单点登录方案单点登录方案.doc

单点登录方案 业务场景 企业在众多异构系统应用过程中，操作人员进行业务数据操作时，经常会在不同系统间操作和切换。操作人员往往苦恼于多个账户号码的记录和不停的在各种系统间的登录和切换动作。在本方案中，我们希望实现应用系统单点登录功能（SSO ），即在某一个系统中登录后，可以根据业务需要，直接进入其他系统，无需二次输入用户名和密码的认证工作。实现单点登录功能后，可以有效的减少用户登录操作次数，提高用户使用系统的友好性。 方案概述 本方案是基于企业用户（下文中“用户”数据含义等同于“账户”数据含义，统一称为用户数据）数据的主数据管理之上。用户数据主数据管理方案的实施方案请参照《主数据管理方案》。企业内异构系统间实施主数据管理方案后，所有系统中的用户数据都来源于“用户主数据”源，且每个系统的用户ID，用户名称及用户密码都是相同的。在此基础之上，需要建立用户认证服务，即用户登录系统时，不仅仅需要通过本系统的认证而是要通过统一认证中心的认证，用户认证中心认证后为本次认证颁发一个令牌，令牌是一个随机的字符串，标志着本次认证成功，用户获取令牌后就能够通过其他系统提供的页面接口进入其他系统而无需二次认证。 本方案的实施有以下特点： 基于用户数据的主数据管理 首先需要将所有系统中的用户数据统一，并且做到入口唯一和统一共享数据； 需要建立用户认证中心 需要提供统一的用户认证服务，有用户认证中心或者用户主数据数据源能够提供用户认证功能。 理论上所有系统中，只要登录一个系统就能够从这个系统进入任一其他系统 通过令牌方式，只要每个系统适当改造就能够在任一系统间切换； 认证过程从服务端发起，不在系统跳转过程中直接传递用户名和密码 通过认证服务在服务器端进行用户认证和数据传递，不会通过页面直接传递用户名和密码，安全性较高； 为系统页面间跳转和业务数据联查建立基础。 单点登录的认证体系可以有效的支撑业务数据联查。比如在财务系统中看到一条财务记录可以从这条记录追溯到业务系统中。 实施准备 软件环境 本方案中单点登录功能的实现，需要企业购置一些集成系统。第一是用户身份认证系统。这个系统可以为应用系统的用户提供统一的认证功能。第二是门户系统或者是OA系统，门户系统在企业应用中一般是全员使用并且作为所有系统的公共入口。下面就介绍一下单点登录方案实施前企业的软件环境准备。 用户认证系统 提供用户认证服务。可以在用户主数据管理源上再增用户认证功能。当前最为通用的是用户名/密码认证模式。该模块具备的基本功能为：当其他系统向认证系统提出认证请求时（传递用户名和密码），认证系统能够校验用户名和密码的真伪性。如果用户名和密码正确，告知提出认证的系统认证成功，并为这次认证生成一个令牌（一个随机字符串）标志认证成功。每个认证的系统可以随时使用令牌信息获取该令牌对应的认证信息，如用户名信息，认证时间信息等等。用户认证系统还需要维护认证令牌的生命周期，其中当认证令牌在一段时间内如果没有使用，需要让令牌失效。 企业服务总线 在企业应用集成工作中，最好是选购一款合适的企业服务总线产品。企业服务总线保证了企业服务规范的持续性，即企业服务总线能够将每个系统不规范的接口适配成企业标准服务规范，这样每个系统都只与企业服务总线交互，而服务总线屏蔽了不规范的接口，不规范的数据。当前如果企业当前没有采购企业服务总线，每个异构的应用系统也可以通过接口直连，但是这种方式的衔接比较脆弱，不便于以后的升级和维护工作。 门户系统或者OA系统 原理上讲，单点登录功能实现后，用户能够从任一应用系统直接登录到其他应用系统中，但是往往在应用集成实施过程中，企业习惯选择一个公共入口，所有的用户都从公共入口进入后，然后再进入其他业务系统。我们称这个提供入口的系统为“入口系统”。门户系统或者OA系统都适合成为入口系统。这种应用的方式减少了每个异构系统的更改工作量，即使以后有新采购的系统也只需要在入口系统中添加单点登录的链接，而不需要所有系统都添加链接。门户系统为标准的入口系统，而如果企业暂时不具备采购门户系统的条件也可以使用OA系统替代，此时OA系统需要做适当改造。 数个业务系统 企业当前存在的异构业务系统，比如财务系统，HR系统，供应链系统等等。而所谓异构系统主要是指这些系统不能够互联互通。当前主流系统为BS系统和CS系统。BS系统通过IE传递参数实现单点登录功能。 服务规范 企业最好将方案中要求每个系统提供的接口标准化，形成服务规范。这些服务规范最好能够在企业服务总线上调用。这样软件系统的改造将是一次性的和稳定的。笔者也将提供一套认证服务标准供企业参考，详见《企业应用集成服务规范-认证规范》 其他系统改造方案 根据本方案的要求，每个系统指定出改造方案，企业审核后进行改造。 统一认证过程描述 统一身份认证流程 用户