همان گونه که می‌دانید در تمام زیر سیستم و سرویس های درون سازمانی برای استفاده از خدمات اختصاصی باید به طریقی هویت خود را آشکار سازید. پروژه های فعلی طراحی پورتال بر مبنای کلمه رمز و نام کاربری این امکان را به سرویس دهنده ها می‌دهند که خدمات خود را برای افراد اختصاصی کنند.

 

بدیهی است با افزایش تعداد زیر سیستم ها و با فرض وجود یک پورتال به عنوان سیستم واسط جهت دسترسی به کاربردهای درون سازمانی 2 حالت پیش می‌آید:

  • افراد از اسم کاربری و اسم رمز یکسان برای تمام سرویس ها استفاده می‌کنند.
  • افراد مجبورند که به ازای هر سرویسی شناسه کاربری و کلمه عبور مجزا انتخاب کرده و به خاطر بسپارند.

در حالت اول، در صورتی که پیاده‌سازی مناسبی برای سیستم امنیتی یک زیر سیستم به کار نرفته باشد، با مطلع شدن نفوذگران از شناسه کاربری و رمز عبور در یک زیر سیستم امنیت کاربر در تمام زیر سیستمهایی که حق دسترسی داشته، به خطر خواهد افتاد. به همین دلیل اغلب کارشناسان امنیتی توصیه می‌کنند که از اسامی رمز متفاوت برای سرویس دهنده های متفاوت استفاده کنید.
در حالت دوم:‌ با استفاده از این حالت کاربر مجبور است که اسامی رمز متفاوتی را به ذهن بسپارد که برای اغلب کاربران امر دشواری است.

راهکار پیشنهادی

سرویس احراز هویت مرکزی با استفاده از یک روش ساده و در عین حال کارآمد این مشکل را در فرآیند طراحی پورتال حل می‌کند. CAS این توانایی را دارد که مشکلات یکپارچه سازی در فرآبند تصدیق هویت را با استفاده از متمرکز کردن این لایه در تمام سرویس ها از لایه تعیین و کنترل حقوق دسترسی کاربران تفکیک کند. لایه احراز هویت، بخشی است که در تمام سرویس ها مورد نیاز بوده و هر سرویس و محصولی پیاده سازی خاصی از آن داراست. چنانچه قادر باشیم یک پیاده‌سازی امن برای احراز هویت ارایه کنیم و این احراز هویت مبتنی بر وب باشد کافی است که سرویس یا درگاهی را بعنوان مرجع انتخاب کرده و کلیه درخواست های تصدیق هویت سرویس های درون سازمانی و پورتال را به این مرکز ارجاع داده و نتیجه احراز هویت را از این مرکز دریافت نمائیم. این به زبان ساده شمای کلی کاری که CAS انجام می‌دهد را بیان می‌کند. از قابلیتهای اصلی این سرویس ایجاد یک تونل امنیتی میان کامپیوتر کاربر و سرور مرکزی است که باعث می شود اطلاعات محرمانه کاربران سایت تحت پروتکلهای امنیتی SSL جابجا شوند. در واقع، با پیاده سازی این لایه امنیتی ، می توان از تسهیلات بوجود آمده در پیاده سازی فرآیند Single Sign On بهره برداری نمود.
پروتکل CAS ، از 3 واحد کاری تشکیل شده است : مرورگر کاربر ، مرجع ارتباط دهنده درخواست های تصدیق هویت به سرویس احراز هویت و نهایتا سرویس دهنده CAS. که پورتال نقش دوم را ایفا می کند. به محض درخواست کاربر برای دسترسی به سرویس های درون سازمانی ، درخواست های تصدیق هویت از سرویس های مربوطه به پورتال ارسال می شود که در ادامه با استعلام واحد سرویس گیرنده CAS از سرویس دهنده هویت کاربر تعیین و تائید و یا رد می گردد. سرویس دهنده CAS می تواند برای پروسه تصدیق هویت از منابع اطلاعاتی گسترده ای همچون بانک های اطلاعاتی رابطه ای یا سرویس دهنده دایرکتوری (LDAP ) و… بهره برداری نماید.
تصویر زیر شمای فرآیند توصیف شده را نمایش می دهد: