单点登录技术方案

XXXX集团

单点登录技术方案

目录

1. xxxx集团系统建设现状 (3)

1.1. Web应用系统 (3)

1.2. C/S应用系统 (4)

1.3. SSL VPN 系统 (4)

2. xxxx集团单点登录系统需求 (5)

2.1. 一站式登录需求 (5)

3. SSO （单点登录）技术简介 (6)

3.1. 修改应用程序SSO方案 (6)

3.2. 即插即用SSO方案 (7)

3.3. 两种SSO方案比较 (7)

3.4. 惠普SSO (8)

3.4.1. 惠普SSO开发背景 (8)

3.4.2. 惠普SSO的功能 (8)

3.4.3. 惠普SSO的特点 (10)

3.4.4. 惠普SSO结构 (11)

4. xxxx集团单点登录技术方案 (12)

4.1. 应用系统中部署惠普SSO单点登录 (12)

4.1.1. 解决全局的单点登录 (13)

4.1.2. 应用系统的整合 (14)

4.1.3. 用户如何过渡到使用单点登录 (15)

4.1.4. 管理员部署业务系统单点登录功能 (15)

4.1.5. 建立高扩展、高容错单点登录环境 (17)

4.1.6. 建立稳定、安全、高速网络环境 (17)

4.2. 定制工作 (18)

4.2.1. SSL VPN 结合 (18)

4.2.2. 密码同步 (18)

5. 项目实施进度 (19)

5.1. 基本安装配置 (19)

5.2. 配置认证脚本 (19)

5.3. 总体进度 (20)

6. 硬件清单 (21)

7. 软件清单 (22)

1. XXXX集团系统建设现状

XXXX集团有限责任公司（以下简称集团公司）管理和运营省内11个民用机场，以及20多个关联企业（全资子公司、控股企业、参股企业）。现有的信息系统主要有生产运营系统和管理信息系统，其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等，管理信息系统主要有财务系统、0A系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。

各信息系统都有独立的用户组织体系，采用“用户名+密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题：1、终端用户需要记住多个用户名和密码；2、终端用户需要登录不同的信息系统以获取信息；3、系统管理员难以应付对用户的管理；4、难以实施系统使用安全方面的管理措施。

1.1. W eb应用系统

XXXX集团现有的Wet应用系统包括：办公自动化系统（0A、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、或者购买的商业软件。每个应用系统都有自己的用户管理机制和用户认证机制，彼此独立。每个应用系统用户名、口令可能各不相同

12 C/S应用系统

xxxx集团目前的C/S应用只有一个：财务系统，金蝶K3财务系统

1.3. SSL VPN 系统

xxxx集团有一套SSLVPN系统，集团局域网之外的用户（包括各地州机场、

部分关联企业、用户自己家住房、出差旅馆、无线上网等）是通过SSLVPN系统进入集团局域网的，通过SSL VPN系统进入集团局域网访问的系统包括：0A系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网站等。用户经过SSL VPN系统进入集团局域网需要经过身份认证。

2. xxxx集团单点登录系统需求

现在信息系统建设的重要内容之一是信息门户建设，利用门户集成技术建立一个完整有效的内部信息门户，通过提供资源的管理和应用开发的支撑功能，把各业务系统的不同功能有效地组织起来，给用户提供一个统一的信息服务功能入口，集成现有的业务系统信息资源，减少信息孤岛的存在并降低重复投资，为用

户提供更加完善的信息服务。

2.1. 一站式登录需求

由于目前各应用系统独立设计、自成体系，不同系统采用不同的用户管理机制，所以进入每个应用系统均需独立的认证和登录，导致用户使用麻烦，无法体

现以用户为中心的服务理念，无法给用户提供简单、方便、快捷、使用的信息服务。

xxxx集团要实现为各类专业应用系统（办公自动化系统、企业邮件系统、资产管理系统等）提供应用集成，必须首先解决各系统互联互通，资源共享需求所带来的统一身份认证需要。

应根据“统一规划，分步实施”，“需求主导，共建共享”，“先进实用，开放扩展”，“统一标准，保障安全”的四个指导原则，先期在信息系统中提供先进安全可靠的、符合国际标准的、高性能大规模的单点登录整体解决方案（“一站式

登录Single Sign-On，SSO”，以降低用户和密码管理成本，提高安全性，并提高用户的系统使用效率，为各系统的无缝集成打下坚实的基础

3. SSO （单点登录）技术简介

SSO就是通过一次登录自动访问所有授权的应用系统，从而提高整体安全性，而且用

户无需记录多种登录过程、ID或口令。需要部署SSO勺原因：

口令越多，安全风险越大

需要简化用户访问

需要简化用户帐号和口令的系统管理

使用单点登录可以集中地提高整个系统的安全性

为企业提供统一的、集中的信息资源管理手段

提高应用系统数据信息的安全从而保护企业核心财产

目前单点登录技术主要分为两类，分别修改应用程序SSO技术方案和不修改应用程序SSC技术方案（即插即用）

3.1. 修改应用程序SSO方案

在这种方案中，SSC解决方案包括的组件为：认证服务器、各种API （Java、

C/C++、.Net、JSP、ASP PHP等）、各种代理Age nt。这种解决方案需要用户改造以前的应用系统，采用方案提供的API或Age nt对应用系统进行修改。改变原有应用系统的认证方式、采用认证服务器提供的技术进行身份认证。这种解决方案，一般要求用户先统一所有应用系统的用户数据库。把用户的信息统一后，才

可实现单点登录功能。

在修改应用的技术方案中，每个应用服务器中都需要安装一个代理程序完成用户的身份认证工作。当用户访问目标应用服务器时，代理程序向SSO K务器询问该用户是否已经登录，如果是，则代理程序从SSO K务器中取得该用户的用户信息自动登录该应用系统。登录成功后，用户直接访问该目标服务器。如果未曾登录过任何应用服务器，则该应用要求用户进行身份认证，认证结束后，代理程序将认证结果发送给SSO服务器。

这种方案的优点是不用在单点登录服务器上保存各个应用系统的用户名/口

令信息。

32即插即用SSO方案

即插即用解决方案，不需要用户修改应用程序。即插即用解决方案包括的组

件为：认证服务器、SSO客户端或浏览器控件（C/S结构的应用需要，B/S应用不需要）。这种解决方案在认证服务器上保存用户所有应用系统的用户名/ 口令信息列表。针对每个应用系统，在这种方案中都有一个对应的配置文件，这个配置用来代理用户登录应用系统。

即插即用解决方案工作的基本原理：首先针对每个应用系统进行配置，产生一个配置文件；用户登录到单点登录服务器上；用户访问应用系统时，单点登录服务器调用对应于该应用的配置文件，将对应该应用的用户认证信息（用户名/ 口令）取出，代理用户登录应用系统；登录成功后，用户可以访问应用系统。

这种方案的特点是在单点登录服务器上保留各个应用的用户名/口令信息对

应列表。

3.3. 两种SSO方案比较

修改应用系统的SSO方案和即插即用SSO方案各有优缺点，先比较如下:

表3.1两种SSO方案比较