搜索
单点登录方案业务场景企业在众多异构系统应用过程中,操作人员进行业务数据操作时,经常会在不同系统间操作和切换。操作人员往往苦恼于多个账户号码的记录和不停的在各种系统间的登录和切换动作。在本方案中,我们希望实现应用系统单点登录功能(SSO),即在某一个系统中登录后,可以根据业务需要,直接进入其他系统,无需二次输入用户名和密码的认证工作。实现单点登录功能后,可以有效的减少用户登录操作次数,提高用户使用系统的友好性。方案概述本方案是基于企业用户(下文中“用户”数据含义等同于“账户”数据含义,统一称为用户数据)数据的主数据管理之上。用户数据主数据管理方案的实施方案请参照《主数据管理方案》。企业内异构系统间实施主数据管理方案后,所有系统中的用户数据都来源于“用户主数据”源,且每个系统的用户ID,用户名称及用户密码都是相同的。在此基础之上,需要建立用户认证服务,即用户登录系统时,不仅仅需要通过本系统的认证而是要通过统一认证中心的认证,用户认证中心认证后为本次认证颁发一个令牌,令牌是一个随机的字符串,标志着本次认证成功,用户获取令牌后就能够通过其他系统提供的页面接口进入其他系统而无需二次认证。本方案的实施有以下特点:基于用户数据的主数据管理首先需要将所有系统中的用户数据统一,并且做到入口唯一和统一共享数据;需要建立用户认证中心需要提供统一的用户认证服务,有用户认证中心或者用户主数据数据源能够提供用户认证功能。理论上所有系统中,只要登录一个系统就能够从这个系统进入任一其他系统通过令牌方式,只要每个系统适当改造就能够在任一系统间切换;认证过程从服务端发起,不在系统跳转过程中直接传递用户名和密码通过认证服务在服务器端进行用户认证和数据传递,不会通过页面直接传递用户名和密码,安全性较高;为系统页面间跳转和业务数据联查建立基础。单点登录的认证体系可以有效的支撑业务数据联查。比如在财务系统中看到一条财务记录可以从这条记录追溯到业务系统中。实施准备软件环境本方案中单点登录功能的实现,需要企业购置一些集成系统。第一是用户身份认证系统。这个系统可以为应用系统的用户提供统一的认证功能。第二是门户系统或者是OA系统,门户系统在企业应用中一般是全员使用并且作为所有系统的公共入口。下面就介绍一下单点登录方案实施前企业的软件环境准备。用户认证系统提供用户认证服务。可以在用户主数据管理源上再增用户认证功能。当前最为通用的是用户名/密码认证模式。该模块具备的基本功能为:当其他系统向认证系统提出认证请求时(传递用户名和密码),认证系统能够校验用户名和密码的真伪性。如果用户名和密码正确,告知提出认证的系统认证成功,并为这次认证生成一个令牌(一个随机字符串)标志认证成功。每个认证的系统可以随时使用令牌信息获取该令牌对应的认证信息,如用户名信息,认证时间信息等等。用户认证系统还需要维护认证令牌的生命周期,其中当认证令牌在一段时间内如果没有使用,需要让令牌失效。企业服务总线在企业应用集成工作中,最好是选购一款合适的企业服务总线产品。企业服务总线保证了企业服务规范的持续性,即企业服务总线能够将每个系统不规范的接口适配成企业标准服务规范,这样每个系统都只与企业服务总线交互,而服务总线屏蔽了不规范的接口,不规范的数据。当前如果企业当前没有采购企业服务总线,每个异构的应用系统也可以通过接口直连,但是这种方式的衔接比较脆弱,不便于以后的升级和维护工作。门户系统或者OA系统原理上讲,单点登录功能实现后,用户能够从任一应用系统直接登录到其他应用系统中,但是往往在应用集成实施过程中,企业习惯选择一个公共入口,所有的用户都从公共入口进入后,然后再进入其他业务系统。我们称这个提供入口的系统为“入口系统”。门户系统或者OA系统都适合成为入口系统。这种应用的方式减少了每个异构系统的更改工作量,即使以后有新采购的系统也只需要在入口系统中添加单点登录的链接,而不需要所有系统都添加链接。门户系统为标准的入口系统,而如果企业暂时不具备采购门户系统的条件也可以使用OA系统替代,此时OA系统需要做适当改造。数个业务系统企业当前存在的异构业务系统,比如财务系统,HR系统,供应链系统等等。而所谓异构系统主要是指这些系统不能够互联互通。当前主流系统为BS系统和CS系统。BS系统通过IE传递参数实现单点登录功能。服务规范企业最好将方案中要求每个系统提供的接口标准化,形成服务规范。这些服务规范最好能够在企业服务总线上调用。这样软件系统的改造将是一次性的和稳定的。笔者也将提供一套认证服务标准供企业参考,详见《企业应用集成服务规范-认证规范》其他系统改造方案根据本方案的要求,每个系统指定出改造方案,企业审核后进行改造。统一认证过程描述用户认证流程图认证系统认证系统门户系统门户系统输入(A)输入(A)业务系统一业务系统一开始登录门户获得令牌、进入系统提示失败登录门户,输入用户名密码认证成功不成功统一身份认证流程1、用户登录入口系统(门户或者OA系统)2、入口系统获取用户名和密码后,调用认证系统的认证接口(或者调用企业服务总线上的认证接口,再由总线调用认证系统)3、如果认证成功,认证系统系统返回认证令牌(token,一个随机字符串)。如果认证失败,提示失败信息;4、如果入口系统接收到令牌信息,说明用户认证成功,引导用户进入系统5、如果用户认证失败,提示失败信息单点登录过程描述用户认证流程图认证系统认证系统门户系统门户系统输入(A)输入(A)业务系统一业务系统一开始进入业务系统一获取用户信息登录门户,输入用户名密码获取令牌获得令牌、进入系统提示失败获取用户信息失败登录系统1、用户在入口系统认证成功后,用户系统提供进入其他系统的http链接,在连接中以post方式传递立派数据;2、用户点击入口系统提供的其他系统链接,请求进入其他应用系统;3、应用系统接收到用户进入请求,获取令牌数据4、系统调用认证系统接口,接口输入令牌数据,如果令牌数据有效则返回用户数据,失效则返回失败信息5、如果应用系统接收到用户数据,则引导用户进入系统中;6、如果应用系统没有收到用户数据,则提示认证失败或者直接引导用户进入登陆页面其他方案对比账户名密码映射方案方案描述在很多门户系统中都自带单点登录功能。在门户中建立进入其他系统中的页面,如果用户希望进入其他系统,则在门户中录入在对应系统中的用户名和密码,由门户系统引导进入其他系统。当用户第二次希望进入其他系统时,门户系统能够将上次映射正确的对应用户名和密码自动找出并引导用户进入其他系统。如果映射的用户密码失效门户也能自动欧冠识别方案特点登录简单其他系统不需要改造首次需要录入用户名和密码