务系统时候,如果cookie未失效不需要进行身份验证,可以直接访问资源。
[0042]2.非域终端访问Portal后访问资源
[0043]用户通过本地认证到非域终端,非域终端通过AD控制器中的用户名和密码或者证书实现单点登录到门户Portal,当用户第一次通过域终端访问Portal时,Portal会发出请求向私有SSO票据服务端获取票据,票据服务端直接为该用户生成票据,将票据发送给业务系统或者资源系统,业务系统发送给私有SSO票据服务端进行验证票据并兑换用户名,兑换用户名成功后可以访问资源,并自动生成和存储一个与之对应的cookie,下次访问该业务系统或其它业务系统时候,如果cookie未失效不需要进行身份验证,可以直接访问资源。
[0044]3.域终端直接访问资源
[0045]用户通过AD控制器认证到域终端,直接访问业务系统或者资源系统,由于没有认证,业务系统会重定向到Portal的AD控制器单点登录,通过域控服务器中的用户名和密码或者证书实现单点登录到Portal,当用户第一次通过域终端访问Portal时,Portal会发出请求向私有SSO票据服务端获取票据,票据服务端直接为该用户生成票据,将票据发送给业务系统或者资源系统,业务系统发送给私有SSO票据服务端进行验证票据并兑换用户名,兑换用户名成功后可以访问资源,并自动生成和存储一个与之对应的cookie,下次访问该业务系统或其它业务系统时候,如果cookie未失效不需要进行身份验证,可以直接访问资源。
[0046]4)非域终端直接访问资源
[0047]用户通过本地认证到非域终端,直接访问业务系统或者资源系统,由于没有私有票据认证,业务系统会重定向到Portal的AD控制器单点登录,通过域控服务器中的用户名和密码或者证书实现单点登录到Portal,当用户第一次通过域终端访问Portal时,Portal会发出请求向私有SSO票据服务端获取票据,票据服务端直接为该用户生成票据,将票据发送给业务系统或者资源系统,业务系统发送给私有SSO票据服务端进行验证票据并兑换用户名,兑换用户名成功后可以访问资源,并自动生成和存储一个与之对应的cookie,下次访问该业务系统或其它业务系统时候,如果cookie未失效不需要进行身份验证,可以直接访问资源。
[0048]门户Portal通过访问私有SSO票据服务的申请票据接口 http://[WebServicelP]/DTSSO TicketService/services/DTSSOTicketService/exchangeTicket申请票据,其中数据格式如下:
[0049]其中userADname是域用户名
[0050]〈soapenv:Envelope xmlns:soapenv = "http://schemas.xmlsoap.0rg/soap/envelope/〃xmlns: tic = ^http://ticket.com〃>[0051 ]〈soapenv: Header/〉
[0052]〈soapenv: Body〉
[0053]〈tic:CreateTicket>
[0054]<userADname>DT\Administrator</userADname>
[0055]〈/tic:CreateTicket>
[0056]</soapenv: Body〉
[0057]</soapenv: Envelope)
[0058]返回的票据结果如下:
[0059]其中return标签数据为返回的票据的Base64编码
[0060]〈soap: Envelope xmlns: soap = ,,http://schemas.xmlsoap.0rg/soap/envelope/,)
[0061]〈soap: Body〉
[0062]<ns2:CreateTicketResponse xmlns:ns2 = 〃http://ticket.com〃>
[0063]<return>CHSJAJYEEDSSASSDKJFLD = = 〈/return〉
[0064]</ns2:CreateTicketResponse>
[0065]</soap: Body〉
[0066]</soap: Envelope〉
[0067]门户Portal携带申请到的私有SSO票据访问业务系统,业务系统访问私有SSO票据服务的兑换票据接口
[0068]http://[WebServicelP]/DTSSOTicketService/services/DTSSOTicketService/exchangeTicket兑换私有域用户名,其数据格式如下:
[0069]其中ticket标签内容为私有SSO票据的Base64编码
[0070]〈soapenv: Envelope xmlns: soapenv = ,,http://schemas, xml soap, org/ soap/envelope/,,
[0071]xmlns:tic = ,,http://ticket.com?>
[0072]〈soapenv: Header/〉
[0073]〈soapenv: Body〉
[0074]〈tic:obtainUserByTicket>
[0075]<ticket>CHSJAJYEEDSSASSDKJFLD = = 〈/ticket〉
[0076]〈/tic:obtainUserByTicket>
[0077]</soapenv: Body〉
[0078]</soapenv: Envelope)
[0079]返回的私有域用户名结果如下:
[0080]其中return标签内容是私有域用户名的Base64编码
[0081]<soap:Envelopexmlns: soap = ,,http://schemas.xmlsoap.0rg/soap/envelope/,)
[0082]〈soap: Body〉
[0083]<ns2:obtainUserByTicketResponse xmlns:ns2 = 〃http://ticket.com〃>
[0084]<return>Y2hlbmppZQ = =〈/return〉
[0085]</ns2:obtainUserByTicketResponse)
[0086]</soap: Body〉
[0087]</soap: Envelope〉
[0088]本发明中,单点登录实现多元化资源整合,不限业务资源类型(B/S、C/S)和业务资源认证方式现状,对于不同层面的资源采用不同的整合方式,整合方式多样性(如接口整合、插件整合、代填配置等),资源整合便捷,降低开发成本。
【主权项】
1.一种基于AD域的资源访问控制方法,其特征在于:包括以下步骤: ⑴用户访问系统资源前首先进行AD域身份认证; ⑵AD域身份认证通过后,门户Portal向私有SSO票据服务申请票据;若AD域身份认证失败,提示无法访问系统; ⑶用户携票据访问系统资源,系统资源向私有SSO票据服务兑换票据; ⑷若票据兑换成功,返回用户账号类信息,允许访问系统资源;若票据兑换失败,提示无法访问系统资源; (5)系统资源缓存Cookie,若Cookie未失效,用户可访问资源且不需要重新兑换票据。2.根据权利要求1所述的一种基于AD域的资源访问控制方法,其特征在于:步骤⑴所述的用户通过AD域终端或非AD域终端访问门户Portal并被重定向至AD域控制器进行身份认证。3.根据权利要求1所述的一种基于AD域的资源访问控制方法,其特征在于:步骤⑴所述的用户通过AD域终端或非AD域终端访问系统资源并被重定向至AD域控制器进行身份认证。4.根据权利要求1所述的一种基于AD域的资源访问控制方法,其特征在于:步骤⑴所述的AD域控制器预先存储用户口令信息或用户智能卡信息。
【专利摘要】本发明涉及一种基于AD域的资源访问控制方法,⑴用户访问系统资源前首先进行AD域身份认证;⑵AD域身份认证通过后,门户Portal向私有SSO票据服务申请票据;若AD域身份认证失败,提示无法访问系统;⑶用户携票据访问系统资源,系统资源向私有SSO票据服务兑换票据;⑷若票据兑换成功,返回用户账号类信息,允许访问系统资源;若票据兑换失败,提示无法访问系统资源;⑸系统资源缓存Cookie,若Cookie未失效,用户可访问资源且不需要重新兑换票据。本发明中,单点登录实现多元化资源整合,不限业务资源类型(B/S、C/S)和业务资源认证方式现状,对于不同层面的资源采用不同的整合方式,整合方式多样性(如接口整合、插件整合、代填配置等),资源整合便捷,降低开发成本。
【IPC分类】H04L29/06
【公开号】CN105141580
【申请号】CN201510446218
【发明人】李忠献, 崔军, 王金海, 朱勋, 尘杰, 张德强, 栗李川
【申请人】天津灵创智恒软件技术有限公司
【公开日】2015年12月9日
【申请日】2015年7月27日