单点登录技术规划方案docx.docx

1、单点登录技术规划方案docxxxxx集团单点登录技术方案1.xxxx 集团系统建设现状xxxx集团有限责任公司（以下简称集团公司）管理和运营省内 11 个民用机场，以及 20 多个关联企业（全资子公司、控股企业、参股企业） 。现有的信息系统主要有生产运营系统和管理信息系统， 其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等，管理信息系统主要有财务系统、 OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。各信息系统都有独立

2、的用户组织体系，采用“用户名 +密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题： 1、终端用户需要记住多个用户名和密码； 2、终端用户需要登录不同的信息系统以获取信息；3、系统管理员难以应付对用户的管理； 4、难以实施系统使用安全方面的管理措施。1.1. Web 应用系统xxxx集团现有的 Web应用系统包括：办公自动化系统（ OA）、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、 或者购买的商业软件。 每个应用系统都有自己的用户管理机制和用户认证机制， 彼此独立。每个应用系统用户名、 口令可能各不

3、相同。1.2. C/S 应用系统xxxx集团目前的 C/S 应用只有一个：财务系统，金蝶 K3财务系统。1.3. SSL VPN 系统xxxx集团有一套 SSL VPN系统，集团局域网之外的用户（包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等）是通过 SSLVPN系统进入集团局域网的，通过 SSL VPN系统进入集团局域网访问的系统包括： OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网站等。用户经过 SSL VPN系统进入集团局域网需要经过身份认证。2.xxxx 集团单点登录系统需求现在信息系统建设的重要内容之一是信息门户建设， 利用门户集成技

4、术建立一个完整有效的内部信息门户， 通过提供资源的管理和应用开发的支撑功能， 把各业务系统的不同功能有效地组织起来， 给用户提供一个统一的信息服务功能入口，集成现有的业务系统信息资源， 减少信息孤岛的存在并降低重复投资， 为用户提供更加完善的信息服务。2.1. 一站式登录需求由于目前各应用系统独立设计、 自成体系，不同系统采用不同的用户管理机制，所以进入每个应用系统均需独立的认证和登录， 导致用户使用麻烦， 无法体现以用户为中心的服务理念，无法给用户提供简单、方便、快捷、使用的信息服务。xxxx集团要实现为各类专业应用系统（办公自动化系统、企业邮件系统、资产管理系统等） 提供应用集成， 必须首

5、先解决各系统互联互通， 资源共享需求所带来的统一身份认证需要。应根据“统一规划，分步实施” ，“需求主导，共建共享” ，“先进实用，开放扩展”，“统一标准，保障安全”的四个指导原则，先期在信息系统中提供先进安全可靠的、符合国际标准的、高性能大规模的单点登录整体解决方案（ “一站式登录 Single Sign-On， SSO）”，以降低用户和密码管理成本，提高安全性，并提高用户的系统使用效率，为各系统的无缝集成打下坚实的基础。3.SSO（单点登录）技术简介SSO就是通过一次登录自动访问所有授权的应用系统，从而提高整体安全性，而且用户无需记录多种登录过程、 ID 或口令。需要部署 SSO的原因：口

6、令越多，安全风险越大需要简化用户访问需要简化用户帐号和口令的系统管理使用单点登录可以集中地提高整个系统的安全性为企业提供统一的、集中的信息资源管理手段提高应用系统数据信息的安全从而保护企业核心财产目前单点登录技术主要分为两类， 分别修改应用程序 SSO技术方案和不修改应用程序 SSO技术方案（即插即用） 。3.1. 修改应用程序 SSO 方案在这种方案中， SSO解决方案包括的组件为：认证服务器、各种 API（Java、C/C+、.Net 、JSP、ASP、PHP等）、各种代理 Agent。这种解决方案需要用户改造以前的应用系统， 采用方案提供的 API 或 Agent 对应用系统进行修改。

7、改变原有应用系统的认证方式、 采用认证服务器提供的技术进行身份认证。 这种解决方案，一般要求用户先统一所有应用系统的用户数据库。 把用户的信息统一后， 才可实现单点登录功能。在修改应用的技术方案中， 每个应用服务器中都需要安装一个代理程序完成用户的身份认证工作。 当用户访问目标应用服务器时， 代理程序向 SSO服务器询问该用户是否已经登录， 如果是，则代理程序从 SSO服务器中取得该用户的用户信息自动登录该应用系统。 登录成功后， 用户直接访问该目标服务器。 如果未曾登录过任何应用服务器， 则该应用要求用户进行身份认证， 认证结束后， 代理程序将认证结果发送给 SSO服务器。这种方案的优点是不

8、用在单点登录服务器上保存各个应用系统的用户名 / 口令信息。3.2. 即插即用 SSO 方案即插即用解决方案， 不需要用户修改应用程序。 即插即用解决方案包括的组件为：认证服务器、 SSO客户端或浏览器控件（ C/S 结构的应用需要， B/S 应用不需要）。这种解决方案在认证服务器上保存用户所有应用系统的用户名 / 口令信息列表。针对每个应用系统， 在这种方案中都有一个对应的配置文件， 这个配置用来代理用户登录应用系统。即插即用解决方案工作的基本原理： 首先针对每个应用系统进行配置， 产生一个配置文件； 用户登录到单点登录服务器上； 用户访问应用系统时， 单点登录服务器调用对应于该应用的配置文

9、件，将对应该应用的用户认证信息（用户名 /口令）取出，代理用户登录应用系统；登录成功后，用户可以访问应用系统。这种方案的特点是在单点登录服务器上保留各个应用的用户名 / 口令信息对应列表。3.3. 两种 SSO 方案比较修改应用系统的 SSO方案和即插即用 SSO方案各有优缺点，先比较如下：指标修改应用程序方案即插即用方案实施性实施周期长，一般月为单实施周期短，以天为单位位扩展性跟应用的平台、 环境有关跟应用无关，高扩展容错性单点登录服务器失效， 业单点登录服务器失效， 业务系统无法正常使用， 容务系统仍可正常使用， 容错性差错性好认证信息无需在单点登录服务上需在单点登录服务上存存储其他应用的

10、用户认储其他应用的用户认证证信息信息表 两种 SSO方案比较3.4. 惠普 SSO3.4.1. 惠普 SSO开发背景近年来，随着信息化进一步发展， 企业的应用系统越来越多。 部署这些应用面临双重的安全挑战。首先，必须保证只有合法的用户才能访问相应的应用资源。其次，实施安全保护措施时应尽量避免增加用户的负担。随着业务系统的增加，每个用户需要记住多个口令， 访问不同的应用系统采用不同的口令。 这虽然能够保证用户对应用资源的合法访问， 但增加了用户的负担。 一方面，为了方便记忆，用户会采用简单的口令或将口令记录下来， 这大大降低了应用系统的安全性； 另一方面，用户每访问一个应用资源都需要登录一次，

11、这大大降低了工作效率。 惠普 SSO应用软件系统正是在这种背景下开发的。3.4.2. 惠普 SSO的功能通过组合简单的访问控制和 SSO功能，惠普 SSO为客户提供一个即插即用的SSO解决方案。用户无须修改应用系统（包括 WEB应用系统和 C/S 结构应用系统），自由选择前置代理和后置代理或组合使用方式。只需简单的配置，即可使用 SSO应用功能。惠普 SSO系统主要功能包括：单点登录：用户只需登录一次，即可通过单点登录系统（ SSO）访问后台的多个应用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。即插即用：通过简单的

12、配置， 无须用户修改任何现有 B/S、C/S 应用系统，即可使用。解决了当前其他 SSO解决方案实施困难的难题。多样的身份认证机制：同时支持基于 PKI/CA 数字证书和用户名 / 口令身份认证方式，可单独使用也可组合使用；可无缝集成 Windows域认证模式，登录的域用户访问惠普 SSO服务器无须再次身份认证；基于角色访问控制：根据用户的角色和 URL实现访问控制功能基于 Web界面管理：系统所有管理功能都通过 Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。 此外，可以使用 HTTPS安全地进行管理。全面的日志审计：精确地记录用户的日志，可按日期、地址、用

13、户、资源等信息对日志进行查询、统计和分析。审计结果通过 Web界面以图表的形式展现给管理员。双机热备：通过双机热备功能，提高系统的可用性，满足企业级用户的需求。集群：通过集群功能，为企业提供高效、可靠的 SSO服务。可实现分布式部署，提供灵活的解决方案。传输加密：支持多种对称和非对称加密算法，保证用户信息在传输过程中不被窃取和篡改。防火墙：基于状态检测技术，支持 NAT。主要用于加强 SSO本身的安全，也适用于网络性能要求不高的场合，以减少投资。分布式安装：对物理上不在一个区域的网络应用服务器可以进行分布式部署 SSO系统后台用户数据库支持： LDAP、Oracle 、DB2、Win2k AD

14、S、Sybase 等。可以无缝集成现有的应用系统的统一用户数据库作为 SSO应用软件系统的用户数据库。领先的 C/S 单点登录解决方案：无需修改任何现有的应用系统服务端和客户端即可实现 C/S 单点登录系统。3.4.3. 惠普 SSO的特点同其他 SSO产品相比，惠普 SSO具有如下特点：即插即用：惠普 SSO以完全独立于应用系统的方式工作，应用系统完全感觉不到惠普 SSO的存在。高可扩展性：企业新部署应用系统通过简单的配置即可纳入 SSO系统。应用无关性：同应用系统的平台、开发环境、结构、编程语言以及脚本无关。支持所有的 TCP/IP 协议的应用环境， 能够满足各种 Web应用开发环境。无客

15、户端化：通过配置，对于 C/S 的应用，可以通过插件的方式来实现单点登录，无需安装惠普单点登录客户端。满足企业级应用的需求：通过双机热备、集群等功能解决大型企业对应用系统高可靠性和高带宽需求。用户认证信息多样化：支持 Web的 BA和 Form认证方式， Web应用系统的用户名口令可各不相同，支持数字证书认证、支持用户已有的用户数据库等。通过定制开发也可支持动态口令等认证方式。3.4.4. 惠普 SSO结构浏览器客户端浏览器客户端C/S应用客户端SSO客户端一次性一次性一次性凭证凭证凭证防火墙模块安图形化审计报表台身份单点数据访问制全认证登录加密控制控网集群、双机热备关理管SSO用户数据库SS

16、O服务器B/S 结构应B/S结构应C/S结构应用服务器用服务器用服务器Web 用户数据库Web 用户数据库C/S用户数据库图 惠普 SSO体系结构4.xxxx 集团单点登录技术方案4.1. 应用系统中部署惠普 SSO 单点登录xxxx集团的单点登录需求特点是：已经实现了多个应用系统，而且为异构系统（不同的平台上，使用不同的应用服务器建立不同的业务系统） ，没有独立的单点登录门户。单点登录系统想作为企业的门户使用。在单点登录技术领域，惠普抛弃了系统综合集成、 应用大包大揽的整合、 以及异构系统异构解决 （插件方式）等实现方法。 而是将重点放在已有应用系统的单点登录的无缝集成上， 着重实现具有“即

17、插即用” 、“应用无关”、“不知不觉中的单点登录”等功能。为了更好的保护已有投资，使单点登录系统具有更好的扩展性。在 xxxx 集团应用系统的单点登录规划中我们推荐惠普 SSO单点登录产品。下面各个章节里将详细描述惠普 SSO单点登录系统如何无缝解决企业的单点登录需求。4.1.1. 解决全局的单点登录图 xxxx 集团部署单点登录系统网络结构图上图为 xxxx 集团部署惠普 SSO单点登录系统的示意图，为了保证系统高可用性，可采取 SSO系统的双机热备部署方案。部署完成后， xxxx 集团用户登录业务系统将不在面临分散式登录方式， 用户只需登录惠普 SSO系统一次即可。 用户在访问某个业务系统

18、时， 惠普 SSO单点登录系统会截获用户信息， 并对用户进行安全可靠的身份认证（登录 SSO服务器，只需一次），登录成功后（假定用户身份正确）用户再使用其他业务系统时将不再需要身份认证， 惠普 SSO单点登录系统会自动代理该用户完成必要的认证过程， 并且确保该用户的正确性、 合法性和安全性。4.1.2. 应用系统的整合在提供 SSO单点登录方案时， 应尽量避免修改原有的应用系统， 不要修改应用系统结构和设计。对 Web应用，惠普 SSO同应用系统的操作系统平台、 应用开发平台、 开发语言、开发脚本、Web服务器和应用服务器的类型完全无关。 这样可以确保惠普 SSO 系统支持所有的 Web应用系

19、统。对于 C/S 结构的应用，采用惠普 SSO的单点登录客户端或浏览器插件， 可以方便的实现 C/S 结构应用系统的单点登录功能， 无需用户修改应用程序。 以透明的方式实现，达到“不知不觉”地实现单点登录的功效。惠普 SSO最大限度地避免用户修改已有的应用系统， 为项目的顺利实施提供了可靠的保证。一方面，因无需定制开发，修改应用程序，避免了部门协调的麻烦；另一方面，可以在短时间内完成项目的部署， 避免因实施周期长带来的不必要的麻烦。图 单点登录主页面根据 xxxx 集团的实际需求，对于 C/S 的应用我们建议用户采用浏览器插件的方式进行管理。 采用浏览器插件的用户不需要安装客户端， 使用比较方

20、便。 上图是默认配置下， 用户登录到惠普 SSO服务器后显示的页面。 点击主页面上的所有应用，用户都可以直接进入该系统，不需要用户再次输入密码。4.1.3. 用户如何过渡到使用单点登录部署惠普 SSO单点登录系统应用后，企业用户访问和使用原有的业务系统时，其使用方式不进行任何变动， 这主要是惠普 SSO单点登录系统使用了透明转发技术，也就是说，单点登录系统的使用在用户看来是透明的。其中企业用户能看到的变化如下：一次性登录到 SSO服务器后，访问任何业务系统不用进行身份认证；企业用户需要在 SSO服务器上维护自己用户名 / 口令列表。每个用户维护自己的列表，管理员无法干预，也无需干预。4.1.4

21、. 管理员部署业务系统单点登录功能系统管理员通过管理控制台对单点登录系统进行管理。 惠普 SSO单点登录系统自身携带图形化的基于 Web界面的管理控制台， 通过 Web界面管理单点登录系统。惠普 SSO无需配置修改其他业务系统， 最大化的减少了同各个业务系统管理部门之间的协调工作，保证项目的顺利部署。其管理界面如下：图 管理控制台截图每个需要单点登录的业务系统在惠普 SSO单点登录系统中都需要进行配置，主要配置内容包括：网络地址，子网掩码等等相关信息进行配置业务系统名称业务系统 IP业务系统开放的端口用户管理用户授权这些配置完成后用户即可使用单点登录，针对单点登录的管理配置相当简单、明确。在配

22、置和使用开始后，管理员的管理工作变得非常少，只剩下用户管理和日志查询审计工作，对用户的管理包括增、删、改等，而日志审计有非常直观的图形化界面可用，其截图如下：图 惠普 SSO单点登录系统日志报表截图日志审计部分是全局统一审计的，图形化报表审计日志对管理员非常直观外，企业决策层进行系统分析和数据采样也是非常适合的。4.1.5. 建立高扩展、高容错单点登录环境惠普 SSO单点登录系统无需修改应用程序， 因此新上线的应用系统， 通过配置即可纳入单点登录系统。系统具有良好的扩展性。惠普 SSO单点登录系统不修改应用系统， 采用旁路工资模式。 因此，当单点登录系统出现故障时， 除了无法使用单点登录功能外

23、， 不影响原有业务系统的正常运行，保证了系统的高容错功能。 这是同修改应用程序实现单点登录功能解决方案的一个重要区别。采用修改应用程序的方法，一旦单点登录系统出现问题，整个业务系统也会受到影响，可能无法正常工作。4.1.6. 建立稳定、安全、高速网络环境在企业的业务系统中增加单点登录系统后首要的问题是要稳定、 安全、高速，然后在这个基础上进行单点登录。惠普 SSO单点登录系统采用双机热备、 集群技术，这些技术保证 SSO服务器不会影响业务系统的数据处理，可以适应任何流量压力下的正常数据传输。安全方面，惠普 SSO单点登录系统采用专用内核， 并且自身携带安全的防火墙模块，保证单点登录系统自身安全

24、性和稳定性。4.2. 定制工作4.2.1. SSL VPN结合xxxx 集团有一套 SSLVPN系统，采用的艾克斯通的 SSLVPN系统。惠普 SSO系统可以和艾克斯通 SSL VPN无缝集成。通过配置，用户登 SSL VPN后访问惠普SSO系统，无须再次输入密码。移动办公用户的最终感觉是：登录 SSL VPN，输入一次口令，然后访问其他应用系统时，无须再输入口令。4.2.2. 密码同步xxxx集团现有一个基于 LDAP用户数据库，现有的 Web应用系统（ OA、资产管理、企业邮件、网站发布、决策支持）和 SSLVPN都使用该数据库。有的直接使用，有的同步使用。同步使用时出现同步周期太长问题。

25、为了解决这个问题，通过定制，用户以后修改口令， 统一经过惠普 SSO进行修改，由惠普 SSO将修改后的口令同步到各个应用系统中。5.项目实施进度5.1. 基本安装配置惠普 SSO安装需要一台专用服务器（裸机） 。惠普 SSO系统是自成体系的系统，自带操作系统、数据库。安装完毕后，首先进行 SSO系统基本参数配置，包括：IP 地址默认路由域名服务器5.2. 配置认证脚本每个需要单点登录的业务系统在惠普 SSO单点登录系统中需要进行配置， 主要配置内容包括：业务系统名称业务系统 IP 或域名业务系统使用的端口配置业务系统认证脚本这些配置完成后，用户即可使用认证脚本完成该业务系统的单点登录功能。5.

26、3. 总体进度xxxx集团的网络应用相对比较规范， 按照平均一天 23 个应用系统的实施速度，应用系统实施大概需要 2 天时间；对管理员需要 1 天管理培训； 如果需要定制显示首页面，需要 1 天时间；集成 SSLVPN需要 1 天时间。总共需要 5 天时间。应用系统配置2 天培训1 天首页面定制1 天SSL VPN集成1 天共5 天如果要同步用户密码，要根据应用系统的实际情况来估算工作量：同步Domino LDAP服务器需要 2 天定制工作； SQL Server 需要 2 天； Oracle 数据库需要 2 天。其他的数据库视具体情况而定。6.硬件清单由于惠普 SSO系统只在用户认证的时候登录一次， 因此压力不大。 另外，惠普 SSO系统采用多进程多线程模式，是一个非常高效的服务系统。所以，惠普SSO系统对硬件的要求不高。惠普 SSO支持 Intel 构架的 PC服务器。内部按 1000 用户算，需要的硬件最低配置如下：CPU 内存 硬盘1*2.8G Xeon 1G RAID 1/73G7.软件清单惠普 SSO系统自成体系，自带操作系统、数据库、服务器软件。和其他类似的解决方案相比，无须为单点登录系额外购买：操心系统、数据库等配套软件。xxxx集团单点登录解决方案需要的软件清单：惠普 SSO软件系统 版本 4.8.6 ，一套