《IT系统SSO接入方案.doc》由会员分享,可在线阅读,更多相关《IT系统SSO接入方案.doc(7页珍藏版)》请在金锄头文库上搜索。
1、IT系统SSO接入方案IT系统SSO接入方案目录目录IT系统1SSO接入方案11 概述32 目标33 接入方案33.1 单点登陆34 接口信息54.1 接口主机信息54.2 接口程序信息55 分工界面65.1 单点登陆66 附录61 概述本文档是各应用系统进行单点登录的技术方案。各应用系统依照IT系统企业内部门户系统集成规范提供的规范,选择合理的技术方式实现接入。2 目标1. 实现XX应用系统的单点登陆接入。3 接入方案3.1 单点登陆XX应用系统建议采用Http Header方式与TAM WebSEAL实现单点登陆,具体分析如下:1. XX系统访问域是,统一用户管理平台访问域是,两个系统不同
2、域。因此xx应用系统从Http Header中接收到用户名之后,需要跳转到域之后再完成报帐平台系统的登陆,具体步骤如下:1) 用户登陆统一用户管理平台入口(WebSEAL)访问XX系统,登陆的域是;2) 从统一用户管理平台访问XX系统,访问的URL如下:http:/ header传iv_user header值过去:iv_user:用户登录名称,如zhangsan3) login_sso.jsp做如下处理a) 判断Http Request的IP来源地址,是不是在信任列表内,只有webseal主机的IP是受信任的;b) 从Http Header中取出用户名,判断是不是合法用户;c) 然后跳转到域
3、,并将用户名传递给下一个认证页面,跳转后的sso_login.jsp:d) 样例代码:(以下是伪代码) String iv_user=request.getHeader(iv_user); String remote_address=request.getRemoteAddr(); /这里写判断IP的合法性 /IP正确后判断iv_user的合法性 /将iv_user转成自身系统要的用户性属值写入到 response.setHeader(iv_user,iv_user);response.sendRedirect(sso_login.jsp);4) Sso_login.jsp获取到用户名之后,完
4、成efinance系统内的认证,并跳转到XX应用主页。2. 如XX系统的帐户名与LDAP用户名不一致,需要做对应关系,在XX系统内保存用户名对应表。XX系统接收到统一用户管理平台传递过来的用户名之后,根据对应表转换成XX系统的帐户。4 接口信息4.1 接口主机信息主机IP端口访问域名webseal主机01XXcomwebseal主机02XXXX系统主机XX80XX4.2 接口程序信息程序名程序项WebSEAL Junction名称/XXWebSEAL Junction配置server task default-webseald-xxx create -t tcp -h -p 80 -c al
5、l -s /XXserver task default-webseald-xx add -t tcp -h -p 80 /XXefinance单点接口程序URL1. 接收用户名的接口程序http:/ 完成XX登陆的接口程序5 分工界面5.1 单点登陆工作项负责方XX系统单点登陆接口程序XX厂商XX系统帐户与LDAP用户名对应XX厂商WebSEAL到XX系统单点登陆的配置集成商单点登陆联调测试集成商、XX厂商上线(正式接入)集成商、XX厂商上线后测试集成商、XX厂商上线后,XX新增或者删除XX帐户,维护对应表XX管理员6 附录应用系统登录接口示例代码 单点认证 /示例webseal主机ip v
6、ar websealIp = 172.16.0.1; var remote_address = ; var iv_user = ; /判断请求服务器ip是否webseal主机ip if(remote_address=websealIp) /进入用户认证服务,判断用户是否是合法用户,可以使用自定的加密码方式加密码iv_user或 window.location.href = /usercheck.do?uid=+iv_user; else /不是信任ip,跳转到登陆界面 window.location.href = /login.jsp; 注:如果担心URL含有user信息不安全,可用post方法;也可以采用拦截器(filter)拦截配置的地址做业务处理。公司机密文件 第 4 页 共 7
