AneSSO统一权限验证系统

身份认证/访问控制

1、aneSSO方案的设计前提

aneSSO的解决方案是基于Web应用的单点登陆解决方案  aneSSO方案无法解决桌面SSO  aneSSO方案要求所有SSO的登陆子系统均为完全可控  aneSSO方案采用服务器Session（必用）+客户端Cookie（选用）  aneSSO方案为跨域SSO解决方案  aneSSO下子系统的Web服务没有限制

2、aneSSO整体效果-直观效果

传统SSO效果

3、aneSSO整体效果-直观效果

aneSSO扩展效果

4、aneSSO整体效果-认证效果

统一认证（单服务器、多服务器）  分散（多点）认证【可支持普通登陆】  混合认证【可支持普通登陆】

5、aneSSO整体效果-权限效果

集中权限控制  分散权限控制

6、aneSSO方案设计原理-概要

总体设计思想  逻辑流程  几个特例流程放大 （复活、多点密码权限修改等）  SAML Web服务架构（认证统一）  用户体验的保证—Ane Iframe Ajax跨域特性保证效果

7、aneSSO方案设计原理-总体设计思想

8、aneSSO方案设计原理-逻辑流程

首次登录SPm

（典型流程）已登录，SPk跳转SPm，aneSSO状态失效

已登录，访问SPm  问题？ 通过aneSSO服务直接跳转？  aneSSO状态有效？  直接输入进入SPj，而且aneSSO状态无效？  在Cookie可用情况下，性能更好？ 注销，轻量级注销方式 点击注销  从客户端发“注销消息”到IDP、SPi  IDP、SPi各自清除自身状态 分散（多点）用户映射设置 集中认证没有此项操作  在一个SSO账户下设置SPi对应账户  验证成功添加映射项

9、aneSSO方案设计原理—密码、权限修改

分散（多点）用户密码、权限修改 集中认证没有此项操作  在一个SSO账户下的SPi对应账户密码、权限修改  登录时，确认对应映射项目是否有效  无效->提示重新设置->转向重新设置 分散（多点）用户映射设置

10、aneSSO方案设计原理—SAML Web服务架构

SAML Web服务架构（认证统一）

11、aneSSO方案设计原理—用户体验的保证

Ane Iframe Ajax跨域特性保证效果

12、aneSSO方案设计核心与关键

安易状态同步层

SAML Web服务接口

13、aneSSO扩展登陆模式实现步骤

步骤一 隐藏并取消aneSSO服务器  步骤二 设置aneSSO模块参数  步骤沈阳小程序定制

三 分散外挂到aneSSO框架状态同步层  步骤四 在信任列表中设置SSO服务提供者

14、aneSSO安全防范策略-Hack

传输截获—SSL  Ticket被“看”，到“其他机器”模拟登陆—安易特有后台SessionID握手机制  本机操作—设置恰当的Session失效时间 极限例子：Google  加密：3des  混合Hack

15、aneSSO安全防范策略-安全策略

IP地址安全策略：用户只能从指定的IP地址或者IP地址段访问系统。  时间段安全策略：用户只能在某个指定的时间段访问系统。  访问次数安全策略：累计用户的访问次数，使用户的访问次数在一定的数值范围之内。  用户登录有效时间安全策略。  其他用户定制安全策略。

16、aneSSO方案设计局限

aneSSO无法解决基于桌面应用的SSO登陆