技術領域

本發明屬于對Web應用的整合管理技術領域，涉及一種基于SAML的跨域單點登錄系統，還涉及上述跨域單點登錄系統的跨域單點登錄方法。

背景技術

單點登錄機制由單點登錄的服務器端(server)和集成在參與單點登錄應用端的客戶端(client)組成。公知的單點登錄機制基本上采用票據的形式，來存儲用戶在首次認證通過后的相關信息，具體操作流程為：對于多應用系統，當用戶首次訪問某個應用時，首先被引導到認證中心進行系統登錄，根據用戶登錄信息，認證中心進行身份驗證；如果驗證通過，認證中心向用戶返回票據(ticket)；那么用戶再次訪問其他應用時會自動攜帶該票據，作為認證的憑據，當應用接收到用戶的訪問請求之后首先把ticket送到認證中心進行效驗，檢查ticket是否合法；如果驗證合法，用戶不需要重新登陸即可訪問其他應用，稱之為“一次登錄，多方認證”。

目前，單點登錄領域比較流行的解決方案是Yale大學發起的認證系統，稱為CAS，即為Center Authentication Service,其原理與上述單點登錄機制相同。現有技術的不足是只能解決域內的單點登錄，并未提出對于多域認證的整合，在多級域的情況下，存在用戶即屬于子域A又屬于子域B的情況。而用戶在訪問所擁有的A、B域的應用時，需要通過不同的A、B域入口進行訪問。并且現有的技術并未將權限的判斷放入到單點登錄中，即就是用戶可以進入應用，但不能控制用戶進入應用的細粒度。

發明內容

本發明的目的是提供一種基于SAML的跨域單點登錄系統，解決了現有技術中存在的同一用戶訪問不同域時需要通過不同的域入口分別登錄及不能控制用戶進入應用的細粒度的技術問題。

本發明還提供上述跨域單點登錄系統的跨域單點登錄方法。

本發明提供的第一技術方案是，一種基于SAML的跨域單點登錄系統，包括跨域訪問中心模塊、域內單點登錄子系統模塊、用戶管理子系統模塊和域內單點登錄控制中心模塊；跨域訪問中心模塊，用于同步用戶數據、域ID生成、多級域訪問認證接口的管理；域內單點登錄子系統，用于在用戶進行多級域登錄時對用戶進行認證，并返回用戶可以訪問的若干個多級域；用戶管理子系統模塊用于用戶在域內訪問應用時，進行域內應用訪問權限的分配，并對用戶的HTTP訪問請求進行攔截，將請求內容與用戶票據中的權限信息進行比對，實現對于用戶訪問權限的控制；域內單點登錄控制中心模塊是用于配置域內單點登錄的模塊，其包括對多級域ID注冊、域內單點登錄子系統認證源的配置。

本發明的第一技術方案的特點還在于，

跨域訪問中心模塊包括跨域用戶數據映射同步模塊、多級域域ID生成模塊、多級域訪問認證接口模塊；跨域用戶數據映射同步模塊為跨域訪問中心發布用戶數據的同步接口，用于將域ID信息與用戶的映射信息進行封裝，一并同步到跨域訪問中心；多級域域ID模塊是用于生成多級域的唯一標識，包括多級域ID的生成；多級域訪問認證接口模塊用于提供多級域唯一的統一認證源，包括數據比對、數據解析，用于將多級域的用戶通過用戶數據映射的方式同步到統一認證源中。

本發明提供的另一技術方案是，上述跨域單點登錄系統的跨域單點登錄的方法，包括以下步驟：

步驟1，跨域認證注冊，詳細步驟如下，

1.1.部署域內單點登錄系統：利用用戶管理子系統模塊分別錄入用戶數據，即用戶名和密碼，錄入的用戶數據需要以用戶的身份證號為唯一標識信息，這樣便于在將用戶數據同步到跨域訪問中心時，提供可依據的用戶映射關系；

1.2.為分布的域內單點登錄系統申請域ID，由域內單點登錄系統管理員利用多級域域ID模塊申請該域單點登錄系統SSOID，多級域域ID模塊通過跨域訪問中心提供的域ID生成接口，將域ID生成，同時保留在跨域訪問中心和子域的存儲中，便于在提供數據訪問、數據同步過程中，表示用戶數據的來源，域內單點登錄子系統的描述信息；

1.3.由域內單點登錄系統管理員將域內單點登錄子系統的用戶數據進行數據同步，在用戶的映射數據同步過程中，將域ID信息與用戶的映射信息進行封裝，一并同步到跨域訪問中心，這樣就標識了在跨域訪問中心的每個用戶映射數據的數據來源，然后由跨域用戶數據映射同步模塊的數據接口進行接收，處理用戶數據映射關系；

1.4.在域內單點登錄控制中心模塊，將域內的認證模式由域內認證設置為跨域單點登錄；

步驟2，進行跨域認證服務，實現用戶跨域單點登錄，具體步驟如下：