一种单点登录方法、系统及装置的制作方法

专利名称：一种单点登录方法、系统及装置的制作方法
技术领域：
本发明涉及通信技术领域，特别是涉及一种单点登录方法、系统及装置。
背景技术：
随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。 比如在媒体行业，常见的应用系统包括采编系统、排版系统、印刷系统、广 告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系 统和网站发布系统等。由于这些系统互相独立，用户在^f吏用每个应用系统之 前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用 户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可 能性就会增加，受到非法截获和破坏的可能性也会增大，安全性会相应降低。 针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被 应用到企业应用系统中。
SSO ( Single Sign-on,单点登录)是一种方便用户访问多个系统的技术， 用户只需在登录时进行一次注册，就可以在多个系统间自由穿梭，不必重复 输入用户名和密码来确定身份。单点登录的实质就是安全上下文或凭证在多 个应用系统之间的传递或共享。当用户登录系统时，客户端软件根据用户的 凭证(例如用户名和密码)为用户建立一个安全上下文，安全上下文包含用 于验证用户的安全信息，系统用这个安全上下文和安全策略判断用户是否具 有访问系统资源的权限。
目前主要有C/S ( Client/Server，客户端/服务器)架构系统与B/S (Browser/Server，浏览器/服务器)架构系统用于实现SSO。
发明人在实现本发明的过程中发现，现有技术至少存在以下缺陷
C/S架构系统与B/S架构系统采用不同的平台、不同的信息交互模式，而 且业界厂商实现SSO方式多样，存在各种使用场景的限制，难以兼容，因此，很难实现统一 的单点登录功能。

发明内容
本发明实施例提供了一种单点登录方法、系统及装置，以兼容C/S、 B/S 架构，实现一个与平台无关的单点登录方法。
本发明实施例一方面提出一种单点登录方法，包括
接收用户端的i/^正消息，确定所述认-〖正消息携带指向安全断言标记语言 SAML断言的凭证；
根据所述凭证获取所述SAML断言，根据所述SAML断言对所述用户端 进行认证。
本发明实施例另一方面提出一种网络系统，包括 用户端，用于向月l务端发送i^〖正消息；
服务端，用于接收来自所述用户端的认证消息，当所述认证消息中携带 指向SAML断言的凭证时，根据所述凭证获取所述SAML断言，根据所述 SAML断言对所述用户端进行认证。
本发明实施例另一方面提出一种网络装置，包括
查找模块，用于查找指向SAML断言的凭证；
认证消息发送模块，用于向所述服务端发送认证消息，当所述查找模块 查找到所述凭证时，所述认证消息中携带所述凭证。 本发明实施例另一方面提出一种网络装置，包括 接收模块，用于接收来自用户端的认证消息；
SAML断言获取4莫块，用于当所述认证消息中携带指向SAML断言的凭 证时，根据所述认证消息中的凭证获取所述SAML断言；
认证模块，用于根据所述SAML断言对所述用户端进行认证。 本发明实施例的技术方案具有以下优点
基于SAML统一标准，实现了兼容C/S、 B/S系统的与平台无关的单点登 录功能，使登录操作更加方便快捷。


为了更清楚地说明本发明实施例或现有技术中的4支术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面 描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
图1为本发明实施例中一般的Browser/Artifact方式的认证过程示意图； 图2为本发明实施例中的兼容C/S、 B/S系统的单点登录的系统架构示 意图3为本发明实施例中一种单点登录方法流程图； 图4为本发明实施例中提供共用凭证的Client/Artifact方式单点登录的 认证过程示意图5为本发明实施例中提供共用凭证的Browser/Artifact方式单点登录 认证过程示意图6为本发明实施例中的Client/Artifact模式中的单点登录系统及装置 的结构示意图7为本发明实施例中一种用户端网络装置结构图； 图8为本发明实施例中一种服务端网络装置结构图。
具体实施例方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行 清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而 不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
在以下各个实施例中，网络的类型可以是移动网络、固定网络、移动固 定融合网络等，可以是局域网、城域网、广域网等。服务端和用户端可以是 计算机、服务器、网关、路由器、移动终端等。
下面结合附图和实施例，对本发明的具体实施方式
作进一步详细描述
7本发明实施例提供了一种单点登录方法，该方法基于SAML ( Security Authentication Markup Language,安全断言才示记语言)才几制，以实现用户端从 C/S系统或B/S系统单点登录。
本发明实施例中的SAML是一种与协议和平台无关的XML (Extensible Markup Language,可扩展置标语言)在不同的系统间交换i人证信息和授权信 息；SAML支持可扩展机制，允许开发者对其中一些元素进行扩展。在SAML 包括两种实现WebSSO的认证授权方式，SSO定义是在多个应用系统中，用 户只需要登录一次就可以访问所有相互信任的应用系统。实现Web SSO的认 证授权方式由用户浏览器、源站点(一般为认证服务端)和目的站点组成。 源站点和目的站点间传送断言时，采用SAML协议中定义的请求/应答消息格 式。本发明实施例中构建基于SAML融合的SSO架构也就是将SAML Artifact (凭证)从会话中提取出来作为安全认证的凭证，将SAML Artifact与C/S系 统内部协议进行绑定，再通过协议转换，将SAML Artifact绑定在C/S系统的 通用协议上，如HTTP (Hyper Text Transfer Protocol,超文本传输协议)、SOAP (Simple Object Access Protocol,简单对象访问协i义)，以达到与集中认证设 备通信。例如，浏览器间传送消息的HTTP URL (Uniform Resource Locations, 统一资源定位器)形式为http: /<HOST>: <PORT>/<path>/<searchpart>，其 中，<HOST>: 〈PORT〉/〈path〉表示站点的地址及请求文档的路径。<searchpart> 采用Target = 〈Target〉形式，用于表示目的站点的资源和指向断言的Artifact。 其中，认证过程如图l所示，包括
步骤S101，用户浏览器访问站点间传输服务(源站点)，将预访问资源携 带在浏览器请求信息URL的〈searchpart〉部分。
步骤S102,源站点收到请求后，发送应答信息(URL的〈search-part〉部 分包含了 Artifact),将用户浏览器指向目的站点。
步骤S103，用户浏览器访问目的站点，将Artifact附在URL后。 步骤S104，目的站点通过收到的Artifact向源站点请求认证需要的断言。 步骤S105,源站点根据Artifact向目的站点回复所请求的断言。 步骤S106，目的站点根据收到的断言及相关安全策略，向用户浏览器发送是否允许访问的授权应答消息。
步骤S104、步骤S105步中，源站点和目的站点间传输断言的过程对用户 是透明的。传输时可4吏用各种传输协议，如SAML Bindings and profiles中定 义的SOAP ( Simple Object Access Protocol,简单对象访问协议)over HTTP。
本实施例中，融合C/S系统和B/S系统的系统架构如图2所示，包括 用户端210、支持SAML标准认证代理的服务端220 (本实施例中的SAML 标准认证代理由SAML proxy来实现，进4亍协议的转才灸)、以及第三方认证服 务器230 (该认证服务器可以是集中认证服务器，也可以是分布式认证服务 器)。其中用户端中的共用凭证处214存储指向SAML断言的凭证(可采用数 字证书、Cookie、文件或其它存储方式进行存储)，该凭证可以被用户端的C/S 系统客户端A211、 C/S系统客户端B 212选择以Client/Server模式中的客户 端身份，或Browser/Server中的浏览器213身份荻取。且客户端中的C/S系统 客户端A 211 、 C/S系统客户端B 212与服务端220中的C/S系统服务端A 221 、 C/S系统服务端B 222——对应，浏览器213与服务端中的B/S系统服务端 223对应，用户端的客户端与浏览器共享凭证，在服务端与认证服务器的交互 过程中采用统一的基于SAML标准的协议。其中，C/S架构系统与B/S架构 系统的信息交互模式不同，认证流程也不完全相同。例如B/S架构系统认证 流程遵循SAML Browser/Artifact流程方式，C/S架构系统需要通过服务端的 SAML proxy来完成内部协议和外部协议的转换。虽然C/S架构系统与B/S架 构系统的内部协议不同，但同认证服务器交互都是在超文本传输协议上通过 SAML绑定SOAP协议实现；另一方面，用户端从一种架构系统获取到凭i正 将该凭证保存在共用凭证处后，则在该用户端的后续单点登录、以及选择新 的架构系统进行单点登录时，直接从共用凭证处获取凭证。
因此，本实施例中，用户端的客户端与浏览器共享凭证，在服务端与认 证服务器的交互过程中采用统一的基于SAML的标准，实现了兼容C/S、 B/S 系统的与平台无关的单点登录功能，使登录操作更加方便快捷。
本发明实施例提供了一种单点登录方法，如图3所示，包括以下步骤步骤301，服务端接收来自用户端的认证消息，确定认证消息携带指向安 全断言标记语言SAML断言的凭证。其中，用户端可以将凭证通过Cookie、 数字证书、或文件的方式存储。
步骤302,服务端根据凭证获取SAML断言，根据SAML断言对用户端 进行认证。其中，服务端根据凭证获取SAML断言具体包括通过指向SAML 断言的凭证从本地找到对应的SAML断言；或根据凭证从认证服务器获取对 应的SAML断言。
另外，步骤302中，当用户端为客户端/服务器才莫式中的客户端时，且认 证消息未携带凭证，则客户端/服务器模式中的服务端进行协议转换，将协议 转换后的消息发送给认证服务器；客户端/服务器模式中的服务端接收认证服 务器根据认证消息生成的SAML断言，接收来自所述认证服务器的指向 SAML断言的凭证；客户端/服务器模式中的服务端进行协议转换，将协议转 换后的消息发送给客户端。
当用户端为浏览器/服务器模式中的浏览器时，且认证消息未携带凭证， 则浏览器/服务器模式中的服务端将认证消息重定向到认证服务器；浏览器/ 服务器模式中的服务端接收认证服务器根据认证消息生成SAML断言，接收 来自所述认证服务器的指向SAML断言的凭证；浏览器/服务器模式中的服务 端将凭证发送到浏览器。
在步骤302之后还可以包括客户端认证成功后，可以向服务器发送访 问请求，服务器允许该客户端登录访问。
因此，本实施例中，用户端的客户端与浏览器共享凭证，在服务端与认 证服务器的交互过程中采用统一的基于SAML的标准，实现了兼容C/S、 B/S 系统的与平台无关的单点登录功能，使登录操作更加方便快捷。
本发明实施例从C/S架构系统与B/S架构系统两种不同的认证流程来描 述，C/S系统中单点登录的流程如下如图4所示，包括以下步骤
步骤401,客户端查看本地共用凭证处是否已经有认证凭证，如果有则表 明已经登录过，转到步骤405,否则客户端向服务端发起认证，发送认证消息 (如用户名密码信息等)，该认证消息为未携带指向SAML断言的凭证。客户端与服务端进行通信和信令交互的认证消息通过c/s内部协议进行承栽，服
务端的SAML proxy接收到认证消息后，进行协议转换，将协议转换后的消息 发送给认证服务器。
步骤402,认证服务器对该第一认证消息进行判断，如果认证通过，认证 服务器生成并保存SAML断言和认i正凭证Artifact, Artifact是用来唯一指向 一个完整的SAML断言，如果认证失败，返回4普误信息。
步骤403,认证服务器将SAML断言和认i正凭i正Artifact发送给服务端， 服务端的SAML proxy进行协议转换，将认证结果和认i正凭证Artifact返回给 客户端。
步骤404,客户端将Artifact提取出来，保存在共用凭证处，共用凭证 Artifact可以采用Cookie、数字证书或者文件的方式进4亍保存。
步骤405,当第二个应用客户端选择登录时，客户端向共用凭证处获取共 用凭证Artifact (该共用凭证也可以是由B/S架构中的浏览器存储在共用凭证 处的凭证，通过凭证共享，完成单点登录)去服务端认证，向服务端发送认 证消息，该认证消息携带凭证。
步骤406，服务端的SAML proxy获取到共用凭证Artifact后完成内外部 协议的转换工作，将Artifact发送到认证服务器请求SAML断言。
步骤407，认证服务器对Artifact进行判断，如果判断是合法的Artifact, 将与之唯一对应的SAML断言发送给服务端。
步骤408，服务端对SAML断言进行判断，向客户端返回认证通过信息。
步骤409,客户端认证成功后，可以向服务器发送访问请求，服务器允许 该客户端登录访问。
本实施例中，用户端的客户端与浏览器共享凭证，在服务端与认证服务 器的交互过程中釆用统一的基于SAML的标准，实现了兼容C/S、 B/S系统的 与平台无关的单点登录功能，使登录操作更加方便快捷。
本实施例中B/S架构系统中单点登录的流程如图5所示，包括以下步骤
步骤501,浏览器向服务端发送认证消息。
步骤502，服务端将认证消息重定向到认证服务器，向浏览器返回重定向消息。
步骤503，如果浏览器本地有认证凭证，则从本地获取Artifact (该共用 凭证可以由其它的C/S架构的浏览器或B/S架构的客户端登录获取，实现凭 证共享)。否则发起认证过程，浏览器向服务端发送i人i正消息(如用户名密码 信息)进行登录，服务端将认证消息定向到认证服务器，认证服务器判断第 二认证信息是否正确，如果正确，则认证服务器生成并保存SAML断言和认 证凭证Artifact。
步骤504，认证服务器携带Artifact向用户浏览器发送重定向请求，浏览 器客户端将Artifact保存在共用凭证处，共用凭证可以采用Cookie、数字证书 或者文件的方式来保存Artifact。
步骤505，浏览器发送认证消息(本实施例中，C/S系统和B/S系统中携 带凭证的认证消息统称为认证消息，需要注意的是C/S系统中的认证消息通 常是基于C/S系统内部协议的认证消息，而现有的B/S系统中的认证消息通 常是基于SAML机制的认证消息)，该认证消息携带Artifact重定向到服务端。
步骤506,服务端的SAML proxy获取到Artifact后将artifact发送到认证 服务器请求SAML断言。
步骤507,认证服务器对Artifact进行判断，如果判断是合法的Artifact, 将与之唯一对应的SAML断言发送给服务端。
步骤508，服务端对SAML断言进行判断，如果认证通过，则向浏览器 反々责认i正成功消息。
步骤509，客户端认证成功后，可以向服务器发送访问请求，服务器允许 该客户端登录访问。
本实施例中，用户端的客户端与浏览器共享凭证，在服务端与认证服务 器的交互过程中采用统一的基于SAML的标准，实现了兼容C/S、 B/S系统的 与平台无关的单点登录功能，使登录操作更加方便快捷。
综上图4、图5，在本发明实施例中，用户端本地存储有共用凭证(该公 用凭证可以通过C/S或B/S系统获取)之后，用户端单点登录的方法如下， 包括服务端接收用户端的认证消息，认证消息携带用户端通过查找得到的指
向SAML断言的凭i正；
月l务端才艮据凭证获取SAML断言，根据SAML断言对用户端进行i人证。
其中C/S、 B/S系统的处理流程的差别主要体现在
在C/S系统中，需要服务端进行消息的转发以及进行内部协议和外部 协议的转换；而在B/S系统中，服务端进行消息的重定向处理，且现有的 B/S系统也是基于SAML机制的，因此，基本流程与图l类似，其不同之 处在于浏览器从本地共用凭证处获取指向SAML断言的凭证，服务端根 据该凭证直接与认证服务器进行交互，获取该SAML断言，在浏览器与服 务端的交互过程中，不需要传递SAML断言，增强了系统的安全性。
本实施例中，基于SAML统一标准，实现了兼容C/S、 B/S系统的与平台 无关的单点登录功能，使登录操作更加方便快捷。
本发明实施例还提供一种单点登录的系统，如图6所示，包括用户端 100和服务端300， Client/Server才莫式中的l良务端与用户端的客户端对应， Browser/Server模式中的服务端与用户端的浏览器对应；其中，用户端100, 用于向服务端300发送认证消息；服务端300，用于4妄收来自用户端100的认 证消息，当认证消息中携带指向SAML断言的凭证时，根据凭证获取SAML 断言，根据SAML断言对用户端100进行认证。
单点登录的系统还包括认证服务器500，用于生成SAML断言和指向 SAML断言的凭证，存储SAML断言和指向SAML断言的凭证，SAML断言 和指向SAML断言的凭证供服务端300调用。
本发明实施例还提供了一种网络装置，可以作为用户端，如图7所示， 包括查找模块110，用于查找指向SAML断言的凭i正；认证消息发送模块 130,用于向服务端300发送认证消息，当查找模块110查找到凭证时，认证 消息中携带凭证，当查找模块110没查找到凭证时，认证消息中不携带凭证。 共享模块150，用于从认证服务器获取指向SAML断言的凭证，存储所述指 向SAML断言的凭证，供查找模块110查找。用户端可以是计算机、服务 器、网关、路由器、移动终端等。本发明实施例还提供了一种网络装置，可以作为服务端，包括接收模 块310，用于接收来自用户端IOO的认证消息；SAML断言获取模块330，用 于当认证消息中携带指向SAML断言的凭证时，根据认证消息中的凭证获取 SAML断言；认证模块350,用于根据SAML断言对用户端100进行认证。 凭证获取模块370,用于当认证消息中未携带指向SAML断言的凭证时，从 认证服务器500获取SAML断言和指向SAML断言的凭证，将凭证发送给用 户端100。
凭证获取模块370具体包括
第 一凭证获取子模块，用于当用户端为客户端/服务器模式中的客户端时， 对所述认证消息进行协议转换，将协议转换后的消息发送给认证服务器，接 收来自认证服务器的由认证服务器根据认证消息生成的SAML断言，接收来 自所述认证服务器的指向SAML断言的凭证；或
第二凭证获取子模块，用于当用户端为浏览器/服务器模式中的浏览器时， 将认证消息重定向到认证服务器，接收来自认证服务器的由认证服务器根据 认证消息生成SAML断言，接收来自所述认证服务器的指向SAML断言的凭 证。
SAML断言获取冲莫块330具体包括
第一 SAML断言获取子模块，用于通过指向SAML断言的凭证从本地查 找对应的SAML断言；或者
第二 SAML断言获取子模块，用于根据凭证从认证服务器获取对应的 SAML断言。
其中，Browser/Server模式中的服务端与Client/Server模式中的服务端结 构类似，其不同之处在于Browser/Server模式中的服务端本身就是基于SAML 机制的(接收到认证消息后解析和认证的过程与Client/Server方式类似)，且 当认证消息不携带凭证时，对该认证消息进行重定向处理。服务端可以是 计算机、服务器、网关、路由器、移动终端等。本发明实施例中，基于SAML统一标准，采用Artifact机制以避免直 接传输SAML断言，提高了认证的速率，实现了兼容C/S、 B/S系统的与 平台无关的单点登录功能。方便后续的其他厂商的B/S系统和C/S系统根 据该SAML统一标准融合到SSO系统中。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描 述分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一 个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步 拆分成多个子模块。
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
通过以上的实施方式的描述，本领域的4支术人员可以清楚地了解到本 发明可以通过硬件实现，也可以可借助软件加必要的通用石更件平台的方式 来实现基于这样的理解，本发明的技术方案可以以软件产品的形式体现出 来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM， U 盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个 人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的 普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进 和润饰，这些改进和润饰也应视本发明的保护范围。
权利要求
1、一种单点登录方法，其特征在于，包括接收来自用户端的认证消息，确定所述认证消息携带指向安全断言标记语言SAML断言的凭证；根据所述凭证获取所述SAML断言，根据所述SAML断言对所述用户端进行认证。
2、 如权利要求l所述的方法，其特征在于，所述根据所述凭证获取所述 SAML断言包括通过指向SAML断言的凭证从本地查找对应的SAML断言；或者， 根据所述凭证从认证服务器获取对应的SAML断言。
3、 如权利要求1所述的方法，其特征在于，所迷用户端包括单个或多个 客户端/服务器模式中的客户端、或浏览器/服务器模式中的浏览器；所述客户 端/服务器模式中的客户端与客户端/服务器模式中的服务端对应，所述浏览器 /服务器模式中的浏览器与浏览器/服务器模式中的服务端对应。
4、 如权利要求3所述的方法，其特征在于，当所述用户端为客户端/服务 器模式中的客户端，且所述认证消息未携带所述凭证时，则所述客户端/服务器模式中的服务端进行协议转换，将协议转换后的消息 发送给认证服务器；所述客户端/服务器模式中的服务端接收所述认证服务器根据所述认证消 息生成的SAML断言，接收来自所述认证服务器的指向所述SAML断言的凭 证。
5、 如权利要求4所述的方法，其特征在于，接收所述认证服务器根据所 述认证消息生成的SAML断言，接收来自所述认证服务器的指向所述SAML 断言的凭证之后还包括所述客户端/服务器模式中的服务端进行协议转换，将协议转换后的 SAML断言的凭证发送给发送到所述客户端。
6、 如权利要求3所述的方法，其特征在于，当所述用户端为浏览器/服务 器模式中的浏览器，且所述认证消息未携带所述凭证时，则所述浏览器/服务器模式中的服务端将所述认证消息重定向到认证服务器；所述浏览器/服务器模式中的服务端接收所述认证服务器根据所述认证消 息生成SAML断言，接收来自所述认证服务器的指向所述SAML断言的凭证。
7、 如权利要求6所述的方法，其特征在于，所述浏览器/服务器模式中的 服务端接收所述认证服务器根据所述认证消息生成SAML断言，接收来自所 述认证服务器的指向所述SAML断言的凭证之后还包括所述浏览器/服务器模式中的服务端将所述凭证发送到所述浏览器。
8、 如权利要求1至7中任一项所述的方法，其特征在于，还包括 所述用户端将所述凭证以Cookie、或数字证书、或文件的方式存储。
9、 一种网络系统，其特征在于，包括 用户端，用于向服务端发送认证消息；服务端，用于接收来自所述用户端的认证消息，当所述认证消息中携带 指向SAML断言的凭证时，根据所述凭证获取所述SAML断言，根据所述 SAML断言对所述用户端进行认证。
10、 如权利要求9所述的系统，其特征在于，还包括 认证服务器，用于生成所述SAML断言和指向所述SAML断言的凭证，存储所述SAML断言和指向所述SAML断言的凭证，所述SAML断言和指向 所述SAML断言的凭证供所述服务端调用。
11、 一种网络装置，其特征在于，包括 查找模块，用于查找指向SAML断言的凭证；认证消息发送模块，用于向服务端发送认证消息，当所述查找模块查找 到所述凭证时，所述认证消息中携带所述凭证。
12、 如权利要求11所述的网络装置，其特征在于，还包括 共享模块，用于从认证服务器获取指向SAML断言的凭证，存储所述指向SAML断言的凭证，供所述查找模块查找。
13、 一种网络装置，其特征在于，包括 接收模块，用于接收来自用户端的认证消息；SAML断言获取模块，用于当所述认证消息中携带指向SAML断言的凭 证时，根据所述认证消息中的凭证获取所述SAML断言；认证才莫块，用于根据所述SAML断言对所述用户端进行认证。
14、 如权利要求13所述的网络装置，其特征在于，还包括 凭证获取模块，用于当所述认证消息中未携带指向SAML断言的凭证时，从认证服务器获取SAML断言和指向所述SAML断言的凭证，将所述凭证发 送给用户端。
15、 如权利要求14所述的网络装置，其特征在于，所述凭证获取模块包括第 一凭证获取子模块，用于当所述用户端为客户端/服务器模式中的客户 端时，对所述认证消息进行协议转换，将协议转换后的消息发送给给认证服 务器，接收来自所述认证服务器的由认证服务器根据所述认证消息生成的 SAML断言，接收来自所述认证服务器指向所述SAML断言的凭证；或第二凭证获取子模块，用于当所述用户端为浏览器/服务器模式中的浏览 器时，将所述认证消息重定向到认证服务器，接收来自所述认证服务器的由 认证服务器根据所述认证消息生成SAML断言，接收来自所述认证服务器指 向所述SAML断言的凭证。
16、 如权利要求14所述的网络装置，其特征在于，所述SAML断言获取 模块包括第一 SAML断言获取子模块，用于通过指向SAML断言的凭证从本地查 找对应的SAML断言；或者，第二 SAML断言获取子模块，用于根据所述凭证从认证服务器获取对应 的SAML断言。
全文摘要
本发明实施例公开一种单点登录方法、系统及装置。该方法包括接收用户端的认证消息，确定所述认证消息携带指向安全断言标记语言SAML断言的凭证；根据所述凭证获取所述SAML断言，根据所述SAML断言对所述用户端进行认证。采用本发明实施例提供的技术方案基于统一标准，兼容C/S、B/S系统，实现了单点登录功能，使登录操作更加方便快捷。
文档编号H04L9/32GK101656609SQ20081021004
公开日2010年2月24日 申请日期2008年8月22日 优先权日2008年8月22日
发明者爽 聂, 马宏伟 申请人:华为技术有限公司