SSO单点登录概要设计说明书.docx

SSO单点登录概要设计说明书.docx

《SSO单点登录概要设计说明书.docx》由会员分享，可在线阅读，更多相关《SSO单点登录概要设计说明书.docx（11页珍藏版）》请在冰豆网上搜索。

SSO单点登录概要设计说明书

SSO单点登录概要设计说明书

V1.0

文件更改摘要:

日期

版本号

修订说明

修订人

审核人

批准人

2011-5-19

1.0

创建

孙俊虎

1.引言

1.1编写目的

1.1.1扌苗述

1.1.2存在的问题

1.1.3解决技术

1.2背景

1.3术语

1.4预期读者与阅读建议

1.5CAS运行原理

3

3

3

3

3

3

3

3

2.总体设计

2.1

2.2

2.3

2.4

2.5

2.6

2.7

2.8

设计目标运行环境网络结构总体设计思路和处理流程对象关系图系统约定模块结构设计尚未解决的问题

4

5

5

5

5

5

5

7

3.接口设计（暂略）

3.1用户接口（暂略）

3.2外部接口（暂略）

3.3内部接口（暂略）

4.界面总体设计.......

1.引言

1.1编写目的

1.1.1描述

随着信息化进一步发展和企业的业务运营需要，企业内部的应用系统越来越多。

这些系

统往往有着独立的用户认证模块和机制，用户不得不记住每一个系统的登录帐号和密码，在

使用不同的系统时，必须重复登录，给用户的使用造成诸多不便。

针对这种情况，单点登录（SingleSignOn）[1]模型应运而生，同时不断地应用到企业的业务系统中。

在单点登录系统中，

用户只需在登录时提供一次用户认证信息，通过认证以后，在访问企业门户中的各个子系统

时无需再重复登录。

1.1.2存在的问题

在单点登录系统的实现过程中，往往会碰到如下问题：

1）企业现有的各个应用系统间

相互独立或者通信状况是混乱的，对外接口也不同，这给应用系统的集成带来了极大困难。

2）同一个用户，拥有多个应用系统的访问凭证，使用户信息难以统一管理。

3）Cookie不

能跨域的限制也使实现各个应用系统之间Cookie共享成为一个难题。

1.1.3解决技术

本文介绍的基于CAS协议，采用用户映射机制设计的单点登录方案，能很好的解决这些问题。

a、软件系统的名称：

SSO单点登录系统；

b、对企业已有的或要建设的系统进行单点登录整合。

本系统：

SSO单点登录系统;

预期读者

阅读重点

系统设计者

CAS原理，自定义实现身份认证，方案设计

1.5CAS运行原理

我们以A公司的员工日志管理系统为例:

a.传统的用户认证流程

Z

耐二」讦订开工

作H五誕轨

迢人&禾叭

V.一

验证知班渥网

\联户信息

b.使用CAS后的用户认证流程

侦W册C

b卅H土础

*融退人樹

IL界伽J

n」,％烦主界,/F朋用户列L/竦的认证曲\亠俺爺倾询

—囱—r志砂曲广¥苗胡户厂\/

示意图中，CAS相关部分被标示为蓝色。

在这个流程中,

主页面，他的浏览器发出的HTTP请求被嵌入在日志系统中的

拦截，并判断该请求是否带有CAS

户登录界面进行登录认证，成功后，

员工AT向日志系统请求进入

CAS客户端（HTTP过滤器）

AT将被定位到CAS的统一用

的证书；如果没有，员工

CAS将自动引导AT返回日志系统的主页面。

2.总体设计

2.1设计目标

Web应用的单点登录认证中心;

a.实现一个易用的、能跨不同

b.实现统一的用户身份和密钥管理，减少多套密码系统造成的管理成本和安全漏洞；

c.降低认证模块在IT系统设计中的耦合度，提供更好的SOA设计和更弹性的安全策略。

2.2

运行环境

2.3

网络结构

2.4

总体设计思路和处理流程

B/S模式，这种情况下，系统的用户凭证（一个由

ticket）借助cookie和URL参数方式实现；在B/SCASFilter或者使用CASTagLibrary就可以轻松

则需要应用程序自己来维护这个ticket在上下文

/

通常，企业应用程序基于浏览器的

CAS服务器生成的唯一id号，也称之为环境中，大多情况下，我们只需要配置实现的验证客户端。

如果应用是以普通的C/S模式运行，

环境中的传输和保存了。

这时候就需要手工调用ServiceTicketValidator

ProxyTicketValidator对象的方法，向CAS服务器提交认证，并获取认证结果进行相应的处理。

2.5

对象关系图

2.6

系统约定

2.7

模块结构设计

CAS认证中心

用

户

接

入

身份认证中心

Sr

查询数据

I科

数据库

■&

统一认证系统

»K1L

\r

2.8

尚未解决的问题

3.

接口设计

3.1

用户接口

3.2

外部接口

3.3

内部接口

4.

界面总体设计

基本蓿启—’敷据库1同步乎^

系法塢号

1系妬名称

曲人

1创逹时间

HGCGOOI

河北呆!

2007-10-e

'应1

［逛加】

4

所选择俎：

nSSD黑狡

D議圏

Q销售系城

D库存系SE

数据库IP

132.1ee.1.1

进据障类型I数JB库喀

oracteord

U甜帆Pftsswud

pibcpitK

呵断选择俎：

®1

DEO豁

臼销售系城

D库存系SE

基本倍息］敷据库「商步事皿

［逛加1

SSO_JsBiNfl*nftSSO_PassrtMd|APP_LlMrNarMsso_usernamesso_passw（ordapp_k）ginnane

APP_PsfiswMd

pllc_p3sswKird

同步频率1

髯俪1很

S!

到