KINGDEE DOC ID:KDSP_EAS_T_V3.0.0 专题设计文档 第 26 页 共 29 页 b) 配置DOMINO系统入口页 i.
部署ltpaForDomino5.jar
可把ltpaForDomino5.jar拷贝到domino的servlet部署目录下,即d:\\lotus\\domino\\data\\domino\\servlet 目录下(比如客户的Lotus装在d:\\); ii.
Domino入口servlet(com.kingdee.eas.cp.eip.sso.client.domino.DominoServlet)配置
此Servlet将为DOMINO系统提供入口服务,供EAS PORTAL集成首页链接到DOMINO系统;
有关DOMINO集成的详细配置说明文档,请从以下地址下载:
http://www.mykingdee.com/info/km/docInfoDetail.do?docid=6CCC0ABCD56BA5BA4825714E0003675D 注:
EAS SSO默认提供了Domino系统的入口servlet,其他受保护系统需要参照3.4节的说明,实现系统入口脚本;
3、 配置各业务系统导航入口页
该客户要求提供各业务系统入口集成首页,导航进入,因此,可通过EAS PORTAL提供的各业务系统导航入口页来实现,有关配置说明请参见3.3
4、 测试验证
用EAS和K/3 OA都存在的账号,检查是否顺利登录EAS PORTAL、并点击K/3 OA系统是否无需再登录即可进入,若成功,则说明SSO配置成功;
4.2. 案例2:与Active Directory集成
//TODO
4.3. 总结:实现客户SSO需求参考步骤
通过以上案例,可以总结得出,利用EAS SSO组件,实现客户SSO需求的主要步骤有: 1. 首先进行用户SSO需求调研
调研参考各业务系统使用状况 内容 各业务系统的用户登录过程说明 SSO需求目标 业务系统的运行环境、用户数据库(LDAP/DATABASE/其他?)和应用规模、用户数量等信息 各系统在登录时需要进行的验证过程和验证所需信息。 用户期望达到的SSO目标,如: 1、 界面流展现其SSO登录过程和要求 2、 基准用户数据库希望用什么(是26
KINGDEE DOC ID:KDSP_EAS_T_V3.0.0 专题设计文档 第 27 页 共 29 页 某个业务系统用户库,还是新用户库)
2. 确定SSO实现方案
? ? ?
首先确定基准用户库及用户管理工具
然后制订各系统与基准用户库的映射和同步策略 最后确定SSO实现方案
3. 制订SSO实现计划
因各业务系统的运行环境可能差异比较大,可能是异构平台,用户的统一和同步映射处理也需要时间,已有系统也在线使用中,因此,需要制订好详细的实现计划,以规避和降低风险; 4. 开发实现SSO
根据各业务系统实际情况,进行相应接口的开发(包括用户同步/映射) 5. 部署SSO实现 6. 测试
5. 附录
5.1. 用户映射表:EAS 用户与外部系统用户映射
用户映射表T_SSO_External2EasUsers
字段名 FID FEasUsername FExternalUsername 中文 EAS用户账号 外部系统用户账号 EAS用户账号 EAS用户ID 类型 Varchar(44) Nvarchar(80) Nvarchar(80) 说明 FEasUsername FEasUserID Nvarchar(80) Varchar(44) 27
KINGDEE DOC ID:KDSP_EAS_T_V3.0.0 专题设计文档 第 28 页 共 29 页 FAutoLoginCheckFlag 自动登录标志码 FCreatorID等字段 Varchar(50) 用于存放自动登录的随机密码或其他信息 为导入用户数据时所使用的创建者信息(ID及CU) 以及导入时间
5.2. JAAS
JAAS全名是JAVA认证和授权服务(Java Authentication and Authorization Service),它是一组java包,为提供基于用户的认证和访问控制提供支持,它是标准可嵌入式认证模型(PAM)的java版本实现,支持基于用户的身份认证。
JAAS是J2SE1.3中的可选包,但是J2SE1.4中已经集成了JAAS. JAAS的规范大家可以到http://java.sun.com/products/jaas/查看。
5.3. Kerberos
Kerberos是麻省理工学院 (MIT) 所开发的网络鉴别协议,是用于网络安全的一个事实上的工业标准,曾经受到美国出口管制。而Heimdal Kerberos 是另一种KerberosV5实现, 并且明确地在美国之外的地区开发,以避免出口管制。
Kerberos 是网络验证协议名字,同时也是用以表达实现了它的程序的形容词。例如 Kerberos telnet。目前最新的协议版本是V5,在 RFC 1510 中有所描述。
Kerberos 是一种基于称为Tickets的认证协议,通过密钥加密技术,为client/Server应用提供强认证。Kerberos tickets是鉴别ID的一种凭证,有两种类型的tickets : ticket-granting ticket (TGT) and service ticket (ST)。当你登录一个受控系统的时候你需要密码或token来验证你的身份,若验证通过,将获得TGT。通过TGT你能向认证服务器请求ST,以便访问特定的服务。通过这两种tickets的方法被叫作kerberos的可信任的third-party或中介物,该中介物被称为KDC(Key Distribution Center密钥分发中心),该中心负责分发所有的Kerberos tickets到客户端。
Kerberos 数据库记录了每个用户凭证的信息,包括名字、私有密钥、有效期等等。主KDC存有Kderberos数据库的主拷贝,并负责把它分发给各从KDCs。
JAAS已实现了Kerberos Login Module。 参考资源:http://web.mit.edu/Kerberos/www
28
KINGDEE DOC ID:KDSP_EAS_T_V3.0.0 专题设计文档 第 29 页 共 29 页
5.4. LTPA
LTPA:轻量级第三方认证(Lightweight Third Party Authentication),IBM的产品广泛采用的认证方案。LTPA机制运用一个LTPA令牌(TOKEN),这个令牌包含了用户信息、网络域和要求用户重新认证的令牌终结时间。Domino服务器作必要配置即可支持LTPA TOKEN认证方式。
http://www-12.lotus.com/ldd/doc/tools/c/6.5/api65ug.nsf/0/ceda2cb8df47607f85256c3d005f816d?OpenDocument
29