資源描述:
《基于sso實現(xiàn)承鋼多系統(tǒng)單點登錄》由會員上傳分享�����,免費在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1���、基于SSO實現(xiàn)承鋼多系統(tǒng)單點登錄應(yīng)用SSO組件提供了單點登錄集成功能��,通過擴展SSOclient與各應(yīng)用系統(tǒng)集成�,共同使用承鋼人力資源系統(tǒng)員工號作為統(tǒng)一的身份認(rèn)證��,實現(xiàn)單點登錄功能�。【關(guān)鍵詞】SSO同步身份認(rèn)證集成業(yè)務(wù)系統(tǒng)1背景針對承鋼目前系統(tǒng)多�����,賬戶多����,密碼多套的情況,在本次實施中�����,在門戶中完成單點登錄功能���,是用戶登錄門戶即可登錄其他系統(tǒng)�,避免重復(fù)登錄,管理多套賬戶密碼��,方便用戶使用���。2系統(tǒng)實現(xiàn)2.1定位及分工2.1.1以統(tǒng)一工號為基礎(chǔ)的數(shù)據(jù)同步業(yè)務(wù)流程管理系統(tǒng)通過數(shù)據(jù)同步接口與統(tǒng)一用戶中心進行用戶數(shù)據(jù)
2�����、的交互,數(shù)據(jù)的同步采取實時同步策略�����。目前只做統(tǒng)一用戶中心和其他業(yè)務(wù)系統(tǒng)的人員數(shù)據(jù)同步���。各業(yè)務(wù)系統(tǒng)之間以承鋼公司員工工號為基礎(chǔ)進行同一用戶驗證與同步���。2.1.2統(tǒng)一用戶同步機制提供了各業(yè)務(wù)系統(tǒng)之間的實時數(shù)據(jù)交換功能,將統(tǒng)一用戶中心的組織機構(gòu)以及人員數(shù)據(jù)抽取��,經(jīng)過過濾���、清洗���、轉(zhuǎn)換形成其他業(yè)務(wù)系統(tǒng)所需要的數(shù)據(jù)����。業(yè)務(wù)流程系統(tǒng)統(tǒng)一用戶同步使用觸發(fā)器同步機制�����。前提條件:(1)創(chuàng)建臨時表存放增量數(shù)據(jù)��,臨時表中要增加操作順序以及操作類型兩個字段���。(2)為源數(shù)據(jù)表創(chuàng)建三中操作類型的觸發(fā)器���,源數(shù)據(jù)表需要有可唯一標(biāo)識某一行的列
3、�����。實現(xiàn)方式:業(yè)務(wù)流程管理系統(tǒng)對用戶表表操作的時候會自動向臨時表表中添加操作數(shù)據(jù)信息���,DI模型獲取臨時表表中的數(shù)據(jù)�����,將數(shù)據(jù)交給“Swinch/Case”步驟根據(jù)臨時表的OPERATION字段信息分別將三種不同的操作交給后面的流程處理��。(1)insert操作會將數(shù)據(jù)傳送給“選擇插入的數(shù)據(jù)”進行數(shù)據(jù)過濾交給“前置數(shù)據(jù)插入”把數(shù)據(jù)插入到其他業(yè)務(wù)系統(tǒng)的用戶表中����。(2)update操作會將數(shù)據(jù)傳送給“選擇更新的數(shù)據(jù)”進行數(shù)據(jù)過濾交給“前置數(shù)據(jù)更新”把其他業(yè)務(wù)系統(tǒng)的用戶表中對應(yīng)的數(shù)據(jù)更新。(1)delete操作會將數(shù)據(jù)
4���、傳送給“選擇刪除的數(shù)據(jù)”進行數(shù)據(jù)過濾交給“前置數(shù)據(jù)刪除”把其他業(yè)務(wù)系統(tǒng)的用戶表中對應(yīng)的數(shù)據(jù)刪除��。最后做完以上操作后將同步完成的數(shù)據(jù)從臨時表中刪除���。完成整個同步過程�。2.2定位以及分工2.2.1單點登錄服務(wù)器SSO-server即單點登錄服務(wù)器。SSOServer負(fù)責(zé)完成對用戶的認(rèn)證工作��,需要獨立部署�����。SSOServer處理用戶名/密碼等憑證(Credentials)SSO組件提供了靈活的接口/實現(xiàn)分離的模式����。通過實現(xiàn)用戶認(rèn)證接口���,驗證統(tǒng)一用戶中心數(shù)據(jù),并在此基礎(chǔ)上增加令牌卡加強登錄安全性�����。2.2.2單點登
5����、錄客戶端SSOClient部署在客戶端應(yīng)用上,負(fù)責(zé)將客戶端應(yīng)用的受保護資源的訪問請求重定向到SSOServer?進行認(rèn)證����。通過擴展SSOClient即可實現(xiàn)其他業(yè)務(wù)系統(tǒng)的單點登錄集成。2.2.3Portal首頁Portal首頁作為前端門戶����,需要集成各業(yè)務(wù)系統(tǒng),將各業(yè)務(wù)系統(tǒng)的內(nèi)容和業(yè)務(wù)整合在統(tǒng)一的門戶頁面上供用戶在統(tǒng)一的界面上獲取各種來源的信息�,而不會意識到信息的真正來源。2.3SSO單點登錄集成方案2.3.1前提條件(1)部署SSO-Server單點登錄服務(wù)器��。(2)集成業(yè)務(wù)系統(tǒng)應(yīng)用實現(xiàn)方式�。(3)SSO
6、-Server改造��,在實際部署實施中可根據(jù)業(yè)務(wù)系統(tǒng)的不同的實際情況進行配置和擴展。修改認(rèn)證模式相關(guān)的配置在sso-serverWEB-INF下的deployerConfigContext.xml文件中authenticationHandlers屬性下�。可同時配置多種不同的認(rèn)證模式�����,只要有一種通過驗證�����,用戶即為合法用戶����。(4)當(dāng)業(yè)務(wù)系統(tǒng)無法改造時,為了支持這類系統(tǒng)的單點登錄集成��,SSO組件提供了模擬登錄功能���。將原有系統(tǒng)的用戶信息與單點登錄的用戶信息做映射。用戶通過SSO登錄時��,由SSOSever對訪問者進
7�����、行身份認(rèn)證。在已登錄的情況下���,用戶訪問集成系統(tǒng)時���,根據(jù)用戶映射表獲取原系統(tǒng)用戶名和密碼,并調(diào)用原系統(tǒng)登錄入口��,將獲取的原系統(tǒng)用戶名和密碼作為參數(shù)傳遞給原系統(tǒng)的登錄url�,達到集成的目的。這種集成方式無需改造原有系統(tǒng)��,但是需要維護用戶映射關(guān)系�。(1)Sso-client改造,業(yè)務(wù)系統(tǒng)初始化并實現(xiàn)接口類����。實現(xiàn)SSOJavaClient提供的IContextlnit接口,并將并將初始化實現(xiàn)類部署在應(yīng)用的WEB-INF/classes目錄下�����。接口說明如表1�����。(2)修改業(yè)務(wù)系統(tǒng)的web.xml。在待集成的業(yè)務(wù)系統(tǒng)的
8���、web.xml文件中���,添加內(nèi)容。修改sso-filterconfig中涉及到應(yīng)用IP��,SSO-serverIP地址等配置的IP地址與端口的配置�。3結(jié)語通過系統(tǒng)單點登錄的集成,解決了承鋼集團多系統(tǒng)登錄的復(fù)雜性����,提高了工作效率。并且在重要崗位配發(fā)動態(tài)口令卡的方式��,有效的保證了關(guān)鍵用戶信息的安全性����。作者單位河北鋼鐵集團承鋼分公司運營改善部信息中心河北省承德市067002
