定使用特定的驗(yàn)證技術(shù),不排除使用任何可能的驗(yàn)證技術(shù)。???
??? 注意:有些驗(yàn)證技術(shù),比如按照挑戰(zhàn)響應(yīng)機(jī)制,用戶(hù)持有的設(shè)備構(gòu)成將不會(huì)在第二次登陸動(dòng)作時(shí)適用。
??? XSSO 應(yīng)該與平臺(tái)或操作系統(tǒng)無(wú)關(guān)。不排除 XSSO 會(huì)集成進(jìn)常規(guī)桌面或常用服務(wù)器系統(tǒng),甚至大型機(jī)。當(dāng)然,也可以修改一下 XSSO 再把它集成進(jìn)那些桌面或服務(wù)器系統(tǒng)。
????
安全目標(biāo)
XSSO 實(shí)現(xiàn)的安全目標(biāo)如下:
???
??? 被部署之后,XSSO 不應(yīng)反過(guò)來(lái)影響所依賴(lài)的系統(tǒng)。
??? XSSO 不應(yīng)有反過(guò)來(lái)沖擊任何獨(dú)立系統(tǒng)服務(wù)的可用性。
??? XSSO 不應(yīng)為當(dāng)事人提供訪問(wèn)用戶(hù)帳號(hào)信息的途徑,因?yàn)樗麄儾辉试S訪問(wèn)處于受控安全域之內(nèi)的那些信息。
??? 一個(gè) XSSO 實(shí)現(xiàn)要審核發(fā)生在 XSSO 上下文之內(nèi)的所有安全相關(guān)活動(dòng)。
??? 一個(gè) XSSO 實(shí)現(xiàn)要保護(hù)由 XSSO 實(shí)現(xiàn)提供或產(chǎn)生的所有安全相關(guān)信息,以便其他服務(wù)充分信任這些安全信息的完整性和原始性,以便第二次登陸操作。
??? 當(dāng)在各個(gè)組件內(nèi)部以及組件與其他服務(wù)交互時(shí),XSSO 應(yīng)提供安全相關(guān)信息保護(hù)。
????
范圍之外
在當(dāng)前的 XSSO 范圍中,以下這些方面不被考慮:
???
??? 提供跨越企業(yè)級(jí)系統(tǒng)邊界的單點(diǎn)登陸。
??? 非用戶(hù)配置驗(yàn)證信息的改變,例如磁性徽章、智能卡等等。
??? 當(dāng)?shù)顷憰r(shí)用戶(hù)屬性的可選擇性。
??? 配置和管理用戶(hù)屬性的可選集合(組)。
??? 當(dāng)下面的用戶(hù)帳號(hào)基礎(chǔ)信息由其他 XSSO 提供的功能所修改時(shí),就需要維護(hù)單點(diǎn)登陸用戶(hù)帳號(hào)基礎(chǔ)信息以及下面獨(dú)立維護(hù)的用戶(hù)帳號(hào)基礎(chǔ)信息的完整性。
??? 圖形化和命令行用戶(hù)界面 XSSO 的基礎(chǔ)服務(wù)。這個(gè)工具可以是 XSSO 的一部分。
???
???
譯者注
典型的挑戰(zhàn)響應(yīng)機(jī)制應(yīng)用在 HMAC(Keyed-Hashing for Message Authentication) 驗(yàn)證中。驗(yàn)證流程如下:
??? (1) 先由客戶(hù)端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求。
??? (2) 服務(wù)器接到此請(qǐng)求后生成一個(gè)隨機(jī)數(shù)并通過(guò)網(wǎng)絡(luò)傳輸給客戶(hù)端(此為挑戰(zhàn))。
??? (3) 客戶(hù)端將收到的隨機(jī)數(shù)提供給 ePass,由 ePass 使用該隨機(jī)數(shù)與存儲(chǔ)在 ePass 中的密鑰進(jìn)行 HMAC-MD5 運(yùn)算并得到一個(gè)結(jié)果作為認(rèn)證證據(jù)傳給服務(wù)器(此為響應(yīng))。
??? (4) 與此同時(shí),服務(wù)器也使用該隨機(jī)數(shù)與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中的該客戶(hù)密鑰進(jìn)行 HMAC-MD5 運(yùn)算,如果服務(wù)器的運(yùn)算結(jié)果與客戶(hù)端傳回的響應(yīng)結(jié)果相同,則認(rèn)為客戶(hù)端是一個(gè)合法用戶(hù)。
請(qǐng)注意!引用、轉(zhuǎn)貼本文應(yīng)注明原譯者:Rosen Jiang 以及出處:http://m.tkk7.com/rosen