單點(diǎn)登錄技術(shù)方案設(shè)計(jì)

.x.有生產(chǎn)運(yùn)營(yíng)系統(tǒng)和管理信息系統(tǒng),其中生產(chǎn)運(yùn)營(yíng)系統(tǒng)包括機(jī)場(chǎng)生產(chǎn)運(yùn)營(yíng)管理系資產(chǎn)管理系統(tǒng)、決策支持系統(tǒng)、信息發(fā)布審批系統(tǒng)、視頻點(diǎn)播系統(tǒng)等.這些信息系統(tǒng)的用戶包括集團(tuán)公司所有機(jī)場(chǎng)以與關(guān)聯(lián)企業(yè).各信息系統(tǒng)都有獨(dú)立的用戶組織體系,采用"用戶名+密碼〞的方式來(lái)實(shí)現(xiàn)身Web應(yīng)用系統(tǒng)1.2.C/S應(yīng)用系統(tǒng).3.SSLVPN系統(tǒng)系統(tǒng)進(jìn)入集團(tuán)局域網(wǎng)需要經(jīng)過(guò)身份認(rèn)證.2.xxxx集團(tuán)單點(diǎn)登錄系統(tǒng)需求現(xiàn)在信息系統(tǒng)建設(shè)的重要容之一是信息門戶建設(shè),利用門戶集成技術(shù)建立一個(gè)完整有效的部信息門戶,通過(guò)提供資源的管理和應(yīng)用開(kāi)發(fā)的支撐功能,把各業(yè)務(wù)系統(tǒng)的不同功能有效地組織起來(lái),給用戶提供一個(gè)統(tǒng)一的信息服務(wù)功能入口,集成現(xiàn)有的業(yè)務(wù)系統(tǒng)信息資源,減少信息孤島的存在并降低重復(fù)投資,為用戶提供更加完善的信息服務(wù).2.1.一站式登錄需求同的用戶管理機(jī)制,所以進(jìn)入每個(gè)應(yīng)用系統(tǒng)均需獨(dú)立的認(rèn)證和登錄,導(dǎo)致用戶使用麻煩,無(wú)法表現(xiàn)xxxx集團(tuán)要實(shí)現(xiàn)為各類專業(yè)應(yīng)用系統(tǒng)〔辦公自動(dòng)化系統(tǒng)、企業(yè)系統(tǒng)、資產(chǎn)的統(tǒng)一身份認(rèn)證需要..全可靠的、符合國(guó)際標(biāo)準(zhǔn)的、高性能大規(guī)模的單點(diǎn)登錄整體解決方案〔"一站式的系統(tǒng)使用效率,為各系統(tǒng)的無(wú)縫集成打下堅(jiān)實(shí)的根底.SSO就是通過(guò)一次登錄自動(dòng)訪問(wèn)所有授權(quán)的應(yīng)用系統(tǒng),從而提高整體安全性,令需要簡(jiǎn)化用戶訪問(wèn)令需要簡(jiǎn)化用戶和口令的系統(tǒng)管理令使用單點(diǎn)登錄可以集中地提高整個(gè)系統(tǒng)的安全性令為企業(yè)提供統(tǒng)一的、集中的信息資源管理手段令提高應(yīng)用系統(tǒng)數(shù)據(jù)信息的安全從而保護(hù)企業(yè)核心財(cái)產(chǎn)3.1.修改應(yīng)用程序SSO方案以前的應(yīng)用系統(tǒng),采用方案提供的API或Agent對(duì)應(yīng)用系統(tǒng)進(jìn)展修改.改變?cè)袘?yīng)用系統(tǒng)的認(rèn)證方式、采用認(rèn)證服務(wù)器提供的技術(shù)進(jìn)展身份認(rèn)證.這種解決方案,一般要求用戶先統(tǒng)一所有應(yīng)用系統(tǒng)的用戶數(shù)據(jù)庫(kù).把用戶的信息統(tǒng)一后,才可實(shí)現(xiàn)單點(diǎn)登錄功能.在修改應(yīng)用的技術(shù)方案中,每個(gè)應(yīng)用服務(wù)器中都需要安裝一個(gè)代理程序完成.用戶的身份認(rèn)證工作.當(dāng)用戶訪問(wèn)目標(biāo)應(yīng)用服務(wù)器時(shí),代理程序向SSO服務(wù)器詢問(wèn)該用戶是否已經(jīng)登錄,如果是,如此代理程序從SSO服務(wù)器中取得該用戶的用戶信息自動(dòng)登錄該應(yīng)用系統(tǒng).登錄成功后,用戶直接訪問(wèn)該目標(biāo)服務(wù)器.如果未曾登錄過(guò)任何應(yīng)用服務(wù)器,如此該應(yīng)用要求用戶進(jìn)展身份認(rèn)證,認(rèn)證完畢后,代理程這種方案的優(yōu)點(diǎn)是不用在單點(diǎn)登錄服務(wù)器上保存各個(gè)應(yīng)用系統(tǒng)的用戶名/口令信息.3.2.即插即用SSO方案即插即用解決方案,不需要用戶修改應(yīng)用程序.即插即用解決方案包括的組列表.針對(duì)每個(gè)應(yīng)用系統(tǒng),在這種方案中都有一個(gè)對(duì)應(yīng)的配置文件,這個(gè)配置用來(lái)代理用戶登錄應(yīng)用系統(tǒng).方案工作的根本原理：首先針對(duì)每個(gè)應(yīng)用系統(tǒng)進(jìn)展配置,產(chǎn)生一個(gè)配置文件；用戶登錄到單點(diǎn)登錄服務(wù)器上；用戶訪問(wèn)應(yīng)用系統(tǒng)時(shí),單點(diǎn)登錄服務(wù)器調(diào)用對(duì)應(yīng)于該應(yīng)用的配置文件,將對(duì)應(yīng)該應(yīng)用的用戶認(rèn)證信息〔用戶名/口令〕取出,代理用戶登錄應(yīng)用系統(tǒng)；登錄成功后,用戶可以訪問(wèn)應(yīng)用系統(tǒng).這種方案的特點(diǎn)是在單點(diǎn)登錄服務(wù)器上保存各個(gè)應(yīng)用的用戶名/口令信息對(duì)應(yīng)列表.3.3.兩種SSO方案比擬.性擴(kuò)展性容錯(cuò)性認(rèn)證信息修改應(yīng)用程序方案實(shí)施周期長(zhǎng),一般月為單位跟應(yīng)用的平臺(tái)、環(huán)境有關(guān)單點(diǎn)登錄服務(wù)器失效,業(yè)務(wù)系統(tǒng)無(wú)常使用,容錯(cuò)性差無(wú)需在單點(diǎn)登錄服務(wù)上存儲(chǔ)其他應(yīng)用的用戶認(rèn)證信息即用方案實(shí)施周期短,以天為單位跟應(yīng)用無(wú)關(guān),高擴(kuò)展單點(diǎn)登錄服務(wù)器失效,業(yè)務(wù)系統(tǒng)仍可正常使用,容錯(cuò)性好需在單點(diǎn)登錄服務(wù)上存儲(chǔ)其他應(yīng)用的用戶認(rèn)證信息近年來(lái),隨著信息化進(jìn)一步開(kāi)展,企業(yè)的應(yīng)用系統(tǒng)越來(lái)越多.部署這些應(yīng)用面臨雙重的安全挑戰(zhàn).首先,必須保證只有合法的用戶才能訪問(wèn)相應(yīng)的應(yīng)用資源.其次,實(shí)施安全保護(hù)措施時(shí)應(yīng)盡量防止增加用戶的負(fù)擔(dān).隨著業(yè)務(wù)系統(tǒng)的增加,每個(gè)用戶需要記住多個(gè)口令,訪問(wèn)不同的應(yīng)用系統(tǒng)采用不同的口令.這雖然能夠保證用戶對(duì)應(yīng)用資源的合法訪問(wèn),但增加了用戶的負(fù)擔(dān).一方面,為了方便記憶,用戶會(huì)采用簡(jiǎn)單的口令或?qū)⒖诹钣涗浵聛?lái),這大大降低了應(yīng)用系統(tǒng)的安全性；另一方面,用戶每訪問(wèn)一個(gè)應(yīng)用資源都需要登錄一次,這大大降低了工作效率.惠普SSO應(yīng)用軟件系統(tǒng)正是在這種背景下開(kāi)發(fā)的..自由選擇前置代理和后置代理或組合使用方式.只需簡(jiǎn)單的配置,即可使用SSO的多個(gè)應(yīng)用系統(tǒng),無(wú)需重新登錄后臺(tái)的各個(gè)應(yīng)用系統(tǒng).后臺(tái)應(yīng)用系統(tǒng)的用戶名和口令可以各不一樣,并且實(shí)現(xiàn)單點(diǎn)登錄時(shí),后臺(tái)應(yīng)用系統(tǒng)無(wú)需任何修改.人員和系統(tǒng)管理員可以通過(guò)瀏覽器在任何地方進(jìn)展遠(yuǎn)程訪問(wèn)管理.此外,令雙機(jī)熱備：通過(guò)雙機(jī)熱備功能,提高系統(tǒng)的可用性,滿足企業(yè)級(jí)用戶的需求.提供靈活的解決方案.不被竊取和篡改.令分布式安裝：對(duì)物理上不在一個(gè)區(qū)域的網(wǎng)絡(luò)應(yīng)用服務(wù)器可以進(jìn)展分布式的用戶數(shù)據(jù)庫(kù).令高可擴(kuò)展性：企業(yè)新部署應(yīng)用系統(tǒng)通過(guò)簡(jiǎn)單的配置即可納入SSO系統(tǒng).令應(yīng)用無(wú)關(guān)性：同應(yīng)用系統(tǒng)的平臺(tái)、開(kāi)發(fā)環(huán)境、結(jié)構(gòu)、編程語(yǔ)言以與腳本境.安裝惠普單點(diǎn)登錄客戶端.令滿足企業(yè)級(jí)應(yīng)用的需求：通過(guò)雙機(jī)熱備、集群等功能解決大型企業(yè)對(duì)應(yīng)統(tǒng)高可靠性和高帶寬需求.瀏覽器客戶瀏覽器客戶端瀏覽器客戶端SO證圖形化審計(jì)報(bào)表集群、雙機(jī)熱備數(shù)據(jù)庫(kù)用服務(wù)器用服務(wù)器用服務(wù)器臺(tái)制控理管密訪問(wèn)控制4.xxxx集團(tuán)單點(diǎn)登錄技術(shù)方案4.1.應(yīng)用系統(tǒng)中部署惠普SSO單點(diǎn)登錄點(diǎn)登錄門戶.單點(diǎn)登錄系統(tǒng)想作為企業(yè)的門戶使用.在單點(diǎn)登錄技術(shù)領(lǐng)域,惠普拋.等實(shí)現(xiàn)方法.而是將重點(diǎn)放在已有應(yīng)用系統(tǒng)的單點(diǎn)登錄的無(wú)縫集成上,著重實(shí)現(xiàn)應(yīng)用系統(tǒng)的單點(diǎn)登錄規(guī)劃中我們推薦惠普SSO單點(diǎn)登錄產(chǎn)品.下面各個(gè)章節(jié)里將詳細(xì)描述惠普SSO單點(diǎn)登錄系統(tǒng)如何無(wú)縫解決企業(yè)的單需求.4.1.1.解決全局的單點(diǎn)登錄上圖為xxxx集團(tuán)部署惠普SSO單點(diǎn)登錄系統(tǒng)的示意圖,為了保證系統(tǒng)高可用統(tǒng)將不在面臨分散式登錄方式,用戶只需登錄惠普SSO系統(tǒng)一次即可.用戶在訪問(wèn)某個(gè)業(yè)務(wù)系統(tǒng)時(shí),惠普SSO單點(diǎn)登錄系統(tǒng)會(huì)截獲用戶信息,并對(duì)用戶進(jìn)展安全代理該用戶完成必要的認(rèn)證過(guò)程,并且確保該用戶的正確性、合法性和安全性.4.1.2.應(yīng)用系統(tǒng)的整合在提供SSO單點(diǎn)登錄方案時(shí),應(yīng)盡量防止修改原有的應(yīng)用系統(tǒng),不要修改應(yīng)用系統(tǒng)結(jié)構(gòu)和設(shè)計(jì)..便的實(shí)現(xiàn)C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的單點(diǎn)登錄功能,無(wú)需用戶修改應(yīng)用程序.以透明的式實(shí)現(xiàn),達(dá)到"不知不覺(jué)〞地實(shí)現(xiàn)單點(diǎn)登錄的成效.另一方面,可以在短時(shí)間完成項(xiàng)目的部署,防止因?qū)嵤┲芷陂L(zhǎng)帶來(lái)的不必要的麻煩.根據(jù)xxxx集團(tuán)的實(shí)際需求,對(duì)于C/S的應(yīng)用我們建議用戶采用瀏覽器插件的方式進(jìn)展管理.采用瀏覽器插件的用戶不需要安裝客戶端,使用比擬方便.上圖是默認(rèn)配置下,用戶登錄到惠普SSO服務(wù)器后顯示的頁(yè)面.點(diǎn)擊主頁(yè)面上的所有應(yīng)用,用戶都可以直接進(jìn)入該系統(tǒng),不需要用戶再次輸入密碼.4.1.3.用戶如何過(guò)渡到使用單點(diǎn)登錄術(shù),也就是說(shuō),單點(diǎn)登錄系統(tǒng)的使用在用戶看來(lái)是透明的.化如下：4.1.4.管理員部署業(yè)務(wù)系統(tǒng)單點(diǎn)登錄功能.統(tǒng).惠普SSO無(wú)需配置修改其他業(yè)務(wù)系統(tǒng),最大化的減少了同各個(gè)業(yè)務(wù)系統(tǒng)管理網(wǎng)絡(luò)地址,子網(wǎng)掩碼等等相關(guān)信息進(jìn)展配置業(yè)務(wù)系統(tǒng)名稱業(yè)務(wù)系統(tǒng)開(kāi)放的端口用戶管理用戶授權(quán)這些配置完成后用戶即可使用單點(diǎn)登錄,針對(duì)單點(diǎn)登錄的管理配置相當(dāng)簡(jiǎn)單、明確.在配置和使用開(kāi)始后,管理員的管理工作變得非常少,只剩下用戶管理企業(yè)決策層進(jìn)展系統(tǒng)分析和數(shù)據(jù)采樣也是非常適合的.惠普SSO單點(diǎn)登錄系統(tǒng)無(wú)需修改應(yīng)用程序,因此新上線的應(yīng)用系統(tǒng),通過(guò)配置即可納入單點(diǎn)登錄系統(tǒng).系統(tǒng)具有良好的擴(kuò)展性.錄系統(tǒng)出現(xiàn)故障時(shí),除了無(wú)法使用單點(diǎn)登錄功能外,不影響原有業(yè)務(wù)系統(tǒng)的正常運(yùn)行,保證了系統(tǒng)的高容錯(cuò)功能.這是同修改應(yīng)用程序?qū)崿F(xiàn)單點(diǎn)登錄功能解決方.案的一個(gè)重要區(qū)別.采用修改應(yīng)用程序的方法,一旦單點(diǎn)登錄系統(tǒng)出現(xiàn)問(wèn)題,整個(gè)業(yè)務(wù)系統(tǒng)也會(huì)受到影響,可能無(wú)常工作.4.1.6.建立穩(wěn)定、安全、高速網(wǎng)絡(luò)環(huán)境然后在這個(gè)根底上進(jìn)展單點(diǎn)登錄.不會(huì)影響業(yè)務(wù)系統(tǒng)的數(shù)據(jù)處理,可以適應(yīng)任何流量壓力下的正常數(shù)據(jù)傳輸.安全方面,惠普SSO單點(diǎn)登錄系統(tǒng)采用專用核,并且自身攜帶安全的防火墻模塊,保證單點(diǎn)登錄系統(tǒng)自身安全性和穩(wěn)定性.4.2.定制工作O移動(dòng)辦公用戶的最終感覺(jué)是：登錄SSLVPN,輸入一次口令,然后訪問(wèn)其他應(yīng)用系統(tǒng)時(shí),無(wú)須再輸入口令.步同步使用.同步使用時(shí)出現(xiàn)同步周期太長(zhǎng)問(wèn)題.為了解決這個(gè)問(wèn)題,通過(guò)定制,用.戶以后修改口令,統(tǒng)一經(jīng)過(guò)惠普SSO進(jìn)展修改,由惠普SSO將修改后的口令同步到各個(gè)應(yīng)用系統(tǒng)中.5.1.根本安裝配置默認(rèn)路由域名服務(wù)器證腳本每個(gè)需要單點(diǎn)登錄的業(yè)務(wù)系統(tǒng)在惠普SSO單點(diǎn)登錄系統(tǒng)中需要