ICS 35.080L 77SZDB/Z深圳市标准化指导性技术文件SZDB/Z 17.8-2008 深圳市电子政务应用服务规范第8部分：单点登录服务接口规范Electronic Government Application Service Specification—Part 8 : Single-sign-on Service API Specification 2008-11-18发布2008-12-01实施深圳市质量技术监督局 发布 SZDB/Z 17.8—2008目次前言.............................................................................. II1范围.................................................................................12规范性引用文件.......................................................................13术语和定义...........................................................................14作用.................................................................................15单点登录服务逻辑.....................................................................16接口定义.............................................................................2附录A（规范性附录）单点登录用户票据 Schema定义....................................4参考文献...............................................................................................................................................................6I SZDB/Z 17.8—2008前言SZDB/Z 17-2008《深圳市电子政务应用服务规范》目前分为10个部分:——第1 部分《总则》——第2 部分《应用系统分类及代码规范》——第3 部分《应用系统描述规范》——第4 部分《组织身份模型数据规范》——第5 部分《应用服务运行管理框架规范》——第6 部分《组织身份服务接口规范》——第7 部分《访问控制服务接口规范》——第8 部分《单点登录服务接口规范》——第9 部分《电子表单服务接口规范》——第10 部分《业务流程服务接口规范》本部分为SZDB/Z 17-2008的第8部分。本技术规范适用于深圳市各级党政机关的信息化建设工作。对于本部分未能涵盖的内容将依据本技术规范的编写原则对本部分内容进行扩充。本技术规范文件由深圳市信息化领导小组办公室、深圳市福田区信息中心提出。本技术规范文件由深圳市信息化领导小组办公室归口。本技术规范文件由深圳市信息化领导小组办公室、深圳市福田区信息中心、北京有生博大软件技术有限公司共同起草。本技术规范文件主要起草人：贾兴东、陈朝祥、张雁、高新辉、王克照、石卫宁、赵斌、李淼、周礼洪、杨海波、王姝、张焕焕、刘用军、梁文龙等。本技术规范文件为首次发布。II SZDB/Z 17.8—2008深圳市电子政务应用服务规范第8部分：单点登录服务接口规范1范围本部分规定了单点登录服务接口，定义了单点登录票据的模式。本部分主要用于深圳市各级党政机关的信息系统规划与建设，以及电子政务信息系统建设的系统集成商、软件开发商和监理单位进行信息化规划、建设。适用于需做单点登录整合的应用系统，也适用于应用系统间实现基于票据传递的单点登录整合。用于指导开发商对应用系统进行单点登录整合，约束应用系统单点登录接入的实现。2规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。SZDB/Z 17.1 -2008 电子政务应用服务规范第1部分：总则SZDB/Z 17.4 -2008 电子政务应用服务规范第4部分：组织身份模型数据规范SZDB/Z 17.6 -2008 电子政务应用服务规范第6部分：组织身份服务接口规范3术语和定义票据：用户在通过单点登录验证后获得，包含用户的基本信息，如唯一标识、登录名、票据的有效期等。票据标识：用户在通过单点登录验证后获得票据的唯一标识。4作用通过单点登录服务让用户在一次输入用户名密码验证登录后，访问所有应用系统而不需要再输入用户名和密码进行验证；用户在一次注销后，即可在所有应用系统实现注销。单点登录服务以组织身份模型为数据基础，以组织身份服务为运行支撑。实现单点登录服务的前提是，各应用系统采用统一的组织身份数据模型。单点登录服务中的认证及获取用户信息均应调用组织身份服务接口。5单点登录服务逻辑5.1服务代理为用户提供单点登录认证，认证成功后为该用户颁发对应的票据。将票据和票据标识保存在服务器上，同时将票据的标识保存在用户的客户端。在用户请求注销时，负责通知各应用系统注销该用户。5.2访问拦截组件拦截用户对应用系统的访问请求，根据保存在客户端的用户票据标识，向单点登录代理服务器请求用户的票据，如果正确地得到了用户的票据，则调用应用系统二次认证接口（参见6.4）。如果二次认证通过，则允许用户访问该应用系统；如果票据标识不存在或者票据无效，则不允许用户访问该应用系统。1 SZDB/Z 17.8—20085.3对应用系统的约束5.3.1应用系统二次认证根据用户的票据标识从单点登录代理服务器中获得用户票