IT系统SSO接入方案IT系统SSO接入方案目录目录IT系统1SSO接入方案11 概述32 目标33 接入方案33.1 单点登陆34 接口信息54.1 接口主机信息54.2 接口程序信息55 分工界面65.1 单点登陆66 附录61 概述本文档是各应用系统进行单点登录的技术方案。各应用系统依照IT系统企业内部门户系统集成规范提供的规范，选择合理的技术方式实现接入。2 目标1. 实现XX应用系统的单点登陆接入。3 接入方案3.1 单点登陆XX应用系统建议采用Http Header方式与TAM WebSEAL实现单点登陆，具体分析如下：1. XX系统访问域是aa.com，统一用户管理平台访问域是bb.com，两个系统不同域。因此xx应用系统从Http Header中接收到用户名之后，需要跳转到aa.com域之后再完成报帐平台系统的登陆，具体步骤如下：1) 用户登陆统一用户管理平台入口（WebSEAL）访问XX系统，登陆的域是bb.com；2) 从统一用户管理平台访问XX系统，访问的URL如下：http:/sso.bb.com/XX/login/login_sso.jsp在这一步，webseal会通过http header传iv_user header值过去:iv_user:用户登录名称，如zhangsan3) login_sso.jsp做如下处理a） 判断Http Request的IP来源地址，是不是在信任列表内，只有webseal主机的IP是受信任的;b） 从Http Header中取出用户名，判断是不是合法用户；c） 然后跳转到aa.com域，并将用户名传递给下一个认证页面，跳转后的sso_login.jsp：d） 样例代码：（以下是伪代码） String iv_user=request.getHeader(iv_user); String remote_address=request.getRemoteAddr(); /这里写判断IP的合法性 /IP正确后判断iv_user的合法性 /将iv_user转成自身系统要的用户性属值写入到 response.setHeader(iv_user,iv_user);response.sendRedirect(sso_login.jsp);4) Sso_login.jsp获取到用户名之后，完成efinance系统内的认证，并跳转到XX应用主页。2. 如XX系统的帐户名与LDAP用户名不一致，需要做对应关系，在XX系统内保存用户名对应表。XX系统接收到统一用户管理平台传递过来的用户名之后，根据对应表转换成XX系统的帐户。4 接口信息4.1 接口主机信息主机IP端口访问域名webseal主机01XX80webseal01.bb.comcomwebseal主机02XX80webseal02.bb.comXX系统主机XX.aa.com80XX.aa.com4.2 接口程序信息程序名程序项WebSEAL Junction名称/XXWebSEAL Junction配置server task default-webseald-xxx create -t tcp -h xx.aa.com -p 80 -c all -s /XXserver task default-webseald-xx add -t tcp -h xx.aa.com -p 80 /XXefinance单点接口程序URL1. 接收用户名的接口程序http:/sso.bb.com/XX/login_sso.jsp2. 完成XX登陆的接口程序5 分工界面5.1 单点登陆工作项负责方XX系统单点登陆接口程序XX厂商XX系统帐户与LDAP用户名对应XX厂商WebSEAL到XX系统单点登陆的配置集成商单点登陆联调测试集成商、XX厂商上线（正式接入）集成商、XX厂商上线后测试集成商、XX厂商上线后，XX新增或者删除XX帐户，维护对应表XX管理员6 附录应用系统登录接口示例代码 单点认证 /示例webseal主机ip var websealIp = 172.16.0.1; var remote_address = ; var iv_user = ; /判断请求服务器ip是否webseal主机ip if(remote_address=websealIp) /进入用户认证服务,判断用户是否是合法用户,可以使用自定的加密码方式加密码iv_user或 window.location.href = /usercheck.do?uid=+iv_user; else /不是信任ip，跳转到登陆界面 window.location.href = /login.jsp; 注：如果担心URL含有user信息不安全，可用post方法；也可以采用拦截器（filter）拦截配置的地址做业务处理。公司机密文件 第 4 页 共 7