it系统ss接入方案.doc

IT系统 SSO接入方案 目录 TOC \o 1-5 \h \z IT 雜 1 SSO接入方案 1 1觀 3 2瞳 3 HYPERLINK \l bookmark2 \o Current Document \h 3接入方案 3 HYPERLINK \l bookmark3 \o Current Document \h 3.1单点登陆 3 HYPERLINK \l bookmark4 \o Current Document \h 4接口信息 5 HYPERLINK \l bookmark5 \o Current Document \h 4.1接口主机信息 5 HYPERLINK \l bookmark6 \o Current Document \h 4.2接口程序信息 5 HYPERLINK \l bookmark7 \o Current Document \h 5分工界面 6 HYPERLINK \l bookmark8 \o Current Document \h 5.1单点登陆 6 HYPERLINK \l bookmark9 \o Current Document \h 6附录 6 木文档是各应用系统进行单点登录的技术方案。各应用系统依照《IT系统企 业内部门户系统集成规范》提供的规范，选择合理的技术方式实现接入。 2目标 实现XX应用系统的单点登陆接入。 3接入方案 3.1单点登陆 XX应用系统建议采用Http Header方式与TAM WebSEAL实现单点登陆，只 体分析如下： 1. XX系统访问域是，统一用户管理平台访问域是，两个 系统不同域。因此xx应用系统从Http Header中接收到用户名之后，需要跳转 到域之后再完成报帐平台系统的登陆，具体步骤如下： 用户③ X7 用户 ③ X7 访 R 城2 aajcom 1） 用户登陆统一用户管理平台入口（WebSEAL）访问XX系统，登 陆的域是； 2） 从统一用户管理平台访问XX系统，访问的URL如下： HYPERLINK /XX/login/login_sso.jsp sso.bb. XX/login/login_sso.jsp 在这一步，webseal 会通过 http header 传 iv_user header 值过去： iv_user:用户登录名称，如zhangsan 3） login_sso.jsp做如下处理 a） 判断Http Request的IP来源地址，是不是在信任列表内，只有 webseal主机的IP是受信任的； b） 从Http Header中取岀用户名，判断是不是合法用户； c） 然后跳转到域，并将用户名传递给下一个认证页面， 跳转后的 ssojogin.jsp： d） 样例代码：（以下是伪代码） String iv_uscr=rcqucst. getHeadcr（〃iv_user〃）； String rcmotc_addicss=rcqucst. gctRcmotcAddr （）: //这里写判断IP的合法性 //1P正确后判断i v_user的合法性 //将iv_USer转成自身系统要的用户性属值写入到 response. setHeader（ivjjser”，iv_user）; response. scndRcdirect （/zsso_login. jsp〃）； 4） Ssojogin.jsp获取到用户名之后，完成efinance系统内的认证，并 跳转到XX应用主页。 如XX系统的帐户名与LDAP用户名不一致，需要做对应关系，在XX 系统内保存用户名对应表。XX系统接收到统一用户管理平台传递过来的用户 名之后，根据对应表转换成XX系统的帐户。 4接口信息 4.1接口主机信息 主机 IP 端口 访问域名 webseal 主机 01 XX 80 websealO 1 .c om webseal 主机 02 XX 80 XX系统主机 XX. 80 XX. 4.2接口程序信息 程序名 程序项 WebSEAL Junction 名称 /XX WebSEAL Junction server task default-webseald-xxx create -t tcp -h 配置 -p 80 -c all -s /XX server task default-webseald-xx add -t tcp -h -p 80 /XX efinance单点接口程 1.接收用户名的接口程序 序URL HYPERLINK /XX/login_sso.jsp sso.bb. XX/login_sso.jsp 2.完成XX登陆的接口程序 5分工界面 5.1单点登陆 工作项 负责方 XX系统单点登陆接u程序 XX厂商 XX系统帐户与