单点登录技术方案

xxxx集团

单点登录技术方案

目录

1.xxxx集团系统建设现状 (3)

1.1.Web应用系统 (3)

1.2.C/S应用系统 (4)

1.3.SSL VPN系统 (4)

2.xxxx集团单点登录系统需求 (5)

2.1.一站式登录需求 (5)

3.SSO（单点登录）技术简介 (6)

3.1.修改应用程序SSO方案 (6)

3.2.即插即用SSO方案 (7)

3.3.两种SSO方案比较 (7)

3.4.惠普SSO (8)

3.4.1.惠普SSO开发背景 (8)

3.4.2.惠普SSO的功能 (8)

3.4.3.惠普SSO的特点 (10)

3.4.4.惠普SSO结构 (11)

4.xxxx集团单点登录技术方案 (12)

4.1.应用系统中部署惠普SSO单点登录 (12)

4.1.1.解决全局的单点登录 (13)

4.1.2.应用系统的整合 (14)

4.1.3.用户如何过渡到使用单点登录 (15)

4.1.4.管理员部署业务系统单点登录功能 (15)

4.1.5.建立高扩展、高容错单点登录环境 (17)

4.1.6.建立稳定、安全、高速网络环境 (17)

4.2.定制工作 (18)

4.2.1.SSL VPN结合 (18)

4.2.2.密码同步 (18)

5.项目实施进度 (19)

5.1.基本安装配置 (19)

5.2.配置认证脚本 (19)

5.3.总体进度 (20)

6.硬件清单 (21)

7.软件清单 (22)

1.x xxx集团系统建设现状

xxxx集团有限责任公司（以下简称集团公司）管理和运营省11个民用机场，以及20多个关联企业（全资子公司、控股企业、参股企业）。现有的信息系统主要有生产运营系统和管理信息系统，其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等，管理信息系统主要有财务系统、OA系统、系统、资产管理系统、决策支持系统、信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。

各信息系统都有独立的用户组织体系，采用“用户名+密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题：1、终端用户需要记住多个用户名和密码；2、终端用户需要登录不同的信息系统以获取信息；3、系统管理员难以应付对用户的管理；4、难以实施系统使用安全方面的管理措施。

1.1.Web应用系统

xxxx集团现有的Web应用系统包括：办公自动化系统（OA）、系统、资产管理系统、部信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、或者购买的商业软件。每个应用系统都有自己的用户管理机制和用户认证机制，彼此独立。每个应用系统用户名、口令可能各不相同。

1.2.C/S应用系统

xxxx集团目前的C/S应用只有一个：财务系统，金蝶K3财务系统。

1.3.SSL VPN系统

xxxx集团有一套SSL VPN系统，集团局域网之外的用户（包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等）是通过SSL VPN 系统进入集团局域网的，通过SSL VPN系统进入集团局域网访问的系统包括：OA系统、系统、资产管理系统、决策支持系统、信息发布审批系统及部等。用户经过SSL VPN系统进入集团局域网需要经过身份认证。

2.x xxx集团单点登录系统需求

现在信息系统建设的重要容之一是信息门户建设，利用门户集成技术建立一个完整有效的部信息门户，通过提供资源的管理和应用开发的支撑功能，把各业务系统的不同功能有效地组织起来，给用户提供一个统一的信息服务功能入口，集成现有的业务系统信息资源，减少信息孤岛的存在并降低重复投资，为用户提供更加完善的信息服务。

2.1.一站式登录需求

由于目前各应用系统独立设计、自成体系，不同系统采用不同的用户管理机制，所以进入每个应用系统均需独立的认证和登录，导致用户使用麻烦，无法体现以用户为中心的服务理念，无法给用户提供简单、方便、快捷、使用的信息服务。

xxxx集团要实现为各类专业应用系统（办公自动化系统、企业系统、资产管理系统等）提供应用集成，必须首先解决各系统互联互通，资源共享需求所带来的统一身份认证需要。

应根据“统一规划，分步实施”，“需求主导，共建共享”，“先进实用，开放扩展”，“统一标准，保障安全”的四个指导原则，先期在信息系统中提供先进安全可靠的、符合国际标准的、高性能大规模的单点登录整体解决方案（“一站式登录Single Sign-On，SSO）”，以降低用户和密码管理成本，提高安全性，并提高用户的系统使用效率，为各系统的无缝集成打下坚实的基础。