单点登录技术方案

xxxx集团

单点登录技术方案

目录

1. xxxx集团系统建设现状 (3)

1.1. Web应用系统 (3)

1.2. C/S应用系统 (3)

1.3. SSL VPN系统 (4)

2. xxxx集团单点登录系统需求 (5)

2.1. 一站式登录需求 (5)

3. SSO（单点登录）技术简介 (6)

3.1. 修改应用程序SSO方案 (6)

3.2. 即插即用SSO方案 (7)

3.3. 两种SSO方案比较 (7)

3.4. 惠普SSO (8)

3.4.1. 惠普SSO开发背景 (8)

3.4.2. 惠普SSO的功能 (8)

3.4.3. 惠普SSO的特点 (10)

3.4.4. 惠普SSO结构 (11)

4. xxxx集团单点登录技术方案 (12)

4.1. 应用系统中部署惠普SSO单点登录 (12)

4.1.1. 解决全局的单点登录 (13)

4.1.2. 应用系统的整合 (14)

4.1.3. 用户如何过渡到使用单点登录 (15)

4.1.4. 管理员部署业务系统单点登录功能 (15)

4.1.5. 建立高扩展、高容错单点登录环境 (17)

4.1.6. 建立稳定、安全、高速网络环境 (17)

4.2. 定制工作 (18)

4.2.1. SSL VPN结合 (18)

4.2.2. 密码同步 (18)

5. 项目实施进度 (19)

5.1. 基本安装配置 (19)

5.2. 配置认证脚本 (19)

5.3. 总体进度 (20)

6. 硬件清单 (21)

7. 软件清单 (22)

1.xxxx集团系统建设现状

xxxx集团有限责任公司（以下简称集团公司）管理和运营省11个民用机场，以及20多个关联企业（全资子公司、控股企业、参股企业）。现有的信息系统主要有生产运营系统和管理信息系统，其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等，管理信息系统主要有财务系统、OA系统、系统、资产管理系统、决策支持系统、信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。

各信息系统都有独立的用户组织体系，采用“用户名+密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题：1、终端用户需要记住多个用户名和密码；2、终端用户需要登录不同的信息系统以获取信息；3、系统管理员难以应付对用户的管理；4、难以实施系统使用安全方面的管理措施。

1.1.W eb应用系统

xxxx集团现有的Web应用系统包括：办公自动化系统（OA）、系统、资产管理系统、部信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、或者购买的商业软件。每个应用系统都有自己的用户管理机制和用户认证机制，彼此独立。每个应用系统用户名、口令可能各不相同。1.2.C/S应用系统

xxxx集团目前的C/S应用只有一个：财务系统，金蝶K3财务系统。

1.3.S SL VPN系统

xxxx集团有一套SSL VPN系统，集团局域网之外的用户（包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等）是通过SSL VPN系统进入集团局域网的，通过SSL VPN系统进入集团局域网访问的系统包括：OA系统、系统、资产管理系统、决策支持系统、信息发布审批系统及部等。用户经过SSL VPN系统进入集团局域网需要经过身份认证。

2.xxxx集团单点登录系统需求

现在信息系统建设的重要容之一是信息门户建设，利用门户集成技术建立一个完整有效的部信息门户，通过提供资源的管理和应用开发的支撑功能，把各业务系统的不同功能有效地组织起来，给用户提供一个统一的信息服务功能入口，集成现有的业务系统信息资源，减少信息孤岛的存在并降低重复投资，为用户提供更加完善的信息服务。

2.1.一站式登录需求

由于目前各应用系统独立设计、自成体系，不同系统采用不同的用户管理机制，所以进入每个应用系统均需独立的认证和登录，导致用户使用麻烦，无法体现以用户为中心的服务理念，无法给用户提供简单、方便、快捷、使用的信息服务。

xxxx集团要实现为各类专业应用系统（办公自动化系统、企业系统、资产管理系统等）提供应用集成，必须首先解决各系统互联互通，资源共享需求所带来的统一身份认证需要。

应根据“统一规划，分步实施”，“需求主导，共建共享”，“先进实用，开放扩展”，“统一标准，保障安全”的四个指导原则，先期在信息系统中提供先进安全可靠的、符合国际标准的、高性能大规模的单点登录整体解决方案（“一站式登录Single Sign-On，SSO）”，以降低用户和密码管理成本，提高安全性，并提高用户的系统使用效率，为各系统的无缝集成打下坚实的基础。

3.SSO（单点登录）技术简介

SSO就是通过一次登录自动访问所有授权的应用系统，从而提高整体安全性，而且用户无需记录多种登录过程、ID或口令。需要部署SSO的原因：

◆口令越多，安全风险越大

◆需要简化用户访问

◆需要简化用户和口令的系统管理

◆使用单点登录可以集中地提高整个系统的安全性

◆为企业提供统一的、集中的信息资源管理手段

◆提高应用系统数据信息的安全从而保护企业核心财产

目前单点登录技术主要分为两类，分别修改应用程序SSO技术方案和不修改应用程序SSO技术方案（即插即用）。

3.1.修改应用程序SSO方案

在这种方案中，SSO解决方案包括的组件为：认证服务器、各种API（Java、C/C++、.Net、JSP、ASP、PHP等）、各种代理Agent。这种解决方案需要用户改造以前的应用系统，采用方案提供的API或Agent对应用系统进行修改。改变原有应用系统的认证方式、采用认证服务器提供的技术进行身份认证。这种解决方案，一般要求用户先统一所有应用系统的用户数据库。把用户的信息统一后，才可实现单点登录功能。

在修改应用的技术方案中，每个应用服务器中都需要安装一个代理程序完成用户的身份认证工作。当用户访问目标应用服务器时，代理程序向SSO服务器询问该用户是否已经登录，如果是，则代理程序从SSO服务器中取得该用户的用户信息自动登录该应用系统。登录成功后，用户直接访问该目标服务器。如果未曾

登录过任何应用服务器，则该应用要求用户进行身份认证，认证结束后，代理程序将认证结果发送给SSO服务器。

这种方案的优点是不用在单点登录服务器上保存各个应用系统的用户名/口令信息。

3.2.即插即用SSO方案

即插即用解决方案，不需要用户修改应用程序。即插即用解决方案包括的组件为：认证服务器、SSO客户端或浏览器控件（C/S结构的应用需要，B/S应用不需要）。这种解决方案在认证服务器上保存用户所有应用系统的用户名/口令信息列表。针对每个应用系统，在这种方案中都有一个对应的配置文件，这个配置用来代理用户登录应用系统。

即插即用解决方案工作的基本原理：首先针对每个应用系统进行配置，产生一个配置文件；用户登录到单点登录服务器上；用户访问应用系统时，单点登录服务器调用对应于该应用的配置文件，将对应该应用的用户认证信息（用户名/口令）取出，代理用户登录应用系统；登录成功后，用户可以访问应用系统。

这种方案的特点是在单点登录服务器上保留各个应用的用户名/口令信息对应列表。

3.3.两种SSO方案比较

修改应用系统的SSO方案和即插即用SSO方案各有优缺点，先比较如下：

统一认证与单点登录系统-产品需求规格说明书

统一认证与单点登录系统产品需求规格说明书 北京邮电大学

版本历史

目录 0文档介绍 (5) 0.1 文档目的 (5) 0.2 文档范围 (5) 0.3 读者对象 (5) 0.4 参考文档 (5) 0.5 术语与缩写解释 (5) 1产品介绍 (7) 2产品面向的用户群体 (7) 3产品应当遵循的标准或规范 (7) 4产品范围 (7) 5产品中的角色 (7) 6产品的功能性需求 (8) 6.0 功能性需求分类 (8) 6.0.1产品形态 (8) 6.1 外部系统管理 (9) 6.1.1外部系统注册 (9) 6.1.2外部系统集成配置 (11) 6.2 用户管理 (11) 6.2.1用户管理控制台 (11) 6.2.2用户自助服务 (13) 6.2.3统一用户管理 (13) 6.3 组织结构管理 (14) 6.4 权限管理 (15) 6.4.1统一角色管理 (18) 6.5 单点登录 (18) 6.5.1基于Httpheader单点登录 (19) 6.5.2基于表单代填的方式单点登录 (20) 6.5.3基于CAS单点登录 (20) 6.5.4总结 (23) 7产品的非功能性需求 (24) 7.1.1性能需求 (24) 7.1.2接口需求 (24) 8附录B：需求确认 (25)

0文档介绍 0.1文档目的 此文档用于描述统一认证与单点登录系统的产品需求，用于指导设计与开发人员进行系统设计与实现。 0.2文档范围 本文档将对系统的所有功能性需求进行消息的描述，同时约定非功能性以及如何与第三方系统进行交互。 0.3读者对象 本文档主要面向一下读者： 1.系统设计人员 2.系统开发与测试人员 3.系统监管人员 4.产品甲方管理人员 0.4参考文档 《凯文斯信息技术有限公司单点登录及统一用户技术方案V1.0》 0.5术语与缩写解释

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能： 为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示：

一次登录认证、自由访问授权范围内的服务 单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。 同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点： (1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点 登录服务；

一个Web应用单点登录系统的设计和实现

第20卷哈尔滨师范大学自然科学学报 Vol.20,No.12004 第1期 NATURAL SCIENCES JOURNAL OF HARBIN NORMAL UNIVERSITY 一个Web 应用单点登录系统的设计和实现 陈重威 (上海市静安区业余大学) 摘要 作者在分析借鉴三种Web 单点登录产品和技术的基础上,设计并实现了一个Web 单点登录系统,该系统适用于企业内部Intranet 应用环境,可以跨多个In ternet 域,可以支持常见的几种操作系统和Web 应用服务器.本文介绍了此系统的设计思路和关键技术,并给出了部分关键代码. 关键词:Web;HTTP;单点登录;身份验证 收稿日期:2003-12-28 陈重威,(1948-),男,上海静安区业余大学计算机系副教授,主要研究方向:计算机网络、数据库 0 引言 经过多年的建设,我国企业中建立起来了一些基于Web 的应用系统,这些系统运行在多种操作系统和应用服务器上面,由不同的技术人员在不同的时期采用不同的技术建立,采用多种相互独立的用户管理、身份验证系统.在当前企业有限的经费预算条件下,如何使用户可以只登录企业信息系统一次就可以访问到企业中多种Web 应用一直是一种挑战.本文在分析三种具有代表性的Web 应用单点登录系统的基础上,针对中小型企业对Web 应用单点登录的要求、其Intranet 环境的特点,给出一个适应于中小型企业Intranet 内常见Web 应用的单点登录系统的设计框架及基于J2EE 的系统实现要点. 1 用户要求和现有产品 1 1 用户环境和要求 企业中基于Web 的应用系统种类繁多,有基于微软Internet Information Server 的运行在Windows 平台上的信息系统,有基于J2EE 应用服务器平台 的业务系统,有基于Lotus Domino 的办公自动化 系统,也有SAP 、ORAC LE 那样的ERP 系统或者财 务系统,这些系统各有各的用户数据库(关系型数据库、Domino 文档数据库、LDAP 服务器等).企业员工在不同应用系统中有不同的帐户!!!用户名和口令,他们需要牢记这些帐户.企业员工特别希望只登录一次就可以透明地访问其他各种应用系统,不再需要在各种应用系统的登录页面中多次输入不同的用户名和口令. 从用户的角度看,Web 应用单点登录系统的使用方法如下: 1 用户访问Web 单点登录系统,服务器返回登录页面,提示用户输入用户名和口令等认证信息; 2 用户登录系统,登录系统返回一个该用户有权访问的应用的列表; 3 自此以后,用户访问其他应用的时候,在用户看来,他不必进行身份验证就可以访问其他Web 应用了; 4 当用户退出一个应用系统,而没有退出?单点登录系统#,他仍然可以访问其他没有退出登录的应用系统.

单点登录权限系统-说明

Java分布式单点登录鉴权框架说明 简述： Smart定位于用当下最流行的技术，为您构建一个易理解、高可用、高 扩展性的应用基层，帮助实现快速开发。内置Java基础工具类、Dubbo服务 治理、单点登录权限系统(按钮级，权限修改实时生效)、支持分布式的定时 任务服务及代码生成器，和一套易用高兼容的boostrap前端Html模板。 浏览器兼容： Firefox 5+, Google Chrome 14+,Internet Explorer 8,Internet Explorer 9,Opera 11,Safari 5及各种手机浏览器。 前端： Html5 + Css3.0 + Bootstrap(ACE模板) + Jquery; 后端： Maven+SpringMVC+Spring+Mybatis/Hibernate+Zookeeper+Dubbo+Sso+ Redis(选配)+Druid+Fastjson+Mysql+ActiveMQ(选配); 1.单点登录（Sso）; 简单实用的基于Cookie实现的单点登录。 2.分布式服务治理（Dubbo）; 一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用 方案,是阿里巴巴SOA服务化治理方案的核心框架。 3.阿里巴巴数据库连接池(Druid); Druid在监控、可扩展性、稳定性和性能方面都有明显的优势。 4.阿里巴巴Json处理工具包(Fastjson); fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器。 5.开源消息总线 (ActiveMQ); 对Spring的支持,通过MQ监听权限修改消息通知。

单点登录技术方案

xxxx集团 单点登录技术方案

目录 1. xxxx集团系统建设现状 (4) 1.1. Web应用系统 (4) 1.2. C/S应用系统 (4) 1.3. SSL VPN系统 (4) 2. xxxx集团单点登录系统需求 (5) 2.1. 一站式登录需求 (5) 3. SSO（单点登录）技术简介 (6) 3.1. 修改应用程序SSO方案 (6) 3.2. 即插即用SSO方案 (7) 3.3. 两种SSO方案比较 (7) 3.4. 惠普SSO (7) 3.4.1. 惠普SSO开发背景 (7) 3.4.2. 惠普SSO的功能 (8) 3.4.3. 惠普SSO的特点 (9) 3.4.4. 惠普SSO结构 (10) 4. xxxx集团单点登录技术方案 (11) 4.1. 应用系统中部署惠普SSO单点登录 (11) 4.1.1. 解决全局的单点登录 (12) 4.1.2. 应用系统的整合 (12) 4.1.3. 用户如何过渡到使用单点登录 (13) 4.1.4. 管理员部署业务系统单点登录功能 (14) 4.1.5. 建立高扩展、高容错单点登录环境 (15) 4.1.6. 建立稳定、安全、高速网络环境 (15) 4.2. 定制工作 (16) 4.2.1. SSL VPN结合 (16)

4.2.2. 密码同步 (16) 5. 项目实施进度 (17) 5.1. 基本安装配置 (17) 5.2. 配置认证脚本 (17) 5.3. 总体进度 (17) 6. 硬件清单 (19) 7. 软件清单 (20)

1.xxxx集团系统建设现状 xxxx集团有限责任公司（以下简称集团公司）管理和运营省内11个民用机场，以及20多个关联企业（全资子公司、控股企业、参股企业）。现有的信息系统主要有生产运营系统和管理信息系统，其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等，管理信息系统主要有财务系统、OA 系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。 各信息系统都有独立的用户组织体系，采用“用户名+密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题：1、终端用户需要记住多个用户名和密码；2、终端用户需要登录不同的信息系统以获取信息；3、系统管理员难以应付对用户的管理；4、难以实施系统使用安全方面的管理措施。 1.1.Web应用系统 xxxx集团现有的Web应用系统包括：办公自动化系统（OA）、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、或者购买的商业软件。每个应用系统都有自己的用户管理机制和用户认证机制，彼此独立。每个应用系统用户名、口令可能各不相同。 1.2.C/S应用系统 xxxx集团目前的C/S应用只有一个：财务系统，金蝶K3财务系统。 1.3.SSL VPN系统 xxxx集团有一套SSL VPN系统，集团局域网之外的用户（包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等）是通过SSL VPN 系统进入集团局域网的，通过SSL VPN系统进入集团局域网访问的系统包括：OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网站等。用户经过SSL VPN系统进入集团局域网需要经过身份认证。

单点登录系统(SSO)详细设计说明书

单点登录系统（SSO）详细设计说明书 1、引言 1.1编写目的 为了单点登录系统(SSO系统)的可行性，完整性，并能按照预期的设想实现该系统，特编写需求说明书。 同时，说明书也发挥与策划和设计人员更好地沟通的作用。 1.2背景 a．鉴于集团运营的多个独立网站（称为成员站点），每个网站都具有自己的身份验证机制，这样势必造成：生活中的一位用户，如果要以会员的身份访问网站，需要在每个网站上注册，并且通过身份验证后，才能以会员的身份访问网站；即使用户以同样的用户名与密码在每个网站上注册时，虽然可以在避免用户名与密码的忘记和混淆方面有一定的作用，但是用户在某一段时间访问多个成员站点或在成员站点间跳转时，还是需要用户登录后，才能以会员的身份访问网站。这样不仅给用户带来了不便，而且成员网站为登录付出了性能的代价； b．如果所有的成员网站，能够实现单点登录，不仅在用户体验方面有所提高，而且真正体现了集团多个网站的兄弟性。通过这种有机结合，能更好地体现公司大平台，大渠道的理念。同时，这样做也利于成员网站的相互促进与相互宣传。 正是出于上面的两点，单点登录系统的开发是必须的，是迫在眉睫的。1.3定义 单点登录系统提供所有成员网站的“单一登录”入口。本系统的实质是含有身份验证状态的变量， 在各个成员网站间共用。单点登录系统，包括认证服务器(称Passport服务器)，成员网站服务器。 会员：用户通过Passport服务器注册成功后，就具有了会员身份。 单一登录：会员第一次访问某个成员网站时，需要提供用户名与密码，一旦通过Passport服务器的身份验证， 该会员在一定的时间内，访问任何成员网站都不需要再次登录。 Cookie验证票：含有身份验证状态的变量。由Passport服务器生成，票含有用户名，签发日期时间， 过期日期时间和用户其它数据。

单点登录SSO系统解决方案

单点登录SSO系统 解决方案 ***有限公司 20

文档信息版本历史

目录 1.概述 (5) 1.1.背景 (5) 1.2.目标 (5) 1.3.阅读对象 (5) 1.4.术语和缩略语 (5) 2.SSO概述 (6) 2.1.SSO规范 (6) 2.1.1.名称解释 (6) 3.SSO接口规范 (7) 3.1.SSO接口图 (7) 3.2.SSO接口清单 (7) 3.3.单点登录接口 (8) 3.3.1.登录 (8) 3.3.2.登录状态检查 (10) 3.3.3.用户信息获取 (11) 3.3.4.登录状态查询 (12) 3.3.5.单点登录使用场景 (12) 3.4.组织数据WS同步 (13) 3.4.1.接口说明 (13) 3.4.2.使用场景 (13) 3.4.3.字段说明 (13) 3.4.4.业务规则和逻辑 (14)

3.5.用户数据WS同步 (15) 3.5.1.接口说明 (15) 3.5.2.使用场景 (15) 3.5.3.字段说明 (15) 3.5.4.业务规则和逻辑 (16) 4.实施建议 (17) 4.1.SSO实施(基本认证) (17) 4.1.1.接入流程 (17) 4.1.2.接入准备 (18) 4.1.3.接收数据 (18) 4.1.4.登录状态检查方法 (18) 4.1.5.登录/检查登录状态成功—主体代码（Success URL）编写 (18) 4.1.6.登录失败处理 (19) 4.1.7.状态检查未登录处理 (19) 4.2.组织和用户接收 (19) 4.2.1.开发框架 (19) 4.2.2.开发过程 (19) 5.附录 (20) 5.1.SSO E RROR C ODE (20) 5.2.SSO T OKEN XML (20) 5.3.SSO用户信息 (20) 5.4.SSO获取用户信息失败的状态码 (20)

【单点登录】统一内部应用门户用户测试方案

信息中心总集成及公共服务建设项目 统一内部应用门户 用户测试方案 (V2.0)

目录 用户测试方案 ........................................................................................................... - 1 -第一章文档介绍 . (4) 1.1编写目的 (4) 1.2范围 (4) 1.3读者对象 (4) 1.4测试依据 (5) 1.5术语及缩写 (5) 第二章测试流程 (8) 2.1测试模型 (8) 2.1.1单元测试 (8) 2.1.2集成测试 (8) 2.1.3确认测试 (8) 2.1.4性能测试 (8) 2.1.5系统测试 (8) 2.1.6系统验收测试 (9) 2.2测试阶段 (9) 第三章测试计划 (10) 3.1测试准备计划 (10) 3.2测试进度计划 (10) 3.2.1用户功能测试 (11) 3.2.1.1 功能测试 (11) 3.2.1.2 功能测试清单 (11) 3.3性能测试进度计划 (15) 3.3.1性能需求分析 (15) 3.3.2性能测试 (15) 3.3.3性能测试场景清单 (15) 第四章测试资源 (17) 4.1测试人员配备 (17)

4.2测试环境 (17) 4.2.1软件测试环境 (17) 4.2.2硬件环境 (18) 4.2.3测试场地 (19) 4.3测试工具 (19) 4.4数据准备 (19) 第五章风险分析与规避措施 (20) 第六章测试策略与内容 (21) 6.1功能测试 (21) 6.2接口测试 (21) 6.3用户界面测试 (22) 6.4容错性测试 (22) 6.5性能测试 (23) 6.6文档审查 (24) 第七章缺陷管理 (25) 第八章测试通过准则 (26) 第九章可交付文件 (27)

logon2.0域单点登录脚本使用说明文档

L ogon2.0域单点登录脚本使用说明文档 目录 概述 (1) 新增功能 (1) 基本配置 (2) 配置注意事项 (9) 部署实施注意事项 (10) 附录a：旧格式配置文件 (11) 附录b：新格式配置文件 (12) 附录c：新旧格式混合配置文件 (13) 概述 本文档说明了如何在AD域上配置深信服单点登录程序logon2.0，实现内网用户登录到域后，即登录到深信服设备。 新增功能 logon2.0在原有的logon基础上修改了不少bug及新增了一些功能，所有的功能都是通过参数来控制。下面介绍logon2.0新增的功能及适用场景。 一、增加常驻内存功能，脚本一直运行，默认启用，可以通过配置参数关闭。适用场景：客户是dhcp环境，从一个地方转移至另一个地方后，IP发生了变化需要重新认证。logon2.0采用常驻内存运行，当检测到IP变化时，会向AC发认证请求实现平滑认证。 二、增加了检验数字签名功能，鉴别Logon的唯一性，默认关闭，可以通过配置参数开启 适用场景：当客户电脑上有同名的logon程序在运行时，可能会导致我们的logon 程序或同名的程序异常，我们启用数字签名功能，可以通过检验签名来鉴别logon 的唯一性，匹配同名程序冲突。 三、增加程序运行时，自动拷贝到启动目录的功能，默认启用，可以通过配置参数关闭。

适用场景：由于网络或域的原因导致组策略无法下发，从而脚本无法执行，导致单点不成功，常见的如离线登录域的环境，此时通过执行logon2.0脚本，可以实现自动拷贝到windows启动目录，下次启动，直接随windows启动从本地运行logon.exe脚本，和域无关，这样可以解决离线单点登录问题，提高单点成功率。注意：此功能默认开启，脚本自动下发执行时也会拷贝到windows启动目录，防止后续无法下发组策略。 四、增加是否启用心跳功能，默认关闭，可以通过配置参数关闭。 适用场景：logon和AC定时发保活包，主要解决已认证的用户，当电脑切换帐号无法注销或注销脚本执行失败无法注销的问题。 五、增加是否启用重复登录功能，默认关闭，可以通过配置参数关闭。 适用场景：当启用心跳后，由于网络故障导致非正常注销，此时logon可以通过重复认证功能实现自动认证。 六、其它更多改进功能，请参考下一章节的第六部分的参数介绍。 基本配置 [备注：本文所有的截图都在Windows Server2008R2企业版下截取，其他服务器类似] 一、适用服务器及AC/SG版本 适用服务器：win2003win200832及64位，中文版，英文版及繁体版。 适用AC版本：2.x及以后版本 二、登录到您的域服务器，执行gpmc.msc或单击->开始->组策略管理打开组策 略管理窗口，如下图。

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群 众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录， 实现用户资源的共享，简化用户的操作。

统一认证与单点登录解决方案(详细介绍了统一认证和单点登录)

统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性，增加管理的成本。 例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中都创建用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外，还要保证数据的完整性，因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统（UUMS）。UUMS 统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过UUMS 完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。UUMS应具备以下基本功能：

SSO解决方案大全SingleSignOnforeveryone

SSO解决方案大全Single Sign-On for everyone 前段时间为我们的系统做SSO(单点登录)参考了很多资料,其中包括博客园二级域名的登录.翻译本文是由于作者的一句话:思想都是一样的,只不过实现起来需要创造性思维. Single Sign-On (SSO)是近来的热门话题. 很多和我交往的客户中都有不止一个运行在.Net框架中的Web应用程序或者若干子域名.而他们甚至希望在不同的域名中也可以只登陆一次就可以畅游所有站点.今天我们关注的是如何在各种不同的应用场景中实现SSO. 我们由简到繁,逐一攻破. 1.虚拟目录的主应用和子应用间实现SSO 2.使用不同验证机制实现SSO (username mapping) 3.同一域名中,子域名下的应用程序间实现SSO 4.运行在不同版本.NET下的应用程序间实现SSO 5.两个不同域名下的Web应用程序间实现SSO 6.混合身份验证方式模式(Forms and Windows)下实现SSO 1. 虚拟目录的主应用和子应用之间实现SSO 假设有两个.Net的Web应用程序-Foo和Bar,Bar运行在Foo虚拟目录的子目录().二者都实现了Forms认证.实现Forms认证需要我们重写Application_AuthenticateRequest,在这个时机我们完成认证一旦通过验证就调用一下FormsAuthentication.RedirectFromLoginPage.这个方法接收的参数是用户名或者其它的一些身份信息.在https://www.wendangku.net/doc/5b15803964.html,中登录用户的状态是持久化存储在客户端的cookie中.当你调用RedirectFromLoginPage时就会创建一个包含加密令牌FormsAuthentication Ticket的cookie,cookie名就是登录用户的用户名.下面的配置节在Web.config定义了这种cookie 如何创建:

CAS单点登录系统实操指南

CAS单点登录系统实操指南 CAS单点登录系统实操指南 (1) 1. CAS单点登录介绍 (3) 1.1. 什么是单点登录 (3) 1.2. 什么是CAS (3) 2. CAS服务端部署及配置 (5) 2.1. 基础部署配置 (5) 2.2. 去除https认证 (7) 2.3. 登录数据源设置 (8) 2.3.1 密码未加密处理 (8) 2.3.2 密码MD5加密配置 (9) 2.4. 登录页面的极简改造 (10) 3. CAS客户端搭建 (11) 3.1. 搭建工程并添加依赖 (11) 3.2. 单点登录配置 (12) 3.3. 单点登出配置 (14) 3.3.1 未重定向登出 (14) 3.3.2 重定向地址登出 (15) 3.4. 获取登录用户信息配置 (15) 4. CAS客户端与SpringSecurity集成 (16) 4.1. 搭建工程并添加依赖 (16)

4.2. 修改和创建配置文件 (18) 4.3. 创建Spring-security认证脚本 (22) 4.4. 获取登录名 (22)

1. CAS单点登录介绍 1.1. 什么是单点登录 单点登录（Single Sign On），简称为SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 我们目前的系统存在诸多子系统，而这些子系统是分别部署在不同的服务器中，那么使用传统方式的session是无法解决的，我们需要使用相关的单点登录技术来解决。 1.2. 什么是CAS CAS 是Yale 大学发起的一个开源项目，旨在为Web 应用系统提供一种可靠的单点登录方法，CAS 在2004 年12 月正式成为JA-SIG 的一个项目。CAS 具有以下特点：

公司号簿平台单点登录系统设计策划方案

某公司号簿平台单点登录系统设计与实现 第一章：绪论 1.1课题背景及意义 “电话导航”是中国联通语音综合信息服务的强势品牌，涵盖通信导航、信息导航、交易导航三层次内涵，在北方以114、116114作为接入号码，在南方以116114作为接入号码。“电话导航”通过整合内外部信息资源，以优质的服务理念向社会公众提供全面、精确、专业的综合信息服务；为政企客户、商务客户搭建高效、快捷的信息公布平台；2008年电话导航定位在“专家”的形象，也确实是使受众感受到116114是我们生活中的专家，不管有我们有哪些方面的关心都能够求助那个专家，并得到最专业的资讯。

电话导航每提供一项业务都需要一项专门的业务支持，这些业务支持是通过导航的业务系统来完成。每多提供一些业务就增加一些业务治理的操作，这些业务治理操作差不多上有各业务子系统提供，假如提供统一登录模块实现治理员、用户一次登录系统完成所有业务治理和配置任务关于电话导航平台这类综合业务是一个特不重要的情况，同时随着业务的不断增加如何实现业务系统的快速接入，接入后如何以统一标准的方式提供服务。 单点登录系统为电话导航平台提供一个统一标准的认证平台，所有业务系统、门户、治理系统只要是按照这种标准方式进行登录处理都能够实现一次登录治理所有有权限治理的业务功能。关于终端使用者来讲认为只是使用电话导航功能，而不是使用电话导航的A功能、电话导航B功能，完全不存在区不。 1.2国内外研究现状对比分析 1.3目标及研究内容 依照Web应用请求应答服务的方式和无状态特点，如何实现跨系统的状态保持是本论文研究的要紧内容。

研究目标： 1）单点登录不同系统之间相互切换 2）系统访问操纵 3）系统单点故障屏蔽 4）压力情况下的安全与稳定 1.4论文的组织结构 第二章：需求分析 2.1业务现状 “电话导航”是中国联通语音综合信息服务的强势品牌，涵盖通信导航、信息导航、交易导航三层次内涵，在北方以114、116114作为接入号码，在南方以116114作为接入号码。“电话导航”通过整合内外部信息资源，以优质的服务理念向社会公众提供全面、精确、专业的综合信息服务；为政企客户、商务客户搭建高效、快捷的信息公布平台；并以开放、共赢的原则欢迎商业合作伙伴加入到电话导航产业链中来。2008年电话导航定位在“专家”的形象，也确实是使受众感受到116114是我们生活中的专家，不管有我们有哪些方面的关心都能够求助那个专家，并得到最专业的资讯。

宁盾单点登录(SSO)与金蝶对接方案

一、背景需求 随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。 1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。 2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。 二、金蝶云K3对接方案 1、金蝶云K3商业应用库对接方案 正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。 提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用

户选择。客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。 金蝶云K3作为企业常用的办公工具，已完成商业应用库对接。为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。 2、多因子安全认证 提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

单点登录平台管理软件-系统设计文档

单点登录平台管理软件 设计方案

目录 一、项目概述 (1) 二、项目目标 (1) 三、必要性分析 (1) 四、定义 (2) 五、项目需求 (3) 1.概述 (3) 2.功能需求分析 (4) 2.1.系统实现结构图 (5) 2.2.系统实现层次结构 (6) 2.3.功能需求 (6) 2.4.流程逻辑 (11) 3.数据库设计 (15) 4.服务器与成员接口规 (18)

一、项目概述 单点登录（Single Sign On），简称为SSO，它是一个用户认证的过程，允许用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”它是一个用户认证的过程，允许用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。 SSO将一个企业部所有域中的用户登录和用户管理集中到一起，SSO的好处显而易见。 对于部有多种应用系统的企业来说，单点登录的效果是十分明显的。很多国际上的企业已经将单点登录作为系统设计的基本功能之一。 二、项目目标 通过建设与实现SSO，可以达到以下目标： 减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性。 实现安全的同时避免了处理和保存多套系统用户的认证信息。 减少了系统管理员增加、删除用户和修改用户权限的时间。 增加了安全性：系统管理员有了更好的方法管理用户，包括可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限。 三、必要性分析

鉴于单位运营的多个独立（称为成员站点），每个都具有自己的身份验证机制，这样势必造成：生活中的一位用户，如果要以会员的身份访问，需要在每个上注册，并且通过身份验证后，才能以会员的身份访问；即使用户以同样的用户名与密码在每个上注册时，虽然可以在避免用户名与密码的忘记和混淆方面有一定的作用，但是用户在某一段时间访问多个成员站点或在成员站点间跳转时，还是需要用户登录后，才能以会员的身份访问。这样不仅给用户带来了不便，而且成员为登录付出了性能的代价； 如果所有的成员，能够实现单点登录，不仅在用户体验方面有所提高，而且真正体现了平台的一体性。通过这种有机结合，能更好地体现公司大平台，大渠道的理念。同时，这样做也利于成员的相互促进与相互宣传。 正是出于上面的两点，单点登录系统的开发是必须的，是迫在眉睫的。 四、定义 单点登录系统提供所有成员的“单一登录”入口。本系统的实质是含有身份验证状态的变量， 在各个成员间共用。单点登录系统，包括认证服务器(称Passport 服务器)，成员服务器。 会员：用户通过Passport服务器注册成功后，就具有了会员身份。

单点登录需求规格说明书

江苏省广播电视信息网络股份有限公司苏 州分公司 关于SSO单点登录 需求规格说明书

文档控制 ●更改记录 Date表示修改日期，author表示修改负责人，Version表示当前版本，起始版本v1.0，修改后顺序依次为v1.1，v1.2等，change reference表示根据何种原因发生变更，变更来源等。 ●查阅 ●分发

目录 一，概述 (4) 1. 编写目的 (4) 2. 范围 (4) 3. 读者对象 (4) 4. 参考文档 (4) 5. 名词术语定义 (4) 二，系统说明 (4) 1. 描述 (4) 三，需求 (5) 1. 流程图 (5) 2. 实现原理 (5) 四，用例 (6) 1. 描述 (6) 2. 用例文档 (6) 3. 用例图 (7) 五，运行环境 (7) 1. 硬件环境要求 (7) 2. 软件环境要求 (8)

一，概述 江苏省广播电视信息网络股份有限公司苏州分公司（以下简称广电），目前内部的应用系统包括金蝶EAS、BOSS、呼叫中心等，信息系统希望集成类似单点登录的功能，既在金蝶的EAS门户中登录后能避免其他各系统的登录界面，公司员工只需要登录一次就可以访问所有相互信任的应用系统。 由于实现SSO单点登录的方式各不相同，要求不一，因此关于广电SSO单点登录的实现方式将以此文档的描述为准。 1.编写目的 本文档是金蝶软件（中国）有限公司苏州分公司在与江苏省广播电视信息网络有限公司苏州分公司的《苏州广电网络公司信息系统建设方案》基础上编制的。 本文档的编写为下阶段的设计、开发提供依据，为广电与金蝶双方项目组成员对当前需求提供详尽的理解，以及在开发开发过程中的协同工作提供强有力的保证，同时本文档也作为项目评审验收的依据之一。 本文档由甲乙双方项目负责人签字后方可生效,需求内容如需修改，应由合作双方协商一致，任何一方不可单独修改。 2.范围 本系统包括：EAS授权认证中心，各独立站点授权验证服务两部分组成，通过对广电的充分调研，尽可能的满足双方在合同和相关投标书中所描述的功能。 3.读者对象 本文档适用于参加本项目的所有管理人员、开发方的系统设计人员、开发人员、测试人员以及需求方的相关业务人员等。 4.参考文档 《苏州广电网络公司信息系统建设方案V1.8》章节6，公司信息化其他问题。 5.名词术语定义 用户：登录EAS门户的所有合法用户。 用例图：被称为参与者的外部用户所能观察到的系统功能的模型图，呈现了一些参 与者和一些用例，以及它们之间的关系，主要用于对系统、子系统或类的功能行为 进行建模。 二，系统说明 1.描述 单点登录（Single Sign On），简称为SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 目前实现SSO的产品和解决方案众多,如:Microsoft公司的Passport, IBM WebSphere Portal Server、Netegrity Site Minder、Oracle 9i AS Portal Server以及Liberty等。上述SSO产品的实现机制不尽一样，它们分别有着不同的侧重点并且适合于不同的系统架构。

企业门户和单点登录系统解决方案

UTrust SSO单点登录和门户建设技术方案建议书 北京神州融信信息技术有限公司 https://www.wendangku.net/doc/5b15803964.html,

目录 1.企业应用系统现状 (2) 2.企业单点登录（SSO）需求分析 (3) 3.SSO（SINGLE SIGN ON）单点登录技术 (4) 3.1.后置代理 (5) 3.2.即插即用 (5) 3.3.两种SSO技术比较 (5) 4.UTRUST SSO单点登录系统描述 (6) 4.1.UT RUST SSO系统概述 (6) 4.2.UT RUST SSO系统架构 (7) 4.3.UT RUST SSO系统工作流程 (8) 4.4.UT RUST SSO系统特点 (9) 5.企业门户和单点登录系统建设方案建议 (10) 5.1.UT RUST单点登录解决方案建议 (11) 5.1.1.原系统的整合 (11) 5.1.2.新系统的集成 (12) 5.1.3.统一身份认证 (12) 5.1.4.统一资源授权 (13) 5.1.5.统一安全审计 (13) 5.1.6.统一安全管理 (13) 5.2.统一身份管理 (14) 5.2.1.采用基于标准的统一身份管理架构 (14) 5.2.2.数据集中管理................................................................................... 错误！未定义书签。 5.2.3.委托管理和自注册管理 (16) 5.3.UT RUST SSO门户集成解决方案 (16) 5.3.1.简单门户 (16) 5.3.2.与办公系统集成门户 (17) 5.3.3.与专业Portal系统整合 (18) 5.4.与W INDOWS域结合实现单点登录 (18) 5.5.UT RUST SSO外网接入解决方案 .......................................................... 错误！未定义书签。 5.6.UT RUST 系统的部署 (19) 6.安装环境配置 (21) 7.系统实施建议 (22)

NC单点登录方案

NC单点登录方案 一．登录方案示意图 二．过程说明 1．当客户端用户希望进入NC系统时，首先向外部的认证系统提交请求。 2．由外部认证系统向nc服务器注册客户端的登录信息，这些信息是nc系统所必需的信息。可以通过一个随机的键值key来索引登录信息。 3．客户端将通过该键值来进入nc系统。即客户端将向nc应用服务器提交其键值。nc 服务器将利用该键值从注册中心中获取登录信息（同时注销注册信息）。然后利用这些登录信息登录到NC系统。 4．超时处理：注册的登录信息有其生命期，超过生命期的注册信息将会被清除。客户端只能在超时以前登录nc才有效，否则不能进入nc系统。超时的值在配置文件中进行配置

三．url格式 1．注册用的url 外部系统服务器利用此url向nc服务器注册登录信息。 http://localhost/servlet/nc.bs.sm.login2.RegisterServlet?key=111111&workdate=2003-0 7-16&language=simpchn&usercode=1&pwd=1 注：usercode和pwd是必须的。它用于确定用户身份，以保证NC系统的安全。 workdate用于提供登录日期， language用于提供登录的语种。 key值为注册登录信息的键值，必须保证唯一。 http://localhost/service/RegisterServlet?key=111111&accountcode=nc061115&workdate=2003-07 -16&language=simpchn&usercode=1&pwd=1 2．登录用的url 外部系统服务器注册完毕后，返回客户端该url，使客户端重定向到该url，实现登录NC http://localhost/servlet/nc.bs.sm.login2.Login?key=111111 注：其中key的取值和注册时的值一致 http://localhost/login.jsp?key=111111 四，注册用的url后可选的参数为 "accountcode" 帐套编码 "dsname" 数据源名称 "pkcorp" 公司主键 "workdate" 登录时间 "language" 语种 "isencode" 密码是否加密取值为Y/N “height”客户端分辨率的高度值 “width”客户端分辨率的宽度值 五：配置文件ierp\bin\exterior.xml： 该文件用于配置在单点登录中能够注册登录信息的主机ip和注册信息的超时值。这些配置都是出于对安全的考虑，因为只有在该文件中配置的主机才能向nc服务器注册登录信息。 exterior.xml的内容为： 192.168.0.1 用于指定可以注册的外部主机ip 10.5.2.76 127.0.0.1 20 用于指定注册信息的生命期，单位为妙