KINGDEE DOC ID:KDSP_EAS_T_V3.0.0 专题设计文档 第 1 页 共 29 页
<EAS Portal SSO使用指南>
1
KINGDEE DOC ID:KDSP_EAS_T_V3.0.0 专题设计文档 第 2 页 共 29 页 目 录
1. 简介 ...................................................................................................................................... 3
1.1. 1.2. 1.3.
目的 ........................................................................................................................................................................ 3 适用对象................................................................................................................................................................ 3 参考资料................................................................................................................................................................ 3
2. EAS SSO概况 ..................................................................................................................... 3
2.1. 2.2. 2.3.
登录及认证过程 .................................................................................................................................................. 3 SSO服务组件 ...................................................................................................................................................... 4 SSO应用场景 ...................................................................................................................................................... 4
3. EAS SSO 使用指南 ............................................................................................................ 5
3.1.
用户认证校验处理器 ......................................................................................................................................... 5
3.1.1. 3.1.2. 3.1.3. 3.1.4.
3.2.
认证处理器接口:com.kingdee.eas.cp.eip.sso. IEasAuthHandler ..............................5 注册和登记认证处理器接口实现类 ......................................................................6
EAS SSO默认提供的认证处理器 .........................................................................7 参考实现:Microsoft Active Directory认证处理器............................................... 10
用户集中管理..................................................................................................................................................... 12
用户同步配置文件userSyncConfig.xml ............................................................... 12 外部用户数据源为:目录服务(支持LDAP)的参考配置.................................. 12 外部用户数据源为:关系数据库的参考配置 ...................................................... 16 导入用户数据.................................................................................................... 17 EAS用户管理 ................................................................................................... 22 被SSO保护的业务系统登录流程: ................................................................... 23 配置业务系统入口地址...................................................................................... 24
3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.2.5.
3.3.
配置各业务系统导航入口页 .......................................................................................................................... 23
3.3.1. 3.3.2.
4. EAS SSO应用案例 ........................................................................................................... 25
4.1. 4.2. 4.3.
案例1:与Domino集成................................................................................................................................. 25 案例2:与Active Directory集成 ................................................................................................................. 26 总结:实现客户SSO需求参考步骤 ........................................................................................................... 26
5. 附录 .................................................................................................................................... 27
5.1. 5.2. 5.3. 5.4.
用户映射表:EAS 用户与外部系统用户映射 ......................................................................................... 27 JAAS..................................................................................................................................................................... 28 Kerberos ............................................................................................................................................................... 28 LTPA .................................................................................................................................................................... 29
2
KINGDEE DOC ID:KDSP_EAS_T_V3.0.0 专题设计文档 第 3 页 共 29 页 1. 简介 1.1. 目的
本文档对EAS PORTAL SSO进行概要描述,并对相关配置进行详细说明,为与第三方系统集成提供SSO配置指南;
1.2. 适用对象
本文档适用于:
? EAS Portal SSO设计和开发人员
? 系统实施和集成人员:提供EAS PORTAL SSO使用指南
1.3. 参考资料
2. EAS SSO概况 2.1. 登录及认证过程
受EAS SSO保护的应用登录和认证过程如下图所示:
上图示意了受EAS Portal SSO保护的应用系统用户的登录过程(按编号.1.1-1.9的顺序);
3
KINGDEE DOC ID:KDSP_EAS_T_V3.0.0 专题设计文档 第 4 页 共 29 页 2.2. SSO服务组件
EAS SSO主要提供以下服务组件:
? 用户认证校验处理器
?
定义认证接口:
EAS SSO定义的认证接口,可由第三方系统实现,以便扩展用户认证模式,即:实现该接口,通过调用第三方认证API,进而实现第三方认证; ?
EAS默认提供以下处理器:
? EAS缺省认证处理器(基于EAS USER DataBase和密码策略),即称为EAS传统
认证;
? MircroSoft Active Directory认证处理器 ? LDAP认证处理器
? 用户集中管理
EAS SSO采用用户集中管理,其用户数据存储支持以下类型: ? ?
DataBase,如:MS Sql Server、DB2 、Oracle等主流关系数据库
Directory Server(支持LDAP的目录服务),如:MS Active Directory、IBM Directory Server、Lotus Domino等;
但SSO不包括以下服务:
? 用户管理(用户的增删改) ? 用户数据的导入导出接口
注:以上服务可由EAS基础系统或其他用户管理系统(如:Active Directory)提供;
2.3. SSO应用场景
? J2EE WEB应用系统SSO和安全保护
注:包括DOMINO应用保护,DOMINO支持LTPA TOKEN认证方式、且可直接使用JAVA编程(但支持的JDK版本较低,Domino5 仅支持JDK1.1) ? 其他异构web应用系统保护
目前EAS仅提供Ltpa token Java校验接口(API),对于异构系统,需要自己实现校验机制(或调用JAVA API);
4
KINGDEE DOC ID:KDSP_EAS_T_V3.0.0 3. EAS SSO 使用指南 上一章对EAS SSO作了简要描述,本章将详细描述有关配置说明
3.1. 用户认证校验处理器
3.1.1. 认证处理器接口:com.kingdee.eas.cp.eip.sso. IEasAuthHandler /**
* EAS SSO认证处理器接口 */
public interface IEasAuthHandler { /**
* 获取外部系统所映射的EAS USER名称 * @param ctx
* @param externalUserNumber * @return map to Eas UserNumber */
public String getEasUserNumber(Context ctx, String externalUserNumber) throws BOSLoginException; /**
* 是否进行EAS 缺省用户密码校验方式(多重叠加认证) * @return */
public boolean isVerifyEasUserPwd(); /**
* 用户认证校验接口
* @param userCtxCallback * @param userNumber * @param password
专题设计文档 第 5 页 共 29 页 5