1、aneSSO方案的设计前提

• aneSSO的解决方案是基于Web应用的单点登陆解决方案
• aneSSO方案无法解决桌面SSO
• aneSSO方案要求所有SSO的登陆子系统均为完全可控
• aneSSO方案采用服务器Session（必用）+客户端Cookie（选用）
• aneSSO方案为跨域SSO解决方案
• aneSSO下子系统的Web服务没有限制

2、aneSSO整体效果-直观效果

• 传统SSO效果

3、aneSSO整体效果-直观效果

• aneSSO扩展效果

4、aneSSO整体效果-认证效果

• 统一认证（单服务器、多服务器）
• 分散（多点）认证【可支持普通登陆】
• 混合认证【可支持普通登陆】

5、aneSSO整体效果-权限效果

• 集中权限控制
• 分散权限控制

6、aneSSO方案设计原理-概要

• 总体设计思想
• 逻辑流程
• 几个特例流程放大 （复活、多点密码权限修改等）
• SAML Web服务架构（认证统一）
• 用户体验的保证—Ane Iframe Ajax跨域特性保证效果

7、aneSSO方案设计原理-总体设计思想

8、aneSSO方案设计原理-逻辑流程

• 首次登录SPm

• （典型流程）已登录，SPk跳转SPm，aneSSO状态失效

• 已登录，访问SPm
• 问题？

• 通过aneSSO服务直接跳转？
• aneSSO状态有效？
• 直接输入进入SPj，而且aneSSO状态无效？
• 在Cookie可用情况下，性能更好？

• 注销，轻量级注销方式

• 点击注销
• 从客户端发“注销消息”到IDP、SPi
• IDP、SPi各自清除自身状态

• 分散（多点）用户映射设置

• 集中认证没有此项操作
• 在一个SSO账户下设置SPi对应账户
• 验证成功添加映射项

9、aneSSO方案设计原理—密码、权限修改

• 分散（多点）用户密码、权限修改

• 集中认证没有此项操作
• 在一个SSO账户下的SPi对应账户密码、权限修改
• 登录时，确认对应映射项目是否有效
• 无效->提示重新设置->转向重新设置

• 分散（多点）用户映射设置

10、aneSSO方案设计原理—SAML Web服务架构

• SAML Web服务架构（认证统一）

11、aneSSO方案设计原理—用户体验的保证

• Ane Iframe Ajax跨域特性保证效果

12、aneSSO方案设计核心与关键

• 安易状态同步层

• SAML Web服务接口

13、aneSSO扩展登陆模式实现步骤

• 步骤一 隐藏并取消aneSSO服务器
• 步骤二 设置aneSSO模块参数
• 步骤三 分散外挂到aneSSO框架状态同步层
• 步骤四 在信任列表中设置SSO服务提供者

14、aneSSO安全防范策略-Hack

• 传输截获—SSL
• Ticket被“看”，到“其他机器”模拟登陆—安易特有后台SessionID握手机制
• 本机操作—设置恰当的Session失效时间 极限例子：Google
• 加密：3des
• 混合Hack

15、aneSSO安全防范策略-安全策略

• IP地址安全策略：用户只能从指定的IP地址或者IP地址段访问系统。
• 时间段安全策略：用户只能在某个指定的时间段访问系统。
• 访问次数安全策略：累计用户的访问次数，使用户的访问次数在一定的数值范围之内。
• 用户登录有效时间安全策略。
• 其他用户定制安全策略。

16、aneSSO方案设计局限

• aneSSO无法解决基于桌面应用的SSO登陆