2016新編BOS_V6.3_BOS單點(diǎn)登錄_V2.

1、bos_v6.3_bos實(shí)施指南_單點(diǎn)登錄bos_v6.3_bos實(shí)施指南_單點(diǎn)登錄(v2.0版)修訂歷史版本號修訂日期修訂者修訂類型說明2.02010-07-21林培森修訂對原bos實(shí)施指南_單點(diǎn)登錄進(jìn)行重新修訂第1頁，總80頁前 言本指南共分為六個章節(jié)，第一章介紹了單點(diǎn)登錄的概念和作用，以及eas支持的單點(diǎn)登錄集成方案；第二章分析了單點(diǎn)登錄的需求分析和實(shí)施過程；第三章分析了eas單點(diǎn)登錄各集成方案的具體實(shí)施和配置步驟；第四章介紹了eas與其他第三方單點(diǎn)登錄方案的集成方法；第五章介紹了單點(diǎn)登錄的相關(guān)知識；第六章是faq第2頁，總80頁bos_v6.3_bos實(shí)施指南_單點(diǎn)登錄適用對象本指南適

2、用于eas單點(diǎn)登錄設(shè)計(jì)和開發(fā)人員，需要進(jìn)行eas單點(diǎn)登錄集成的實(shí)施及二次開發(fā)人員，以及想了解bos單點(diǎn)登錄的開發(fā)者。通過本指南的學(xué)習(xí)可以使實(shí)施或開發(fā)人員掌握將eas與其它第三方系統(tǒng)快速進(jìn)行單點(diǎn)登錄集成的方法和技巧。第56頁，總80頁目 錄前 言2適用對象3目 錄4第一章 概述61.1 什么是單點(diǎn)登錄61.2 單點(diǎn)登錄的作用61.3 eas的單點(diǎn)登錄61.3.1 eas支持的單點(diǎn)登錄集成方案61.3.2 eas的單點(diǎn)登錄技術(shù)服務(wù)組件7第二章 單點(diǎn)登錄需求分析及實(shí)施92.1 用戶單點(diǎn)登錄集成需求調(diào)研92.2 確定單點(diǎn)登錄集成實(shí)現(xiàn)方案92.3 制訂單點(diǎn)登錄集成實(shí)現(xiàn)計(jì)劃92.4 開發(fā)配置實(shí)現(xiàn)單點(diǎn)登錄集

3、成9第三章 單點(diǎn)登錄認(rèn)證服務(wù)的集成與實(shí)現(xiàn)113.1 用戶認(rèn)證校驗(yàn)處理器113.1.1 eas標(biāo)準(zhǔn)產(chǎn)品支持的認(rèn)證處理器113.1.2 注冊和配置認(rèn)證處理器實(shí)現(xiàn)類113.1.3 擴(kuò)展第三方用戶認(rèn)證的認(rèn)證處理器133.1.4 擴(kuò)展認(rèn)證處理器參考實(shí)現(xiàn)eas 用戶認(rèn)證登錄配置143.1.5 eas用戶認(rèn)證登錄類及相關(guān)配置153.2 ldap域認(rèn)證方案的配置與實(shí)現(xiàn)163.2.1 ldap服務(wù)器連接參數(shù)配置163.2.2 配置ldap域用戶認(rèn)證處理器173.3 微軟ad域認(rèn)證方案的配置與實(shí)現(xiàn)173.3.1 ad域服務(wù)器連接參數(shù)配置173.3.2 配置eas用戶認(rèn)證登錄類193.2.3 配置微軟ad域用戶認(rèn)證

4、處理器193.4 ltpa認(rèn)證方案的配置與實(shí)現(xiàn)193.4.1 配置密鑰文件193.4.2 ltpa token加密和校驗(yàn)接口介紹203.4.3 第三方應(yīng)用集成eas portal（即：在第三方應(yīng)用中打開eas portal）的實(shí)現(xiàn)步驟213.4.4 eas portal集成第三方應(yīng)用（即：在eas portal中打開第三方應(yīng)用）的實(shí)現(xiàn)步驟233.5 用戶集成組件233.5.1 用戶數(shù)據(jù)導(dǎo)入233.5.2 用戶映射管理273.5.3 用戶集成參數(shù)配置283.5.4 定義用戶數(shù)據(jù)周期同步后臺事務(wù)293.6 cas集成組件313.6.1 cas服務(wù)器參數(shù)配置313.6.2 新增eas登錄所需要參數(shù)的

5、配置文件323.6.3 安裝eas支持第三方cas服務(wù)器的相關(guān)補(bǔ)丁33第四章 eas其它單點(diǎn)登錄集成方案344.1 eas portal與websphere全局安全性單點(diǎn)登錄方案的集成344.1.1 eas企業(yè)應(yīng)用程序 (eas.ear) 的配置344.1.2 eas portal web應(yīng)用程序 (cp_web.war) 的配置354.1.3 基于form認(rèn)證登錄頁面的開發(fā)374.1.4 使用管理控制臺部署eas404.2 基于ibm jdk的eas集成微軟ad域認(rèn)證的方案424.2.1 ad認(rèn)證服務(wù)器和eas服務(wù)器獨(dú)立部署方案介紹424.2.2 搭建和配置ad域認(rèn)證服務(wù)器424.2.3 搭

6、建和配置eas服務(wù)器42第五章 單點(diǎn)登錄的相關(guān)知識介紹445.1 域相關(guān)概念和術(shù)語介紹445.1.1 目錄445.1.2 目錄服務(wù)465.1.3 專有名稱（dn）465.1.4 dn 轉(zhuǎn)義規(guī)則475.1.5 增強(qiáng)的 dn 處理485.1.6 后綴(suffix)485.1.7參照(referrals)485.1.8 模式(schema)495.1.9 對象類(objectclass)49第六章 faq526.1 獨(dú)立部署后web框架需要重新登錄問題526.2 微軟ad域用戶無法同步用戶數(shù)據(jù)問題52術(shù) 語53附 錄54附錄1：jaas54附錄2：kerberos54附錄3：ltpa55第一章 概

7、述1.1 什么是單點(diǎn)登錄單點(diǎn)登錄(single sign on)，簡稱為 sso，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。sso的一個通用的定義是：在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)，而無需進(jìn)行多次登錄。1.2 單點(diǎn)登錄的作用通過單點(diǎn)登錄技術(shù)可以對企業(yè)各異構(gòu)應(yīng)用系統(tǒng)的登錄流程及用戶管理進(jìn)行集成，使企業(yè)可以采用統(tǒng)一的認(rèn)證方式，使企業(yè)用戶只需要登錄一次即可訪問各應(yīng)用系統(tǒng)，從而提高企業(yè)各應(yīng)用系統(tǒng)的易用性。1.3 eas的單點(diǎn)登錄1.3.1 eas支持的單點(diǎn)登錄集成方案eas的標(biāo)準(zhǔn)產(chǎn)品中支持以下幾種單點(diǎn)登錄集成及認(rèn)證方案：(1) ldap ( 輕量目錄訪問協(xié)議：l

8、ightweight directory access protocol ) 域認(rèn)證方案(2) 微軟ad ( 活動目錄：active directory ) 域認(rèn)證方案(3) ltpa ( 輕量級第三方認(rèn)證：lightweight third party authentication ) 認(rèn)證方案(4) cas ( 中央認(rèn)證服務(wù)：central authentication service ) 集成認(rèn)證方案(5) 基于websphere全局安全性認(rèn)證方案其中，ldap域認(rèn)證方案可以使eas支持登錄時通過ldap服務(wù)器對用戶進(jìn)行認(rèn)證和校驗(yàn)；微軟ad域認(rèn)證方案可以使eas支持登錄時通過微軟ad域服

9、務(wù)器對用戶進(jìn)行認(rèn)證和校驗(yàn)；ltpa認(rèn)證方案可以使eas和其它第三方web應(yīng)用系統(tǒng)進(jìn)行單點(diǎn)登錄集成；cas集成認(rèn)證方案可以使eas portal支持使用其它標(biāo)準(zhǔn)的cas服務(wù)器進(jìn)行單點(diǎn)登錄；基于websphere全局安全性認(rèn)證方案可以使eas與websphere全局安全性進(jìn)行單點(diǎn)登錄集成。1.3.2 eas的單點(diǎn)登錄技術(shù)服務(wù)組件eas的單點(diǎn)登錄技術(shù)主要提供以下三個服務(wù)組件：(1) 用戶認(rèn)證校驗(yàn)處理器(2) 用戶集成管理器(3) cas單點(diǎn)登錄集成組件 用戶認(rèn)證校驗(yàn)處理器用戶認(rèn)證校驗(yàn)處理器主要用于定義認(rèn)證接口，實(shí)現(xiàn)eas支持的單點(diǎn)登錄用戶認(rèn)證的不同方案，在用戶進(jìn)行eas系統(tǒng)登錄時采用用

10、戶所配置的認(rèn)證方案進(jìn)行認(rèn)證。用戶認(rèn)證校驗(yàn)處理器支持對其它第三方認(rèn)證進(jìn)行擴(kuò)展，通過二次開發(fā)實(shí)現(xiàn)認(rèn)證接口，調(diào)用第三方認(rèn)證邏輯，實(shí)現(xiàn)第三方用戶認(rèn)證。eas標(biāo)準(zhǔn)產(chǎn)品支持提供以下處理器：(1) eas 傳統(tǒng)認(rèn)證處理器，即：用戶名密碼認(rèn)證(2) ldap域認(rèn)證處理器(3) 微軟ad域認(rèn)證處理器(4) ltpa認(rèn)證處理器 用戶集成組件用戶集成組件主要用于將第三方數(shù)據(jù)源的用戶賬號信息集成導(dǎo)入同步到eas系統(tǒng)中，并且與eas系統(tǒng)中的用戶建立起對應(yīng)的映射關(guān)系；其主要包括用戶數(shù)據(jù)導(dǎo)入和用戶映射兩個管理模塊。目前eas支持的導(dǎo)入數(shù)據(jù)源的類型主要是ldap服務(wù)器 (包括微軟ad域服務(wù)器)。(注：集成數(shù)據(jù)庫

11、類型的數(shù)據(jù)源可通過eai平臺來完成) cas單點(diǎn)登錄集成組件cas是一套開源的基于java語言的單點(diǎn)登錄服務(wù)框架，它以 filter (過濾器) 的方式保護(hù) web 應(yīng)用的受保護(hù)資源。過濾器過濾從客戶端過來的每一個 web 請求，同時 cas client 會分析 http 請求中是否包請求 ticket ( 即：圖1.1中的憑證)。如果沒有，則說明該用戶是沒有經(jīng)過認(rèn)證的，于是，filter 會重定向用戶請求到認(rèn)證服務(wù)。用戶認(rèn)證成功后， 認(rèn)證服務(wù)會產(chǎn)生一個隨機(jī)的 ticket，然后緩存該 ticket并且重定向用戶到訪問應(yīng)用。部署應(yīng)用與認(rèn)證服務(wù)間通過ticket完成了一個對用戶的

12、身份核實(shí)。圖1.1 cas單點(diǎn)登錄集成訪問應(yīng)用跳轉(zhuǎn)流程圖第二章 單點(diǎn)登錄需求分析及實(shí)施分析和實(shí)現(xiàn)客戶單點(diǎn)登錄集成需求主要有以下幾個步驟：2.1 用戶單點(diǎn)登錄集成需求調(diào)研需求調(diào)研階段需要詳細(xì)對客戶現(xiàn)有的業(yè)務(wù)系統(tǒng)進(jìn)行調(diào)研，了解清楚客戶期望的單點(diǎn)登錄集成的效果和目標(biāo)。調(diào)研參考內(nèi)容有如下幾點(diǎn)：(1) 各業(yè)務(wù)系統(tǒng)使用狀況；包括業(yè)務(wù)系統(tǒng)的運(yùn)行環(huán)境、用戶數(shù)據(jù)庫和應(yīng)用規(guī)模、用戶數(shù)量等信息。(2) 各業(yè)務(wù)系統(tǒng)的用戶登錄過程說明；包括各業(yè)務(wù)系統(tǒng)在登錄時需要進(jìn)行的驗(yàn)證過程和驗(yàn)證所需信息等。(3) 單點(diǎn)登錄集成需求目標(biāo)；包括用戶期望達(dá)到的單點(diǎn)登錄集成目標(biāo)，界面流展現(xiàn)其單點(diǎn)登錄過程和要求，以及基準(zhǔn)用戶庫( 原有業(yè)務(wù)系統(tǒng)

13、數(shù)據(jù)庫、新數(shù)據(jù)庫或者ldap服務(wù)器)等2.2 確定單點(diǎn)登錄集成實(shí)現(xiàn)方案確定實(shí)現(xiàn)方案階段主要做以下幾個工作：(1) 首先確定基準(zhǔn)用戶庫及用戶管理工具(2) 然后制訂各系統(tǒng)與基準(zhǔn)用戶庫的映射和同步策略(3) 最后確定單點(diǎn)登錄集成實(shí)現(xiàn)方案2.3 制訂單點(diǎn)登錄集成實(shí)現(xiàn)計(jì)劃制訂計(jì)劃階段因各業(yè)務(wù)系統(tǒng)的運(yùn)行環(huán)境可能差異比較大，可能是異構(gòu)平臺，用戶的統(tǒng)一和同步映射處理也需要時間，已有系統(tǒng)也在線使用中，因此，需要制訂好詳細(xì)的實(shí)現(xiàn)計(jì)劃，以規(guī)避和降低風(fēng)險。2.4 開發(fā)配置實(shí)現(xiàn)單點(diǎn)登錄集成開發(fā)集成階段主要做以下幾個工作：(1) 根據(jù)各業(yè)務(wù)系統(tǒng)實(shí)際情況，進(jìn)行相應(yīng)接口的開發(fā)(包括用戶同步/映射)(2) 完成開發(fā)后進(jìn)行相關(guān)

14、配置(3) 部署單點(diǎn)登錄集成實(shí)現(xiàn)方案并在測試環(huán)境進(jìn)行測試第三章 單點(diǎn)登錄認(rèn)證服務(wù)的集成與實(shí)現(xiàn)3.1 用戶認(rèn)證校驗(yàn)處理器用戶認(rèn)證校驗(yàn)處理器是單點(diǎn)登錄集成過程中，某一種認(rèn)證方式具體的認(rèn)證邏輯的實(shí)現(xiàn)，eas標(biāo)準(zhǔn)產(chǎn)品中支持幾種常用的認(rèn)證處理器，同時也支持二次開發(fā)擴(kuò)展自己的認(rèn)證處理器。3.1.1 eas標(biāo)準(zhǔn)產(chǎn)品支持的認(rèn)證處理器eas標(biāo)準(zhǔn)產(chǎn)品支持的認(rèn)證處理器信息如表3.1所示：表3.1 eas支持的認(rèn)證處理器認(rèn)證處理器名稱認(rèn)證處理器實(shí)現(xiàn)類說明eas 傳統(tǒng)(用戶名密碼)認(rèn)證basedbcom.kingdee.eas.cp.eip.sso.easdefaultauthhandlereas傳統(tǒng)認(rèn)證，基于eas數(shù)

15、據(jù)庫中的用戶名密碼進(jìn)行認(rèn)證校驗(yàn)ldap域認(rèn)證baseldapcom.kingdee.eas.cp.eip.sso.ldap.ldapauthhandler基于ldap協(xié)議的目錄用戶認(rèn)證微軟ad域認(rèn)證baseadcom.kingdee.eas.cp.eip.sso.ad.activedirauthhandler基于微軟活動目錄(ad)進(jìn)行用戶管理，采用kerberors loginmodule進(jìn)行認(rèn)證校驗(yàn)ltpa認(rèn)證basetrdltpatokencom.kingdee.eas.cp.eip.sso.ltpa.ltpatokenauthhandlerltpa token認(rèn)證3.1.2 注冊和配置

16、認(rèn)證處理器實(shí)現(xiàn)類在確定了單點(diǎn)登錄集成的認(rèn)證方案后，需要通過配置來切換不同的認(rèn)證處理器，從而實(shí)現(xiàn)不同的單點(diǎn)登錄認(rèn)證方案。其配置方法如下：首先，在服務(wù)器serverdeployportalconfig目錄下打開認(rèn)證處理器的配置文件easauthpatterns.xml，其配置內(nèi)容及格式如下： basedbbasedbcom.kingdee.eas.cp.eip.sso.easdefaultauthhandler base eas user table authentication,is eas default authenticationbasedbsession節(jié)點(diǎn)及參數(shù)說明：(1) authp

17、attern節(jié)點(diǎn)：表示某種認(rèn)證處理器，包括：name、displayname、authhandler和description四個屬性；a) name：認(rèn)證處理器名稱，請使用英文字母命名，且需在整個文檔中命名唯一b) displayname：認(rèn)證處理器顯示名稱；c) authhandler：認(rèn)證處理器實(shí)現(xiàn)類的全路徑類名；d) description：認(rèn)證處理器的描述信息。(2) default節(jié)點(diǎn)：表示eas缺省使用的認(rèn)證處理器，該值為配置文件中已定義authpattern節(jié)點(diǎn)的name值(3) scope節(jié)點(diǎn)：表示eas認(rèn)證處理器的作用域，scope 僅能取以下值：a) application

18、：eas統(tǒng)一采用一種認(rèn)證處理器，即由 default節(jié)點(diǎn)指定的認(rèn)證處理器b) session：eas允許用戶根據(jù)工作場所，選擇不同的認(rèn)證處理器；如：外網(wǎng)可使用eas傳統(tǒng)認(rèn)證、內(nèi)網(wǎng)則使用ad認(rèn)證(即域用戶認(rèn)證)注意：eas portal標(biāo)準(zhǔn)產(chǎn)品的登錄窗口未提供認(rèn)證模式選擇項(xiàng)，即此方式是為了與第三方系統(tǒng)集成預(yù)留的，以便可通過url參數(shù)authpattern或進(jìn)行登錄頁個性化開發(fā)來指定用戶登錄認(rèn)證模式。如：以下url為指定ad域用戶自動登錄http:/portalserver:port/easportal/autologin.jsp?authpattern=baseadwithautologin然后

19、，加入新的認(rèn)證處理器 (即：authpattern節(jié)點(diǎn)) 并且將eas缺省使用的認(rèn)證處理器修改成該節(jié)點(diǎn)名稱 (即：修改default節(jié)點(diǎn)) ，例如，現(xiàn)在需要將eas的認(rèn)證方式改成ltpa認(rèn)證，則增加及修改的配置信息如下： basetrdltpatoken basetrdltpatoken com.kingdee.eas.cp.eip.sso.ltpa.ltpatokenauthhandler base third systems lightweight third party authentication basetrdltpatokensession另外，eas標(biāo)準(zhǔn)產(chǎn)品中默認(rèn)配置用戶名密碼認(rèn)

20、證處理器，即上面舉例的第一段配置信息。3.1.3 擴(kuò)展第三方用戶認(rèn)證的認(rèn)證處理器如果eas提供的認(rèn)證處理器并不能滿足客戶的需求，則eas也支持二次開發(fā)對用戶認(rèn)證處理器進(jìn)行擴(kuò)展，以實(shí)現(xiàn)其它的認(rèn)證方案。其實(shí)現(xiàn)步驟如下：(1) 實(shí)現(xiàn)eas用戶認(rèn)證處理器統(tǒng)一接口，接口定義如下：/* eas sso認(rèn)證處理器接口 */public interface ieasauthhandler /* * 獲取外部系統(tǒng)所映射的eas user名稱 */public string geteasusernumber(context ctx, string externalusernumber) throws boslog

21、inexception;/* * 是否進(jìn)行eas 用戶密碼校驗(yàn) */public boolean isverifyeasuserpwd();/* * 用戶認(rèn)證校驗(yàn)接口 */public boolean authenticate(usercontextcallback userctxcallback, string usernumber, string password) throws bosloginexception;接口說明：a) public string geteasusernumber(context ctx, string externalusernumber) 外部系統(tǒng)用戶轉(zhuǎn)換為

22、eas 用戶的接口，如：ad用戶名轉(zhuǎn)為eas用戶名b) public boolean isverifyeasuserpwd()此接口定義是否需要進(jìn)行eas傳統(tǒng)用戶名和密碼的校驗(yàn)c) public boolean authenticate(usercontextcallback userctxcallback, string usernumber, string password)此接口為用戶認(rèn)證校驗(yàn)接口，若用戶認(rèn)證通過，則返回true，若不通過則返回false(2) 將新開發(fā)的用戶認(rèn)證處理器部署到eas服務(wù)器環(huán)境中，并采用3.1.2節(jié)中的方法將該用戶認(rèn)證處理器注冊成eas缺省使用的認(rèn)證處理器。

23、3.1.4 擴(kuò)展認(rèn)證處理器參考實(shí)現(xiàn)eas 用戶認(rèn)證登錄配置eas提供的微軟ad域認(rèn)證處理器實(shí)現(xiàn)用戶認(rèn)證處理器接口的代碼如下：/* abstracteasauthhandler類實(shí)現(xiàn)了ieasauthhandler接口*/public class activedirauthhandler extends abstracteasauthhandler public boolean authenticate(usercontextcallback userctxcallback,string usernumber, string password) throws bosloginexception

24、boolean result = false ;logincontext lc = null ;try /* set up the callback handler, and initialise the userid and password fields */userpwdcallbackhandler ch = new userpwdcallbackhandler();ch.setuserid(usernumber); ch.setpasswords(password);/* initialise the login context */ /* set to use krb5loginm

25、odule. */* 實(shí)際用戶認(rèn)證由com.sun.security.auth.module.krb5loginmodulele類處理 */lc = new logincontext(activedirauthhandler.class.getname(), ch);/* perform the authentication */lc.login();result = true ; catch (loginexception le) return result;3.1.5 eas用戶認(rèn)證登錄類及相關(guān)配置eas 用戶認(rèn)證采用了標(biāo)準(zhǔn)的jaas (java認(rèn)證和授權(quán)服務(wù)：java authentic

26、ation and authorization service) 的服務(wù)，jaas的詳細(xì)信息請參見附錄1用戶認(rèn)證的loginmodule類可很方便的插撥或堆疊，其配置是通過服務(wù)端serverproperties目錄下的login.config文件來實(shí)現(xiàn)的，login.config文件配置了eas 默認(rèn)使用的loginmodule，通常情況下，該配置文件無須更改，該配置文件內(nèi)容如下：eas com.kingdee.eas.cp.eip.sso.easmultiauthloginmodule required debug=true;com.kingdee.eas.cp.eip.sso.web.au

27、th.easauthhandler com.kingdee.eas.cp.eip.sso.easmultiauthloginmodule required debug=true;com.kingdee.eas.cp.eip.sso.ad.activedirauthhandlercom.sun.security.auth.module.krb5loginmodule required client=true debug=true useticketcache=false;說明：(1) eas為eas gui客戶端登錄時所用loginmodule(2) com.kingdee.eas.cp.eip

28、.sso.web.auth.easauthhandler 為 eas portal登錄時所用loginmodule (注：實(shí)際上與eas的配置內(nèi)容是相同的)(3) com.kingdee.eas.cp.eip.sso.ad.activedirauthhandler 則用于與微軟ad域認(rèn)證集成，即在ad認(rèn)證模式 (basead) 下，此配置才起作用；3.2 ldap域認(rèn)證方案的配置與實(shí)現(xiàn)ldap域認(rèn)證方案可以通過配置實(shí)現(xiàn)eas gui客戶端和portal登錄時用戶在ldap服務(wù)器上進(jìn)行認(rèn)證，其配置步驟如下：3.2.1 ldap服務(wù)器連接參數(shù)配置在服務(wù)端serverprofilesserver1c

29、onfigportalconfig目錄下的ldapcperties文件用于配置連接ldap服務(wù)器的參數(shù)，文件內(nèi)容如下：contextfactory=com.sun.jndi.ldap.ldapctxfactoryldaphost=ldapport=389authentication=simpleprincipal=usernamecredentials=password參數(shù)說明：(1) contextfactory：ldap連接默認(rèn)工廠類，如果服務(wù)器使用的是sun的jdk則應(yīng)配置為：com.sun.jndi.ldap.ldapctxfactory 如果

30、服務(wù)器使用的是ibm的jdk則應(yīng)配置為：com.ibm.jndi.ldap.ldapctxfactory(2) ldaphost：ldap目錄服務(wù)器ip地址(3) ldapport：ldap目錄服務(wù)器端口號，通常情況下缺省是389(4) authentication：ldap連接認(rèn)證模式，通常情況下配置為simple(5) principal：ldap證書的名稱，通常情況下配置為username(6) credentials：principal的密碼，通常情況下配置為password將實(shí)際采用的ldap目錄服務(wù)器ip地址和端口號配置到該文件中。3.2.2 配置ldap域用戶認(rèn)證處理器按照3.1

31、.2節(jié)所述方法將ldap域用戶認(rèn)證處理器配置到easauthpatterns.xml文件中，ldap域用戶認(rèn)證處理器的authpattern節(jié)點(diǎn)定義如下：baseldapbaseldapcom.kingdee.eas.cp.eip.sso.ldap.ldapauthhandler base ldap authentication3.3 微軟ad域認(rèn)證方案的配置與實(shí)現(xiàn)微軟ad域認(rèn)證方案可以通過配置實(shí)現(xiàn)eas gui客戶端和portal登錄時用戶在微軟ad域服務(wù)器上進(jìn)行認(rèn)證，其配置步驟如下：(注意：ad域認(rèn)證首先要求將eas服務(wù)器和認(rèn)證的客戶端機(jī)器都加入到域中。另外，由于ad域認(rèn)證的實(shí)現(xiàn)需要使用s

32、un jdk 中的com.sun.security.auth.module.krb5loginmodule類，而ibm jdk中的該類的實(shí)現(xiàn)和sun jdk的實(shí)現(xiàn)完全不同，所以eas 的微軟ad域認(rèn)證處理器只支持sun jdk而不支持ibm jdk，如果eas服務(wù)器環(huán)境中使用ibm jdk 則需要采取其它解決方案，請參見4.2節(jié)內(nèi)容)3.3.1 ad域服務(wù)器連接參數(shù)配置eas采用基于kerberos認(rèn)證的配置文件與ad域服務(wù)器進(jìn)行連接，kerberos的詳細(xì)信息請參見附錄2，在服務(wù)端serverproperties目錄下的krb5.conf文件用于配置連接ad域服務(wù)器的參數(shù)，文件內(nèi)容如下：li

33、bdefaults default_realm = kingdee.com default_checksum = rsa-md5clockskew = 360realms kingdee.com= kdc = domain_ = kingdee.comlogging default = file:e:/eas4.1/apusic/logs/default.log kdc = file:e:/eas4.1/apusic/logs/kdc.log admin_server = file:e:/eas4.1/apusic/logs/kadm

34、in.log kdc_rotate = period = 1d versions = 10 參數(shù)說明：(1) default_realm：為ad域控制全限定域名 (例如：kingdee.com)，注意：此參數(shù)值中的字母必須大寫，如上配置參數(shù)所示。(2) kdc ：為ad域服務(wù)器ip地址，注意：該參數(shù)外層的參數(shù)必須同default_realm定義的域名相同，如上配置參數(shù)所示。(3) domain_realm：該段中定義了應(yīng)用實(shí)際域名或主機(jī)名和ad域名的映射關(guān)系，其定義格式和規(guī)范如上配置參數(shù)所示，一般為：.域名稱(小寫，最前面有個點(diǎn)) = 域名稱(大寫)。實(shí)際使用中，用戶只需要配置上面紅色字體標(biāo)注

35、的部分，將實(shí)際采用的ad域服務(wù)器的域名和ip地址配置到該文件中。3.3.2 配置eas用戶認(rèn)證登錄類在服務(wù)端serverproperties目錄下的login.config文件中加入以下配置參數(shù)：com.kingdee.eas.cp.eip.sso.ad.activedirauthhandlercom.sun.security.auth.module.krb5loginmodule required client=true debug=true useticketcache=false;3.2.3 配置微軟ad域用戶認(rèn)證處理器按照3.1.2節(jié)所述方法將微軟ad域用戶認(rèn)證處理器配置到easaut

36、hpatterns.xml文件中，ad域用戶認(rèn)證處理器的authpattern節(jié)點(diǎn)定義如下：baseadbaseadcom.kingdee.eas.cp.eip.sso.ad.activedirauthhandler base microsoft ad authentication3.4 ltpa認(rèn)證方案的配置與實(shí)現(xiàn)ltpa是一個基于web的認(rèn)證框架，ltpa的詳細(xì)信息請參見附錄3，eas的ltpa認(rèn)證方案是一種基于web的加密認(rèn)證機(jī)制，通過eas portal與第三方web應(yīng)用系統(tǒng)進(jìn)行集成，可以實(shí)現(xiàn)只需登錄一次即可相互進(jìn)行訪問，其配置步驟如下：3.4.1 配置密鑰文件服務(wù)端serverpro

37、filesserver1configportalconfig目錄下的ltpatperties文件即為ltpa token 加密串的密鑰，文件內(nèi)容如下：cookie.domain=.token.expiration=30domino.secret=btfa8f+hwnejyegtuzsjtwoz/t8=參數(shù)說明：(1) cookie.domain：與domino集成時才有用的參數(shù)，通常無需關(guān)注(2) token.expiration：token串的有效時間，這里以分鐘為單位，用于校驗(yàn)token串時檢查其是否過期，其有效時間從生成token串時web應(yīng)用的系統(tǒng)時間

38、開始算起，因此，ltpa認(rèn)證集成機(jī)制要求被集成的各web應(yīng)用服務(wù)器的系統(tǒng)時間需要保持一致(3) domino.secret：加密生成token串的密鑰，該參數(shù)可以是任意指定的一個字符串，沒有長度限制，而且建議定期更換該密鑰以增加安全性。該文件需要在eas服務(wù)器環(huán)境和要集成web應(yīng)用系統(tǒng)的環(huán)境中各保存一份，且密鑰必須相同，注意：在eas服務(wù)器環(huán)境中該文件的存放路徑不用改變，即上述缺省路徑即可，在第三方web應(yīng)用系統(tǒng)中該文件的存放路徑可任意指定 (例如：d:trdwebappsecurity)。3.4.2 ltpa token加密和校驗(yàn)接口介紹在服務(wù)端serverlibserverbos目錄下的c

39、p_sso-server.jar包包含了ltpa token的生成和校驗(yàn)工具類com.kingdee.eas.cp.eip.sso.ltpa.ltpatokenmanager類，該類主要接口定義如下：public static ltpatoken generate(string canonicaluser,string configfile);public static boolean verifytoken(string path, string token, string usernumber);接口說明如下：(1) public static ltpatoken generate(str

40、ing canonicaluser,string configfile);該接口主要用于使用密鑰文件ltpatperties生成ltpa token加密串。參數(shù)說明：a) canonicaluser：登錄用戶賬號b) configfile：ltpatperties文件全路徑 (例如：d:trdwebappsecurityltpatperties)(2) public static boolean verifytoken(string path, string token, string usernumber);該接口主要用于校驗(yàn)ltpa toke

41、n串的合法性。參數(shù)說明：a) path：ltpatperties文件全路徑 (例如：d:trdwebappsecurityltpatperties)，如果第三方應(yīng)用通過webservice調(diào)用eas提供的服務(wù)，該參數(shù)傳入null值。b) token：使用generate接口生成的ltpa token加密串c) usernumber：使用generate接口生成的ltpa token加密串時傳入的登錄用戶賬號3.4.3 第三方應(yīng)用集成eas portal（即：在第三方應(yīng)用中打開eas portal）的實(shí)現(xiàn)步驟在第三方web應(yīng)用系統(tǒng)中集成eas portal通常指，

42、在第三方系統(tǒng)中增加一個eas portal的訪問地址，然后在再登錄到第三方系統(tǒng)后，通過該訪問地址可以直接進(jìn)入到eas portal中，該方案需要eas portal和第三方系統(tǒng)都要做一些配置或開發(fā)工作，其集成步驟如下：eas系統(tǒng)需要做的配置工作：(1) eas 6.0 及sp1版本需要安裝補(bǔ)丁ptm037265，eas 7.0 sp1及以后版本則缺省包含該補(bǔ)丁內(nèi)容；(2) 將服務(wù)端serverprofilesserver(1n)configportalconfig目錄下的ssocperties文件中的sso.easisssoclient參數(shù)項(xiàng)的值修改為true；(3) 將服務(wù)

43、端serverprofilesserver(1n)configportalconfig目錄下的autologincperties文件中的datacenter參數(shù)修改為eas portal要登錄的數(shù)據(jù)中心代碼 (即：數(shù)據(jù)中心id)，并且將authpattern參數(shù)修改為basetrdltpatoken；(4) 重新啟動eas 服務(wù)器；第三方系統(tǒng)需要做的開發(fā)工作：(5) 將ltpatokenmanager.jar包（該包請聯(lián)系金蝶的工程師獲?。┎渴鸬降谌较到y(tǒng)中；(注意：此方式只針對于第三方系統(tǒng)基于java語言實(shí)現(xiàn)，如果是基于.net 語言實(shí)現(xiàn)的系統(tǒng)則無法直接使用token加密和

44、校驗(yàn)java接口，需要以web service的方式調(diào)用token加密和校驗(yàn)服務(wù)) (6) 在第三方系統(tǒng)中增加如下代碼邏輯：a) 獲取登錄用戶賬號b) 使用ltpatokenmanager的generate方法生成ltpa token加密串c) 訪問eas portal的單點(diǎn)登錄請求地址：http:/:/easportal/index2sso.jsp?username=+username+&password=+password+&redirectto=+redirectto其中，參數(shù)username為登錄用戶賬號；參數(shù)password為token加密串；參數(shù)redirectto為登錄后跳轉(zhuǎn)的p

45、ortal應(yīng)用的地址。注：通常情況下如果只需要直接登錄到portal的主頁，則可以刪除紅色部分redirectto參數(shù)示例jsp代碼如下：a href= target=_blankeas portal完成以上工作后即實(shí)現(xiàn)了在第三方應(yīng)用中集成eas portal。另外，如果第三方系統(tǒng)能夠提供其它方案獲取登錄后的用戶賬號，則上述代碼邏輯或jsp頁面也可由eas系統(tǒng)這邊進(jìn)行二次開發(fā)，使用第三方系統(tǒng)的方法獲取用戶賬號并進(jìn)行驗(yàn)證，然后按照上述實(shí)現(xiàn)步驟生成token加密串，訪問eas portal的單點(diǎn)登錄請求地址。3.4.4 eas portal集成第三方應(yīng)用（即：在eas portal中打開第三方應(yīng)用

46、）的實(shí)現(xiàn)步驟通常情況下如果要在eas portal中集成第三方應(yīng)用系統(tǒng)應(yīng)采用第三方應(yīng)用系統(tǒng)的單點(diǎn)登錄集成方式，如果第三方應(yīng)用沒有單點(diǎn)登錄集成方式，則也可以通過進(jìn)行二次開發(fā)來采用eas的ltpa認(rèn)證方案，其實(shí)現(xiàn)步驟如下：第三方系統(tǒng)需要做的開發(fā)工作：(1) 將3.3.1 所述ltpatperties文件拷貝到第三方系統(tǒng)的任意目錄中；(2) 開發(fā)出支持傳入用戶名和ltpa token加密串，校驗(yàn)通過后即可登錄到第三方系統(tǒng)中的接口；(3) 在該接口中調(diào)用ltpatokenmanager的verifytoken接口進(jìn)行token加密串合法性的校驗(yàn)eas系統(tǒng)需要做的開發(fā)工作：(4) 在登錄

47、到portal后，獲取到用戶賬號并且調(diào)用ltpatokenmanager的generate方法生成token加密串，然后調(diào)用第三方系統(tǒng)開發(fā)的接口登錄到第三方系統(tǒng)中。3.5 用戶集成組件用戶集成組件，主要解決eas系統(tǒng)和其他各應(yīng)用系統(tǒng)間用戶信息的差異問題?？梢允蛊渌鲬?yīng)用系統(tǒng)的用戶能夠與eas系統(tǒng)中的用戶相對應(yīng)，從而順利單點(diǎn)登錄到eas系統(tǒng)中。eas系統(tǒng)同第三方應(yīng)用系統(tǒng)的單點(diǎn)登錄集成過程中，在配置和實(shí)現(xiàn)了一個具體的單點(diǎn)登錄認(rèn)證方案后，需要將第三方應(yīng)用系統(tǒng)或者域服務(wù)器上的用戶信息集成到eas系統(tǒng)中，這樣才能實(shí)現(xiàn)使用一個統(tǒng)一的用戶訪問單點(diǎn)登錄集成的各個應(yīng)用系統(tǒng)。3.5.1 用戶數(shù)據(jù)導(dǎo)入用戶數(shù)據(jù)導(dǎo)入可

48、以實(shí)現(xiàn)將外部系統(tǒng)或服務(wù)器的用戶信息集成到eas系統(tǒng)中，是用戶集成的第一步工作。通過eas系統(tǒng)中的【系統(tǒng)平臺】【外部數(shù)據(jù)管理】【外部用戶管理】【用戶數(shù)據(jù)導(dǎo)入】菜單可以打開用戶數(shù)據(jù)導(dǎo)入的功能界面，如圖3.1所示。圖3.1 用戶數(shù)據(jù)導(dǎo)入功能界面 eas 5.9.0eas 7.0.0用戶數(shù)據(jù)導(dǎo)入功能及參數(shù)說明打開用戶數(shù)據(jù)導(dǎo)入的功能界面后點(diǎn)擊“新建”按鈕，新增一條外部用戶數(shù)據(jù)導(dǎo)入數(shù)據(jù)源，該數(shù)據(jù)源的配置界面如圖3.2所示：圖3.2 用戶導(dǎo)入數(shù)據(jù)源配置界面該界面參數(shù)說明：(1) 用戶數(shù)據(jù)源：為數(shù)據(jù)源的名稱，可以是任意一個字符串(2) 資源連接類型：該參數(shù)表明數(shù)據(jù)源的類型，由于通常情況下企業(yè)業(yè)務(wù)

49、系統(tǒng)存儲用戶信息一般采用ldap服務(wù)器或者數(shù)據(jù)庫數(shù)據(jù)表兩種方式，所以該參數(shù)有兩個選項(xiàng)：一個是ldap服務(wù)器 (注：微軟ad域服務(wù)器是ldap服務(wù)器的一種)，另一個是數(shù)據(jù)庫 (注：該功能已廢棄，由eai平臺來完成)。(3) 資源項(xiàng)連接地址：為ldap服務(wù)器的ip地址(4) 端口：為ldap服務(wù)器的端口號，通常情況下缺省是389(5) 資源專有名稱dn：該參數(shù)通過后面的“獲取basedn”按鈕獲得域中的namingcontext (命名空間)(6) 資源項(xiàng)登錄用戶名：為ldap服務(wù)器中已定義的一個用戶名(7) 資源項(xiàng)登錄密碼：資源項(xiàng)登錄用戶名的登錄密碼(8) 用戶表用戶名：ldap服務(wù)器中代表ea

50、s系統(tǒng)中用戶登錄賬號的條目名稱(9) 用戶表用戶姓名：ldap服務(wù)器中代表eas系統(tǒng)中用戶實(shí)名的條目名稱(10) 搜索返回值：該項(xiàng)不能編輯，由用戶表用戶名和用戶表用戶姓名自動生成(11) 數(shù)據(jù)過濾條件：ldap服務(wù)器中過濾出同步用戶的過濾條件(12) 同步用戶初始化密碼：使用外部用戶登錄時的初始密碼(13) 同步實(shí)現(xiàn)類：該參數(shù)有兩個缺省選項(xiàng)，一個是“eas默認(rèn)用戶同步”，另一個是“同步用戶與職員匹配，并設(shè)置默認(rèn)的組織和角色”，通常情況下選擇“eas默認(rèn)用戶同步”進(jìn)行同步，另外，該參數(shù)也支持二次開發(fā)擴(kuò)展的同步實(shí)現(xiàn)類。(14) 引入實(shí)現(xiàn)：使用xml文件存儲用戶信息得引入引出實(shí)現(xiàn)類，通常情況下為空值

51、 eas 5.1.3 eas 5.4.0用戶數(shù)據(jù)導(dǎo)入功能及參數(shù)說明eas早期版本的數(shù)據(jù)源的配置界面如圖3.3所示：圖3.3 eas早期版本用戶導(dǎo)入數(shù)據(jù)源配置界面該界面參數(shù)說明：(1) 編碼：該數(shù)據(jù)源的編碼，可以是任意一個字符串(2) 用戶數(shù)據(jù)源：同步配置項(xiàng)唯一標(biāo)識(3) 資源項(xiàng)連接地址：ldap服務(wù)器地址 (格式：ldap:/:389/ )(4) 資源項(xiàng)登錄用戶名：域中任意用戶名(5) 集成清單-編碼：分錄唯一標(biāo)識(6) 集成清單-用戶名：eas系統(tǒng)用戶 (將以此用戶為用戶數(shù)據(jù)的創(chuàng)建者，即所同步用戶數(shù)據(jù)將以此用戶的cu為默認(rèn)cu)(7) 集成清單-密碼：同步用戶的預(yù)設(shè)密碼(8) 集成清單-用戶名后綴：當(dāng)同步的用戶和eas系統(tǒng)用戶出現(xiàn)重名的時 使用同步用戶加用戶后綴名 錄入eas用戶中(9) 集成清單-basedn：cn=user