收藏
下载资源

Apusic单点登录集成方案

上传人:宝路 文档编号:19485583 上传时间:2017-11-19 格式:DOC 页数:15 大小:490.09KB
返回 下载 相关 举报
Apusic单点登录集成方案_第1页
第1页 / 共15页
Apusic单点登录集成方案_第2页
第2页 / 共15页
Apusic单点登录集成方案_第3页
第3页 / 共15页
Apusic单点登录集成方案_第4页
第4页 / 共15页
Apusic单点登录集成方案_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《Apusic单点登录集成方案》由会员分享,可在线阅读,更多相关《Apusic单点登录集成方案(15页珍藏版)》请在金锄头文库上搜索。

1、单点登录集成方案2017 年 9 月I I目 录前言 .1阅读对象 .11 配置 SSO 方法 .21.1 登录及认证过程 .21.2 用户管理 .31.3 访问应用系统三种场景 .41.3.1 通过统一登录界面,进行单点登录 .41.3.2 通过原有登录界面,进行单点登录 .51.3.3 只登录原系统,不发送单点登录请求。 .61.4 用户平台与访问权限 .71.4.1 SSO 系统管理 .71.4.2 用户访问权限 .71.5 业务系统改造样例 .81.5.1 添加 jar 包和文件 .81.5.2 修改 jar 中配置文件 .81.5.3 修改 web.xml 文件 .91.5.4 配置

2、登录页面 .111.6 认证中心的后台监控功能 .12第 1 页前言本文档对 SSO 进行概要描述,并对相关配置进行详细说明,为与第三方系统集成提供 SSO 配置指南;阅读对象本文档适用于:第 2 页1 配置 SSO 方法1.1 登录及认证过程受 SSO 保护的应用登录和认证过程如下图所示:/browser /业 业 业 业 /业 业 业 业1 : 令 令 令 令 令 令 令 ()2 : 令 令 saml令 令 ()3 : 令 令 saml()4 : 令 令 令 令 ()5 : 令 令 令 令 令 令 令 令 ()6 : 令 令 令 令 ()7 : 令 令 Artifacts()8 : 令 令

3、 令 令 ()9 : 令 令 令 令 ()10 : 令 令 令 令 ()111、 打开浏览器输入应用服务器 1 的 URL,应用服务器 1 拦截器检查用户是否通过认证。如果令牌不存在,重定向到登陆界面。如果令牌存在,进入系统。2、 用户在登录页面输入 username/password,点击登陆;3、 应用服务器 1 将用户的请求转发给认证中心进行认证。4、 认证中心接受到应用应用系统的请求,验证请求是否合法。如果合法,创建令牌;否则返回到应用系统的登录页面5、 认证中心返回令牌到应用服务器 1。6、 应用服务器 1 将令牌写回给客户端,并重定向到用户需要访问的资源。第 3 页7、 应用服务器

4、 1 将浏览器重定向到用户访问的资源。8、 应用服务器 1 拦截器获取到令牌,并生存 Artifact。9、 应用服务器将 Artifact 发送给认证中心。10、 认证中心验证令牌,如果验证成功,从统一用户中获取对应系统的用户账号。如果11、 认证中心将用户身份信息返回给应用服务器 112、 应用服务器信任认证中心返回的用户身份信息,根据其创建用户会话。13、 用户成功登录应用系统。1.2 用户管理所有需要通过单点登录的用户需要在用户管理中进行注册。按提示填写下面的表单,可以将一个新的用户注册到统一认证平台。然后给该用户添加可以访问的业务系统权限。第 4 页1.3 访问应用系统三种场景 1.

5、3.1 通过统一登录界面,进行单点登录用户通过统一登录界面进入门户,然后点击业务系统列表,就可以单点登录到对应的业务系统。而不需要输入用户名和密码。第 5 页业务系统列表列出该用户可以通过单点登录访问的所有业务系统。如:用户点击人力资源系统,就可以直接进行该系统,而不需要用户再输入用户名和密码等认证系统。1.3.2 通过原有登录界面,进行单点登录用户在业务系统的登录页面选择单点登录方式进行认证。认证成功后,可以访问单点登录其它有权限访问的系统,而不需要重复输入用户名和密码进行认证。如下图:输入认证中心分配给用户的用户名和密码进行登录。第 6 页1.3.3 只登录原系统,不发送单点登录请求。原来

6、的登录方式不受影响,可以正常使用。这种登录方式是通过原有系统的认证方式进行登录,所以只能访问本系统而不能单点登录到其它业务系统。注意:本实例是列出所有的登录方式,管理员进行后台配置,选择其中的任意登录方式进行认证,灵活配置登录方式。第 7 页1.4 用户平台与访问权限1.4.1 业务系统注册如果业务系统需要配置 SSO 服务,需要在 SSO 系统管理中注册业务系统。该页面可以查看、编辑和删除相应注册的 SSO 服务的业务系统。该页面时添加 SSO 系统的表单,根据提示填写相应的内容。1.4.2 用户访问权限添加业务系统之后,可以管理每个业务系统的用户访问权限第 8 页1.5 业务系统改造样例如

7、果业务系统需要添加 SSO 服务需要做以下改造。1.5.1 添加 jar 包和文件在应用系统的 lib 目录添加 sso-client.jar 和 client-saml2-v1.0.jar,并且将认证中心颁发的密钥文件放到 WEB-INF 目录下面。1.5.2 修改 jar 中配置文件修改 sso-client.jar 中的 sso.properties 配置文件。#isSupportHttps 支持https support.https=truesupport.https=false#域名,所有应用系统的顶级域名domain.name=.com#host,认证中心的主机名,需要填写主机所在

8、的域名。host=#https port https通讯的端口https.port=6889#http port http通讯的端口http.port=6888#认证中心的认证服务action路径auth.action.path= /AuthAction.do#ticket 存放cookie的名称 cookie.name=CookieTicket#首页地址(除去主机和端口的部分 以/ 开头)homepage=/ssoclient/admin/index.faces#登录页面(除去主机和端口的部分 以/ 开头)loginpage=/ssoclient/login.faces第 9 页#认证中心注

9、销令牌的action路径(除去主机和端口的部分 以/ 开头)logout.action.path= /LogoutService.do#登录系统后从session 获取用户登录名login.username=login_user注意:如果需要认证中心和应用服务器之间通过 https 进行数据交换,将support.https 设置为 true。登录成功是,可以通过 session.getAttribute(“Login_user”)获取登录的用户名。 ”Login_user”是配置文件 sso. Properties 中的 login.username 设置的。修改 sso-client.ja

10、r 中的 saml.properties 中的以下内容certificate_type=X.509certificate_context_path=/WEB-INF/aa.cerkey_type=JKSkey_password=testkey_context_path=/WEB-INF/key_alias=test注意:以上配置默认不需要修改,如果证书更换,需要在此修改以下属性必须要修改:com.portal.sso.saml.core.factory.IssuerFactory.defaultContent=ssoclientcom.portal.sso.saml.protocol.fact

11、ory.AuthnRequestFactory.defaultAssertionConsumerServiceURL=http:/:8080/ssoclient其中第一个属性字段是业务系统在 SSO 系统管理中注册的系统编号。第二个属性字段是业务系统的首页地址,需要全路径。1.5.3 修改 web.xml 文件在应用应用系统的 web.xml 中添加下面内容:TicketFiltercom.portal.sso.client.proxy.TicketFilter第 10 页TicketFilter/*HttpProxycom.portal.sso.client.proxy.HttpProxyServletHttpProxy/sso/*LogoutServiceLogoutServicecom.portal.sso.cli

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号