金蝶EAS_V7.5_单点登录实施指南
1 第一章 概述
1.1 什么是单点登录
单点登录(Single Sign On),简称为 SSO,是目前企业应用身份认证整合不可或缺的部分。SSO通俗概念:单点登录环境下的多个应用系统,用户只需要登录一次就可以直接访问各应用系统,而无需进行多次登录。
单点登录隶属于EAS中的身份认证管理模块。
1.2 单点登录的作用
通过单点登录技术可以对企业各异构应用系统的登录认证及用户身份信息进行集成,统一企业的身份认证,使企业用户只需要登录一次即可访问各应用系统,从而提高企业各应用系统的易用性、安全性及简化IT管理。
1.3 EAS的单点登录 1.3.1 EAS单点登录总体概述
认证集成组件CAS集成认证组件LTPA Token集成认证组件认证校验处理器传统认证处理器LTPA认证处理器AD域认证处理器自定义认证处理器LDAP认证处理器用户集成组件
图. EAS单点登录服务组件层次关系图
EAS的单点登录主要包含三个服务组件:认证校验处理器、认证集成组件和用户集成组件。认证校验处理器是基础,认证集成组件依赖认证校验处理器,用户集成组件在身份信息同步时用到如AD域和LDAP认证时。
第6页,总53页
金蝶EAS_V7.5_单点登录实施指南
1.3.2 认证校验处理器
认证校验处理器主要用于定义认证接口,实现认证的核心逻辑,支持不同的用户认证方案,通过在EAS系统中配置不同的认证处理器即可实现不同的认证方案。认证校验处理器简称认证处理器。
用户认证校验处理器支持自定义扩展,通过二次开发实现EAS的认证接口,从而实现用户自定义的认证方案。
EAS标准产品支持提供以下认证校验处理器:
? ? ? ?
EAS 传统认证处理器,EAS连接数据库进行认证。 微软AD域认证处理器; LDAP域认证处理器;
LTPA认证处理器,LTPA Token集成认证所依赖的认证处理器。
1.3.3 CAS集成认证组件
基于开源的CAS单点登录应用框架,单点登录就是由该组件实现。CAS分为CAS Server(CAS 服务端)和CAS Client(CAS客户端),CAS Server在EAS中特指/eassso应用,EAS门户就是通过/eassso应用登录进去的,CAS Client是与应用绑定在一起的,EAS中的应用/easportal /portal /easweb就内嵌绑定了CAS Client。CAS单点登录就是通过CAS Server与CAS Client的交互来完成的。
1.3.4 LTPA认证集成组件
LTPA:轻量级第三方认证(Lightweight Third Party Authentication),LTPA主要是利用对称加解密的原理来完成登录认证,主要应用于第三方系统与EAS整合的场景。
1.3.5 用户集成组件
用户集成组件主要用于将第三方数据源的用户账号信息同步到EAS系统中,并且与EAS系统中的用户建立起对应的映射关系;其主要包括用户数据导入和用户映射两个管理模块。 目前EAS支持的导入数据源的类型主要是LDAP服务器 (包括微软AD域服务器)。(注:集成数据库类型的数据源可通过EAI平台来完成)
第7页,总53页
金蝶EAS_V7.5_单点登录实施指南
2 单点登录需求分析及实施
分析和实现客户单点登录集成需求主要有以下几个步骤:
2.1 用户单点登录集成需求调研
需求调研阶段需要详细对客户现有的业务系统进行调研,了解清楚客户期望的单点登录集成的效果和目标。 调研参考内容有如下几点:
?
各业务系统主要信息:包括业务系统基于的技术语言(Java/NET等)、用户数据库类型(Oracle/DB2等)和用户数量规模等信息。
?
用户登录过程说明:包括各业务系统在登录时需要进行的验证过程和验证所需信息等。
?
单点登录集成需求目标:包括用户期望达到的单点登录集成目标,界面流展现其单点登录过程和要求,以及基准用户库( 原有业务系统数据库、新数据库或者LDAP目录服务器)等。
2.2 确定单点登录集成实现方案
确定实现方案阶段主要做以下几个工作:
? ? ?
首先确定基准用户库及用户管理工具
然后制订各系统与基准用户库的映射和同步策略 最后确定单点登录集成实现方案
2.3 制订单点登录集成实现计划
制订计划阶段因各业务系统的运行环境可能差异比较大,可能是异构平台,用户的统一和同步映射处理也需要时间,已有系统也在线使用中,因此,需要制订好详细的实现计划,以规避和降低风险。
2.4 开发配置实现单点登录集成
开发集成阶段主要做以下几个工作:
第8页,总53页
金蝶EAS_V7.5_单点登录实施指南
? ? ?
根据各业务系统实际情况,进行相应接口的开发(包括用户同步/映射) 完成开发后进行相关配置
部署单点登录集成实现方案并在测试环境进行测试
第9页,总53页
金蝶EAS_V7.5_单点登录实施指南
3 单点登录认证服务的集成与实现
3.1 用户认证校验处理器
用户认证校验处理器是单点登录集成过程中,某一种认证方式具体的认证逻辑的实现,EAS标准产品中支持几种常用的认证处理器,同时也支持二次开发扩展自己的认证处理器。
3.1.1 EAS标准产品支持的认证处理器
EAS标准产品支持的认证处理器信息如表3.1所示:
表3.1 EAS支持的认证处理器
认证处理器 名称 EAS 传统(用户名密码)认证 LDAP域认证 微软AD域认证 aseAD com.kingdee.eas.cp.eip.sso.ad.ActiveDirAuthHandler BaseLDAP com.kingdee.eas.cp.eip.sso.ldap.LdapAuthHandler BaseDB 认证处理器实现类 com.kingdee.eas.cp.eip.sso.EasDefaultAuthHandler 说明 EAS传统认证,基于EAS数据库中的用户名密码进行认证校验 基于LDAP协议的目录用户认证 基于微软活动目录(AD)进行用户管理,采用kerberors LoginModule进行认证校验 LTPA认证 BaseTrdLtpaToken com.kingdee.eas.cp.eip.sso.ltpa.LtpaTokenAuthHandler LTPA Token认证 3.1.2 注册和配置认证处理器实现类
在确定了单点登录集成的认证方案后,需要通过配置来切换不同的认证处理器,从而实现不同的单点登录认证方案。其配置方法如下:
第10页,总53页