單點登錄技術(shù)方案

1、-作者xxxx-日期xxxx單點登錄技術(shù)方案【精品文檔】單點登錄技術(shù)方案（歡迎學(xué)習(xí)）目錄1.xxxx集團系統(tǒng)建設(shè)現(xiàn)狀31.1.Web應(yīng)用系統(tǒng)31.2.C/S應(yīng)用系統(tǒng)41.3.SSL VPN系統(tǒng)42.xxxx集團單點登錄系統(tǒng)需求52.1.一站式登錄需求53.SSO（單點登錄）技術(shù)簡介63.1.修改應(yīng)用程序SSO方案63.2.即插即用SSO方案73.3.兩種SSO方案比較73.4.惠普SSO83.4.1.惠普SSO開發(fā)背景83.4.2.惠普SSO的功能83.4.3.惠普SSO的特點103.4.4.惠普SSO結(jié)構(gòu)114.xxxx集團單點登錄技術(shù)方案124.1.應(yīng)用系統(tǒng)中部署惠普SSO單點登錄124.

2、1.1.解決全局的單點登錄134.1.2.應(yīng)用系統(tǒng)的整合144.1.3.用戶如何過渡到使用單點登錄154.1.4.管理員部署業(yè)務(wù)系統(tǒng)單點登錄功能154.1.5.建立高擴展、高容錯單點登錄環(huán)境174.1.6.建立穩(wěn)定、安全、高速網(wǎng)絡(luò)環(huán)境174.2.定制工作184.2.1.SSL VPN結(jié)合184.2.2.密碼同步185.項目實施進度195.1.基本安裝配置195.2.配置認證腳本195.3.總體進度206.硬件清單217.軟件清單221. xxxx集團系統(tǒng)建設(shè)現(xiàn)狀xxxx集團有限責(zé)任公司（以下簡稱集團公司）管理和運營省內(nèi)11個民用機場，以及20多個關(guān)聯(lián)企業(yè)（全資子公司、控股企業(yè)、參股企業(yè)）。現(xiàn)有

3、的信息系統(tǒng)主要有生產(chǎn)運營系統(tǒng)和管理信息系統(tǒng)，其中生產(chǎn)運營系統(tǒng)包括機場生產(chǎn)運營管理系統(tǒng)、中小機場生產(chǎn)運營管理系統(tǒng)、離港系統(tǒng)、航顯系統(tǒng)、廣播系統(tǒng)、安檢信息管理系統(tǒng)、控制區(qū)證件管理系統(tǒng)等，管理信息系統(tǒng)主要有財務(wù)系統(tǒng)、OA系統(tǒng)、郵件系統(tǒng)、資產(chǎn)管理系統(tǒng)、決策支持系統(tǒng)、網(wǎng)站信息發(fā)布審批系統(tǒng)、視頻點播系統(tǒng)等。這些信息系統(tǒng)的用戶包括集團公司所有機場以及關(guān)聯(lián)企業(yè)。各信息系統(tǒng)都有獨立的用戶組織體系，采用“用戶名+密碼”的方式來實現(xiàn)身份認證和授權(quán)訪問。從而與眾多企業(yè)一樣存在如下一些主要問題：1、終端用戶需要記住多個用戶名和密碼；2、終端用戶需要登錄不同的信息系統(tǒng)以獲取信息；3、系統(tǒng)管理員難以應(yīng)付對用戶的管理；4、難

4、以實施系統(tǒng)使用安全方面的管理措施。1.1. Web應(yīng)用系統(tǒng)xxxx集團現(xiàn)有的Web應(yīng)用系統(tǒng)包括：辦公自動化系統(tǒng)（OA）、郵件系統(tǒng)、資產(chǎn)管理系統(tǒng)、內(nèi)部網(wǎng)站信息發(fā)布審批系統(tǒng)、決策支持系統(tǒng)、視頻點播系統(tǒng)等。這些系統(tǒng)基本上是各自獨立開發(fā)的、或者購買的商業(yè)軟件。每個應(yīng)用系統(tǒng)都有自己的用戶管理機制和用戶認證機制，彼此獨立。每個應(yīng)用系統(tǒng)用戶名、口令可能各不相同。1.2. C/S應(yīng)用系統(tǒng)xxxx集團目前的C/S應(yīng)用只有一個：財務(wù)系統(tǒng)，金蝶K3財務(wù)系統(tǒng)。1.3. SSL VPN系統(tǒng)xxxx集團有一套SSL VPN系統(tǒng)，集團局域網(wǎng)之外的用戶（包括各地州機場、部分關(guān)聯(lián)企業(yè)、用戶自己家住房、出差旅館、無線上網(wǎng)等）是通

5、過SSL VPN系統(tǒng)進入集團局域網(wǎng)的，通過SSL VPN系統(tǒng)進入集團局域網(wǎng)訪問的系統(tǒng)包括：OA系統(tǒng)、郵件系統(tǒng)、資產(chǎn)管理系統(tǒng)、決策支持系統(tǒng)、網(wǎng)站信息發(fā)布審批系統(tǒng)及內(nèi)部網(wǎng)站等。用戶經(jīng)過SSL VPN系統(tǒng)進入集團局域網(wǎng)需要經(jīng)過身份認證。2. xxxx集團單點登錄系統(tǒng)需求現(xiàn)在信息系統(tǒng)建設(shè)的重要內(nèi)容之一是信息門戶建設(shè)，利用門戶集成技術(shù)建立一個完整有效的內(nèi)部信息門戶，通過提供資源的管理和應(yīng)用開發(fā)的支撐功能，把各業(yè)務(wù)系統(tǒng)的不同功能有效地組織起來，給用戶提供一個統(tǒng)一的信息服務(wù)功能入口，集成現(xiàn)有的業(yè)務(wù)系統(tǒng)信息資源，減少信息孤島的存在并降低重復(fù)投資，為用戶提供更加完善的信息服務(wù)。2.1. 一站式登錄需求由于目前各

6、應(yīng)用系統(tǒng)獨立設(shè)計、自成體系，不同系統(tǒng)采用不同的用戶管理機制，所以進入每個應(yīng)用系統(tǒng)均需獨立的認證和登錄，導(dǎo)致用戶使用麻煩，無法體現(xiàn)以用戶為中心的服務(wù)理念，無法給用戶提供簡單、方便、快捷、使用的信息服務(wù)。xxxx集團要實現(xiàn)為各類專業(yè)應(yīng)用系統(tǒng)（辦公自動化系統(tǒng)、企業(yè)郵件系統(tǒng)、資產(chǎn)管理系統(tǒng)等）提供應(yīng)用集成，必須首先解決各系統(tǒng)互聯(lián)互通，資源共享需求所帶來的統(tǒng)一身份認證需要。應(yīng)根據(jù)“統(tǒng)一規(guī)劃，分步實施”，“需求主導(dǎo)，共建共享”，“先進實用，開放擴展”，“統(tǒng)一標(biāo)準，保障安全”的四個指導(dǎo)原則，先期在信息系統(tǒng)中提供先進安全可靠的、符合國際標(biāo)準的、高性能大規(guī)模的單點登錄整體解決方案（“一站式登錄Single Sig

7、n-On，SSO）”，以降低用戶和密碼管理成本，提高安全性，并提高用戶的系統(tǒng)使用效率，為各系統(tǒng)的無縫集成打下堅實的基礎(chǔ)。3. SSO（單點登錄）技術(shù)簡介SSO就是通過一次登錄自動訪問所有授權(quán)的應(yīng)用系統(tǒng)，從而提高整體安全性，而且用戶無需記錄多種登錄過程、ID或口令。需要部署SSO的原因：u 口令越多，安全風(fēng)險越大u 需要簡化用戶訪問u 需要簡化用戶帳號和口令的系統(tǒng)管理u 使用單點登錄可以集中地提高整個系統(tǒng)的安全性u 為企業(yè)提供統(tǒng)一的、集中的信息資源管理手段u 提高應(yīng)用系統(tǒng)數(shù)據(jù)信息的安全從而保護企業(yè)核心財產(chǎn)目前單點登錄技術(shù)主要分為兩類，分別修改應(yīng)用程序SSO技術(shù)方案和不修改應(yīng)用程序SSO技術(shù)方案（

8、即插即用）。3.1. 修改應(yīng)用程序SSO方案在這種方案中，SSO解決方案包括的組件為：認證服務(wù)器、各種API（Java、C/C+、.Net、JSP、ASP、PHP等）、各種代理Agent。這種解決方案需要用戶改造以前的應(yīng)用系統(tǒng)，采用方案提供的API或Agent對應(yīng)用系統(tǒng)進行修改。改變原有應(yīng)用系統(tǒng)的認證方式、采用認證服務(wù)器提供的技術(shù)進行身份認證。這種解決方案，一般要求用戶先統(tǒng)一所有應(yīng)用系統(tǒng)的用戶數(shù)據(jù)庫。把用戶的信息統(tǒng)一后，才可實現(xiàn)單點登錄功能。在修改應(yīng)用的技術(shù)方案中，每個應(yīng)用服務(wù)器中都需要安裝一個代理程序完成用戶的身份認證工作。當(dāng)用戶訪問目標(biāo)應(yīng)用服務(wù)器時，代理程序向SSO服務(wù)器詢問該用戶是否已經(jīng)

9、登錄，如果是，則代理程序從SSO服務(wù)器中取得該用戶的用戶信息自動登錄該應(yīng)用系統(tǒng)。登錄成功后，用戶直接訪問該目標(biāo)服務(wù)器。如果未曾登錄過任何應(yīng)用服務(wù)器，則該應(yīng)用要求用戶進行身份認證，認證結(jié)束后，代理程序?qū)⒄J證結(jié)果發(fā)送給SSO服務(wù)器。這種方案的優(yōu)點是不用在單點登錄服務(wù)器上保存各個應(yīng)用系統(tǒng)的用戶名/口令信息。3.2. 即插即用SSO方案即插即用解決方案，不需要用戶修改應(yīng)用程序。即插即用解決方案包括的組件為：認證服務(wù)器、SSO客戶端或瀏覽器控件（C/S結(jié)構(gòu)的應(yīng)用需要，B/S應(yīng)用不需要）。這種解決方案在認證服務(wù)器上保存用戶所有應(yīng)用系統(tǒng)的用戶名/口令信息列表。針對每個應(yīng)用系統(tǒng)，在這種方案中都有一個對應(yīng)的配置

10、文件，這個配置用來代理用戶登錄應(yīng)用系統(tǒng)。即插即用解決方案工作的基本原理：首先針對每個應(yīng)用系統(tǒng)進行配置，產(chǎn)生一個配置文件；用戶登錄到單點登錄服務(wù)器上；用戶訪問應(yīng)用系統(tǒng)時，單點登錄服務(wù)器調(diào)用對應(yīng)于該應(yīng)用的配置文件，將對應(yīng)該應(yīng)用的用戶認證信息（用戶名/口令）取出，代理用戶登錄應(yīng)用系統(tǒng)；登錄成功后，用戶可以訪問應(yīng)用系統(tǒng)。這種方案的特點是在單點登錄服務(wù)器上保留各個應(yīng)用的用戶名/口令信息對應(yīng)列表。3.3. 兩種SSO方案比較修改應(yīng)用系統(tǒng)的SSO方案和即插即用SSO方案各有優(yōu)缺點，先比較如下：指標(biāo)修改應(yīng)用程序方案即插即用方案實施性實施周期長，一般月為單位實施周期短，以天為單位擴展性跟應(yīng)用的平臺、環(huán)境有關(guān)跟應(yīng)

11、用無關(guān)，高擴展容錯性單點登錄服務(wù)器失效，業(yè)務(wù)系統(tǒng)無法正常使用，容錯性差單點登錄服務(wù)器失效，業(yè)務(wù)系統(tǒng)仍可正常使用，容錯性好認證信息無需在單點登錄服務(wù)上存儲其他應(yīng)用的用戶認證信息需在單點登錄服務(wù)上存儲其他應(yīng)用的用戶認證信息表3.1 兩種SSO方案比較3.4. 惠普SSO3.4.1. 惠普SSO開發(fā)背景近年來，隨著信息化進一步發(fā)展，企業(yè)的應(yīng)用系統(tǒng)越來越多。部署這些應(yīng)用面臨雙重的安全挑戰(zhàn)。首先，必須保證只有合法的用戶才能訪問相應(yīng)的應(yīng)用資源。其次，實施安全保護措施時應(yīng)盡量避免增加用戶的負擔(dān)。隨著業(yè)務(wù)系統(tǒng)的增加，每個用戶需要記住多個口令，訪問不同的應(yīng)用系統(tǒng)采用不同的口令。這雖然能夠保證用戶對應(yīng)用資源的合法

12、訪問，但增加了用戶的負擔(dān)。一方面，為了方便記憶，用戶會采用簡單的口令或?qū)⒖诹钣涗浵聛?，這大大降低了應(yīng)用系統(tǒng)的安全性；另一方面，用戶每訪問一個應(yīng)用資源都需要登錄一次，這大大降低了工作效率。惠普SSO應(yīng)用軟件系統(tǒng)正是在這種背景下開發(fā)的。3.4.2. 惠普SSO的功能通過組合簡單的訪問控制和SSO功能，惠普SSO為客戶提供一個即插即用的SSO解決方案。用戶無須修改應(yīng)用系統(tǒng)（包括WEB應(yīng)用系統(tǒng)和C/S結(jié)構(gòu)應(yīng)用系統(tǒng)），自由選擇前置代理和后置代理或組合使用方式。只需簡單的配置，即可使用SSO應(yīng)用功能?；萜誗SO系統(tǒng)主要功能包括：u 單點登錄：用戶只需登錄一次，即可通過單點登錄系統(tǒng)（SSO）訪問后臺的多個應(yīng)

13、用系統(tǒng)，無需重新登錄后臺的各個應(yīng)用系統(tǒng)。后臺應(yīng)用系統(tǒng)的用戶名和口令可以各不相同，并且實現(xiàn)單點登錄時，后臺應(yīng)用系統(tǒng)無需任何修改。u 即插即用：通過簡單的配置，無須用戶修改任何現(xiàn)有B/S、C/S應(yīng)用系統(tǒng)，即可使用。解決了當(dāng)前其他SSO解決方案實施困難的難題。u 多樣的身份認證機制：同時支持基于PKI/CA數(shù)字證書和用戶名/口令身份認證方式，可單獨使用也可組合使用； u 可無縫集成Windows域認證模式，登錄的域用戶訪問惠普SSO服務(wù)器無須再次身份認證；u 基于角色訪問控制：根據(jù)用戶的角色和URL實現(xiàn)訪問控制功能u 基于Web界面管理：系統(tǒng)所有管理功能都通過Web方式實現(xiàn)。網(wǎng)絡(luò)管理人員和系統(tǒng)管理員

14、可以通過瀏覽器在任何地方進行遠程訪問管理。此外，可以使用HTTPS安全地進行管理。u 全面的日志審計：精確地記錄用戶的日志，可按日期、地址、用戶、資源等信息對日志進行查詢、統(tǒng)計和分析。審計結(jié)果通過Web界面以圖表的形式展現(xiàn)給管理員。u 雙機熱備：通過雙機熱備功能，提高系統(tǒng)的可用性，滿足企業(yè)級用戶的需求。u 集群：通過集群功能，為企業(yè)提供高效、可靠的SSO服務(wù)?？蓪崿F(xiàn)分布式部署，提供靈活的解決方案。u 傳輸加密：支持多種對稱和非對稱加密算法，保證用戶信息在傳輸過程中不被竊取和篡改。 u 防火墻：基于狀態(tài)檢測技術(shù)，支持NAT。主要用于加強SSO本身的安全，也適用于網(wǎng)絡(luò)性能要求不高的場合，以減少投資

15、。u 分布式安裝：對物理上不在一個區(qū)域的網(wǎng)絡(luò)應(yīng)用服務(wù)器可以進行分布式部署SSO系統(tǒng)u 后臺用戶數(shù)據(jù)庫支持：LDAP、Oracle、DB2、Win2k ADS、Sybase等?？梢詿o縫集成現(xiàn)有的應(yīng)用系統(tǒng)的統(tǒng)一用戶數(shù)據(jù)庫作為SSO應(yīng)用軟件系統(tǒng)的用戶數(shù)據(jù)庫。u 領(lǐng)先的C/S單點登錄解決方案：無需修改任何現(xiàn)有的應(yīng)用系統(tǒng)服務(wù)端和客戶端即可實現(xiàn)C/S單點登錄系統(tǒng)。3.4.3. 惠普SSO的特點同其他SSO產(chǎn)品相比，惠普SSO具有如下特點：u 即插即用：惠普SSO以完全獨立于應(yīng)用系統(tǒng)的方式工作，應(yīng)用系統(tǒng)完全感覺不到惠普SSO的存在。u 高可擴展性：企業(yè)新部署應(yīng)用系統(tǒng)通過簡單的配置即可納入SSO系統(tǒng)。u 應(yīng)用

16、無關(guān)性：同應(yīng)用系統(tǒng)的平臺、開發(fā)環(huán)境、結(jié)構(gòu)、編程語言以及腳本無關(guān)。支持所有的TCP/IP協(xié)議的應(yīng)用環(huán)境，能夠滿足各種Web應(yīng)用開發(fā)環(huán)境。u 無客戶端化：通過配置，對于C/S的應(yīng)用，可以通過插件的方式來實現(xiàn)單點登錄，無需安裝惠普單點登錄客戶端。u 滿足企業(yè)級應(yīng)用的需求：通過雙機熱備、集群等功能解決大型企業(yè)對應(yīng)用系統(tǒng)高可靠性和高帶寬需求。u 用戶認證信息多樣化：支持Web的BA和Form認證方式，Web應(yīng)用系統(tǒng)的用戶名口令可各不相同，支持數(shù)字證書認證、支持用戶已有的用戶數(shù)據(jù)庫等。通過定制開發(fā)也可支持動態(tài)口令等認證方式。3.4.4. 惠普SSO結(jié)構(gòu)圖3.1 惠普SSO體系結(jié)構(gòu)4. xxxx集團單點登錄

17、技術(shù)方案4.1. 應(yīng)用系統(tǒng)中部署惠普SSO單點登錄xxxx集團的單點登錄需求特點是：已經(jīng)實現(xiàn)了多個應(yīng)用系統(tǒng)，而且為異構(gòu)系統(tǒng)（不同的平臺上，使用不同的應(yīng)用服務(wù)器建立不同的業(yè)務(wù)系統(tǒng)），沒有獨立的單點登錄門戶。單點登錄系統(tǒng)想作為企業(yè)的門戶使用。在單點登錄技術(shù)領(lǐng)域，惠普拋棄了系統(tǒng)綜合集成、應(yīng)用大包大攬的整合、以及異構(gòu)系統(tǒng)異構(gòu)解決（插件方式）等實現(xiàn)方法。而是將重點放在已有應(yīng)用系統(tǒng)的單點登錄的無縫集成上，著重實現(xiàn)具有“即插即用”、“應(yīng)用無關(guān)”、“不知不覺中的單點登錄”等功能。為了更好的保護已有投資，使單點登錄系統(tǒng)具有更好的擴展性。在xxxx集團應(yīng)用系統(tǒng)的單點登錄規(guī)劃中我們推薦惠普SSO單點登錄產(chǎn)品。下面各

18、個章節(jié)里將詳細描述惠普SSO單點登錄系統(tǒng)如何無縫解決企業(yè)的單點登錄需求。4.1.1. 解決全局的單點登錄圖4.1 xxxx集團部署單點登錄系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖上圖為xxxx集團部署惠普SSO單點登錄系統(tǒng)的示意圖，為了保證系統(tǒng)高可用性，可采取SSO系統(tǒng)的雙機熱備部署方案。部署完成后，xxxx集團用戶登錄業(yè)務(wù)系統(tǒng)將不在面臨分散式登錄方式，用戶只需登錄惠普SSO系統(tǒng)一次即可。用戶在訪問某個業(yè)務(wù)系統(tǒng)時，惠普SSO單點登錄系統(tǒng)會截獲用戶信息，并對用戶進行安全可靠的身份認證（登錄SSO服務(wù)器，只需一次），登錄成功后（假定用戶身份正確）用戶再使用其他業(yè)務(wù)系統(tǒng)時將不再需要身份認證，惠普SSO單點登錄系統(tǒng)會自動代理該

19、用戶完成必要的認證過程，并且確保該用戶的正確性、合法性和安全性。4.1.2. 應(yīng)用系統(tǒng)的整合在提供SSO單點登錄方案時，應(yīng)盡量避免修改原有的應(yīng)用系統(tǒng)，不要修改應(yīng)用系統(tǒng)結(jié)構(gòu)和設(shè)計。對Web應(yīng)用，惠普SSO同應(yīng)用系統(tǒng)的操作系統(tǒng)平臺、應(yīng)用開發(fā)平臺、開發(fā)語言、開發(fā)腳本、Web服務(wù)器和應(yīng)用服務(wù)器的類型完全無關(guān)。這樣可以確?；萜誗SO系統(tǒng)支持所有的Web應(yīng)用系統(tǒng)。對于C/S結(jié)構(gòu)的應(yīng)用，采用惠普SSO的單點登錄客戶端或瀏覽器插件，可以方便的實現(xiàn)C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的單點登錄功能，無需用戶修改應(yīng)用程序。以透明的方式實現(xiàn)，達到“不知不覺”地實現(xiàn)單點登錄的功效。惠普SSO最大限度地避免用戶修改已有的應(yīng)用系統(tǒng)，為項目

20、的順利實施提供了可靠的保證。一方面，因無需定制開發(fā)，修改應(yīng)用程序，避免了部門協(xié)調(diào)的麻煩；另一方面，可以在短時間內(nèi)完成項目的部署，避免因?qū)嵤┲芷陂L帶來的不必要的麻煩。圖4.2 單點登錄主頁面根據(jù)xxxx集團的實際需求，對于C/S的應(yīng)用我們建議用戶采用瀏覽器插件的方式進行管理。采用瀏覽器插件的用戶不需要安裝客戶端，使用比較方便。上圖是默認配置下，用戶登錄到惠普SSO服務(wù)器后顯示的頁面。點擊主頁面上的所有應(yīng)用，用戶都可以直接進入該系統(tǒng)，不需要用戶再次輸入密碼。4.1.3. 用戶如何過渡到使用單點登錄部署惠普SSO單點登錄系統(tǒng)應(yīng)用后，企業(yè)用戶訪問和使用原有的業(yè)務(wù)系統(tǒng)時，其使用方式不進行任何變動，這主要

21、是惠普SSO單點登錄系統(tǒng)使用了透明轉(zhuǎn)發(fā)技術(shù)，也就是說，單點登錄系統(tǒng)的使用在用戶看來是透明的。其中企業(yè)用戶能看到的變化如下：l 一次性登錄到SSO服務(wù)器后，訪問任何業(yè)務(wù)系統(tǒng)不用進行身份認證；l 企業(yè)用戶需要在SSO服務(wù)器上維護自己用戶名/口令列表。每個用戶維護自己的列表，管理員無法干預(yù)，也無需干預(yù)。4.1.4. 管理員部署業(yè)務(wù)系統(tǒng)單點登錄功能系統(tǒng)管理員通過管理控制臺對單點登錄系統(tǒng)進行管理?；萜誗SO單點登錄系統(tǒng)自身攜帶圖形化的基于Web界面的管理控制臺，通過Web界面管理單點登錄系統(tǒng)。惠普SSO無需配置修改其他業(yè)務(wù)系統(tǒng)，最大化的減少了同各個業(yè)務(wù)系統(tǒng)管理部門之間的協(xié)調(diào)工作，保證項目的順利部署。其管

22、理界面如下：圖3.2 管理控制臺截圖每個需要單點登錄的業(yè)務(wù)系統(tǒng)在惠普SSO單點登錄系統(tǒng)中都需要進行配置，主要配置內(nèi)容包括：l 網(wǎng)絡(luò)地址，子網(wǎng)掩碼等等相關(guān)信息進行配置l 業(yè)務(wù)系統(tǒng)名稱l 業(yè)務(wù)系統(tǒng)IPl 業(yè)務(wù)系統(tǒng)開放的端口l 用戶管理l 用戶授權(quán)這些配置完成后用戶即可使用單點登錄，針對單點登錄的管理配置相當(dāng)簡單、明確。在配置和使用開始后，管理員的管理工作變得非常少，只剩下用戶管理和日志查詢審計工作，對用戶的管理包括增、刪、改等，而日志審計有非常直觀的圖形化界面可用，其截圖如下：圖3.3 惠普SSO單點登錄系統(tǒng)日志報表截圖日志審計部分是全局統(tǒng)一審計的，圖形化報表審計日志對管理員非常直觀外，企業(yè)決策層

23、進行系統(tǒng)分析和數(shù)據(jù)采樣也是非常適合的。4.1.5. 建立高擴展、高容錯單點登錄環(huán)境惠普SSO單點登錄系統(tǒng)無需修改應(yīng)用程序，因此新上線的應(yīng)用系統(tǒng)，通過配置即可納入單點登錄系統(tǒng)。系統(tǒng)具有良好的擴展性。惠普SSO單點登錄系統(tǒng)不修改應(yīng)用系統(tǒng)，采用旁路工資模式。因此，當(dāng)單點登錄系統(tǒng)出現(xiàn)故障時，除了無法使用單點登錄功能外，不影響原有業(yè)務(wù)系統(tǒng)的正常運行，保證了系統(tǒng)的高容錯功能。這是同修改應(yīng)用程序?qū)崿F(xiàn)單點登錄功能解決方案的一個重要區(qū)別。采用修改應(yīng)用程序的方法，一旦單點登錄系統(tǒng)出現(xiàn)問題，整個業(yè)務(wù)系統(tǒng)也會受到影響，可能無法正常工作。4.1.6. 建立穩(wěn)定、安全、高速網(wǎng)絡(luò)環(huán)境在企業(yè)的業(yè)務(wù)系統(tǒng)中增加單點登錄系統(tǒng)后首要

24、的問題是要穩(wěn)定、安全、高速，然后在這個基礎(chǔ)上進行單點登錄?；萜誗SO單點登錄系統(tǒng)采用雙機熱備、集群技術(shù)，這些技術(shù)保證SSO服務(wù)器不會影響業(yè)務(wù)系統(tǒng)的數(shù)據(jù)處理，可以適應(yīng)任何流量壓力下的正常數(shù)據(jù)傳輸。安全方面，惠普SSO單點登錄系統(tǒng)采用專用內(nèi)核，并且自身攜帶安全的防火墻模塊，保證單點登錄系統(tǒng)自身安全性和穩(wěn)定性。4.2. 定制工作4.2.1. SSL VPN結(jié)合xxxx集團有一套SSL VPN系統(tǒng)，采用的艾克斯通的SSL VPN系統(tǒng)?；萜誗SO系統(tǒng)可以和艾克斯通SSL VPN無縫集成。通過配置，用戶登SSL VPN后訪問惠普SSO系統(tǒng)，無須再次輸入密碼。移動辦公用戶的最終感覺是：登錄SSL VPN，輸入一次口令，然后訪問其他應(yīng)用系統(tǒng)時，無須再輸入口令。4.2.2. 密碼同步xxxx集團現(xiàn)有一個基于LDAP用戶數(shù)據(jù)庫，現(xiàn)有的Web應(yīng)用系統(tǒng)（OA、資產(chǎn)管理、企業(yè)郵件、網(wǎng)站發(fā)布、決策支持）和SSL VPN都使用該數(shù)據(jù)庫。有的直接使用，有的同步使用。同步使用時出現(xiàn)同步周期太長問題。為了解決這個問題，通過定制