IT系统SSO接入方案.docVIP

IT系统 SSO接入方案 目录 目录 IT系统 1 SSO接入方案 1 1 概述 3 2 目标 3 3 接入方案 3 3.1 单点登陆 3 4 接口信息 5 4.1 接口主机信息 5 4.2 接口程序信息 5 5 分工界面 6 5.1 单点登陆 6 6 附录 6 概述 本文档是各应用系统进行单点登录的技术方案。各应用系统依照《IT系统企业内部门户系统集成规范》提供的规范，选择合理的技术方式实现接入。 目标 实现XX应用系统的单点登陆接入。 接入方案 单点登陆 XX应用系统建议采用Http Header方式与TAM WebSEAL实现单点登陆，具体分析如下： XX系统访问域是，统一用户管理平台访问域是，两个系统不同域。因此xx应用系统从Http Header中接收到用户名之后，需要跳转到域之后再完成报帐平台系统的登陆，具体步骤如下： 用户登陆统一用户管理平台入口（WebSEAL）访问XX系统，登陆的域是； 从统一用户管理平台访问XX系统，访问的URL如下： /XX/login/login_sso.jsp 在这一步，webseal会通过http header传iv_user header值过去: iv_user:用户登录名称，如zhangsan login_sso.jsp做如下处理 判断Http Request的IP来源地址，是不是在信任列表内，只有webseal主机的IP是受信任的; 从Http Header中取出用户名，判断是不是合法用户； 然后跳转到域，并将用户名传递给下一个认证页面，跳转后的sso_login.jsp： 样例代码：（以下是伪代码） String iv_user=request.getHeader(iv_user); String remote_address=request.getRemoteAddr(); //这里写判断IP的合法性 //IP正确后判断iv_user的合法性 //将iv_user转成自身系统要的用户性属值写入到 response.setHeader(iv_user,iv_user); response.sendRedirect(sso_login.jsp); Sso_login.jsp获取到用户名之后，完成efinance系统内的认证，并跳转到XX应用主页。 如XX系统的帐户名与LDAP用户名不一致，需要做对应关系，在XX系统内保存用户名对应表。XX系统接收到统一用户管理平台传递过来的用户名之后，根据对应表转换成XX系统的帐户。 接口信息 接口主机信息 主机 IP 端口 访问域名 webseal主机01 XX 80 com webseal主机02 XX 80 XX系统主机 XX. 80 XX. 接口程序信息 程序名 程序项 WebSEAL Junction名称 /XX WebSEAL Junction配置 server task default-webseald-xxx create -t tcp -h -p 80 -c all -s /XX server task default-webseald-xx add -t tcp -h -p 80 /XX efinance单点接口程序URL 接收用户名的接口程序 /XX/login_sso.jsp 完成XX登陆的接口程序 分工界面 单点登陆 工作项 负责方 XX系统单点登陆接口程序 XX厂商 XX系统帐户与LDAP用户名对应 XX厂商 WebSEAL到XX系统单点登陆的配置 集成商 单点登陆联调测试 集成商、XX厂商 上线（正式接入） 集成商、XX厂商 上线后测试 集成商、XX厂商 上线后，XX新增或者删除XX帐户，维护对应表 XX管理员 附录 应用系统登录接口示例代码 %@ page language=java import=java.util.* pageEncoding=UTF-8% % String path = request.getContextPath(); String basePath = request.getScheme()+://+request.getServerName()+:+request.getServerPort()+path; //获取请求服务器ip String remote_address = request.getRemoteAddr()==null?:request.getRemoteAddr(); //获取Http Header中的用户id String iv_user = request.getHeader(iv-user)==null?:request.getHeader(iv-user); % h