单点登录方案 业务场景 企业在众多异构系统应用过程中,操作人员进行业务数据操作时,经常会在不同系统间操作和切换。操作人员往往苦恼于多个账户号码的记录和不停的在各种系统间的登录和切换动作。在本方案中,我们希望实现应用系统单点登录功能(SSO ),即在某一个系统中登录后,可以根据业务需要,直接进入其他系统,无需二次输入用户名和密码的认证工作。实现单点登录功能后,可以有效的减少用户登录操作次数,提高用户使用系统的友好性。 方案概述 本方案是基于企业用户(下文中“用户”数据含义等同于“账户”数据含义,统一称为用户数据)数据的主数据管理之上。用户数据主数据管理方案的实施方案请参照《主数据管理方案》。企业内异构系统间实施主数据管理方案后,所有系统中的用户数据都来源于“用户主数据”源,且每个系统的用户ID,用户名称及用户密码都是相同的。在此基础之上,需要建立用户认证服务,即用户登录系统时,不仅仅需要通过本系统的认证而是要通过统一认证中心的认证,用户认证中心认证后为本次认证颁发一个令牌,令牌是一个随机的字符串,标志着本次认证成功,用户获取令牌后就能够通过其他系统提供的页面接口进入其他系统而无需二次认证。 本方案的实施有以下特点: 基于用户数据的主数据管理 首先需要将所有系统中的用户数据统一,并且做到入口唯一和统一共享数据; 需要建立用户认证中心 需要提供统一的用户认证服务,有用户认证中心或者用户主数据数据源能够提供用户认证功能。 理论上所有系统中,只要登录一个系统就能够从这个系统进入任一其他系统 通过令牌方式,只要每个系统适当改造就能够在任一系统间切换; 认证过程从服务端发起,不在系统跳转过程中直接传递用户名和密码 通过认证服务在服务器端进行用户认证和数据传递,不会通过页面直接传递用户名和密码,安全性较高; 为系统页面间跳转和业务数据联查建立基础。 单点登录的认证体系可以有效的支撑业务数据联查。比如在财务系统中看到一条财务记录可以从这条记录追溯到业务系统中。 实施准备 软件环境 本方案中单点登录功能的实现,需要企业购置一些集成系统。第一是用户身份认证系统。这个系统可以为应用系统的用户提供统一的认证功能。第二是门户系统或者是 O A 系统,门户系统在企业应用中一般是全员使用并且作为所有系统的公共入口。下面就介绍一下单点登录方案实施前企业的软件环境准备。 用户认证系...
