7.3　單點登錄組件

7.3.1　概述

單點登錄組件主要負責實現用戶訪問與一個鑒別服務提供方相連的多個應用資源系統時，可以“一次登錄，多次訪問”的體驗過程。

本標準只討論通過記錄用戶鑒別信息的方式實現的單點登錄，不排除具體系統通過實現其他方式的單點登錄及進行進一步的擴展。

單點登錄組件的接口組成如圖6所示：

單點登錄組件應實現的功能包括鑒別狀態信息添加、維護、查詢以及刪除。
當用戶首次完成鑒別后，如果需要實現單點登錄，認證中間件管理組件調用單點登錄組件的鑒別狀態信息添加接口。單點登錄組件創建并維護相應的用戶鑒別狀態記錄，該記錄中應包含用戶的身份標識符，鑒別狀態及鑒別狀態的有效期。
此外，單點登錄組件還應在用戶訪問過程中根據認證中間件管理組件的請求對鑒別狀態信息進行更新、刪除等。

7.3.2　接口描述

單點登錄組件提供四個接口：鑒別狀態信息添加接口SSO_ADD、鑒別狀態信息維護接口SSO_MAINT、鑒別狀態信息查詢接口SSO_QUERY以及鑒別狀態信息刪除接口SSO_DELETE。

7.3.2.1　鑒別狀態信息添加接口SSO_ADD

單點登錄組件通過SSO_ADD接口與上層認證中間件管理組件進行交互，用于添加需要維護的用戶鑒別狀態信息，并返回一個唯一標識符供查詢及維護。它需要提供以下的輸入和輸出：
輸入：
a)用戶上下文
認證中間件管理組件根據與用戶的交互信息而生成的用戶上下文。該上下文為唯一標識了用戶與認證中間件的一次會話。
b)鑒別結果
認證中間件管理組件從身份鑒別組件處獲取的鑒別結果，鑒別結果由身份鑒別結果和密鑰協商結果兩部分組成：身份鑒別結果是鑒別結果中必須包含的內容，根據鑒別機制的不同，返回的身份鑒別結果形式可以是不同的，但是至少應包括用戶身份標識，鑒別方式以及鑒別時間這三部分信息；密鑰協商結果是鑒別結果中的可選內容，但如果密鑰協商結果存在，則至少應包含協商密鑰值以及密鑰類型這兩部分信息。
輸出：
a)唯一標識符SID
由單點登錄組件創建的唯一標識符，單點登錄組件應創建并維護該唯一標識符與用戶鑒別信息相關聯的列表，供認證中間件管理組件查詢時使用。
b)狀態碼
根據單點登錄組件處理結果的不同，有以下幾種狀態碼：
SSO_ERR ——單點登錄組件錯誤
SSO_ADD_SUCC ——用戶鑒別狀態維護成功
SSO_ADD_FAILURE ——用戶鑒別狀態維護失敗
SSO_ADD_ERR ——用戶鑒別狀態維護錯誤

7.3.2.2　鑒別狀態信息維護接口SSO_MAINT

單點登錄組件通過SSO_MAINT接口與上層認證中間件管理組件進行交互，用于獲取要維護的用戶信息并返回一個唯一標識符供查詢使用，它需要提供以下的輸入和輸出：
輸入：
a)唯一標識符SID
在單點登錄組件內部維護的用戶鑒別信息列表中與用戶鑒別信息相關聯的唯一標識符。
b)更新信息
用戶鑒別狀態中需要更新的信息，如用戶屬性信息等。
輸出：
a)狀態碼
根據單點登錄組件處理結果的不同，有以下幾種狀態碼：
SSO_ERR ——單點登錄組件錯誤
SSO_MAINT_SUCC ——用戶鑒別狀態維護成功
SSO_MAINT_FAILURE ——用戶鑒別狀態維護失敗
SSO_MAINT_ERR ——用戶鑒別狀態維護錯誤

7.3.2.3　鑒別狀態信息查詢接口SSO_QUERY

上層認證中間件管理組件通過SSO_QUERY接口與單點登錄組件進行交互，通過SID獲取包含用戶鑒別狀態信息。它需要提供以下的輸入和輸出：
輸入：
a)唯一標識符SID
在單點登錄組件內部維護的用戶鑒別信息列表中與用戶鑒別信息相關聯的唯一標識符，該標識符通過調用鑒別狀態維護接口獲得。
輸出：
a)查詢結果
在獲取SID后， 單點登錄組件查詢其維護的列表中是否存在該SID及與之對應的信息，如果不存在，則返回空值及狀態碼SSO_QUERY _SIDUNKNOWN。否則單點登錄組件獲取與該SID相關聯的用戶鑒別狀態信息并返回。
b)狀態碼
根據處理結果的不同，有以下幾種狀態碼：
SSO_QUERY _SUCC ——查詢成功
SSO_QUERY _SIDUNKNOWN ——無法識別的SID

7.3.2.4　鑒別狀態信息刪除接口SSO_DELETE

上層認證中間件管理組件通過SSO_DELETE接口與單點登錄組件進行交互，通過SID刪除對應用戶的鑒別狀態記錄。它需要提供以下的輸入和輸出：
輸入：
a)唯一標識符SID
在單點登錄組件內部維護的用戶鑒別信息列表中與用戶鑒別信息相關聯的唯一標識符，該標識符通過調用鑒別狀態維護接口獲得。
輸出：
a)狀態碼
根據處理結果的不同，有以下幾種狀態碼：
SSO_DELETE_SUCC ——刪除成功
SSO_DELETE_SIDUNKNOWN ——無法識別的SID