【正文】 xchange、 OCS 等第三方系統(tǒng) ； ? 普通用戶登錄信息門戶時(shí)，被單點(diǎn)登陸客戶端攔截，其登陸賬號(hào)及密碼到統(tǒng)一用戶及授權(quán)系統(tǒng)中驗(yàn)證 通過后進(jìn)入信息門戶，用戶再選擇進(jìn)入會(huì)議系統(tǒng)，選取與會(huì)人員后發(fā)送會(huì)議通知； 統(tǒng)一身份管理解決方案 11 第五章 部署規(guī)劃 我們按用戶數(shù)的多少分以下四個(gè)級(jí)別來討論部署規(guī)劃 。 ? 服務(wù)器推薦安裝 Window server 2020\2020 操作系統(tǒng)，數(shù)據(jù)庫使用Microsoft Sql Server 2020\2020 ，郵件服務(wù)使用 Microsoft Exchange 2020。 ? 需要 至少 7 臺(tái)服務(wù)器。 功能概述 ? 實(shí)現(xiàn) 單點(diǎn) 登錄 第三方業(yè)務(wù)系統(tǒng)整合單點(diǎn)登陸后，無論用戶從哪個(gè)系統(tǒng)地址進(jìn)入，均會(huì)導(dǎo)航到統(tǒng)一的登陸頁面，實(shí)現(xiàn)統(tǒng)一的登陸。 各業(yè)務(wù)系統(tǒng)與統(tǒng)一身份認(rèn)證及單 點(diǎn)登陸服務(wù)系統(tǒng)整合，實(shí)現(xiàn)單點(diǎn)登陸，又可解決統(tǒng)一認(rèn)證及單點(diǎn)登陸問題。 功能概述 組織機(jī)構(gòu)及用戶管理 ? 實(shí)現(xiàn)一用戶隸屬多組織機(jī)構(gòu)功能 ? 提供用戶擴(kuò)展屬性和組織機(jī)構(gòu)擴(kuò)展屬性功能，增強(qiáng)用戶信息的可擴(kuò)展性 ? 提出單位概念和本單位管理角色，方便按單位劃分進(jìn)行管理和授權(quán) ? 提供單位類型的劃分，使管理更直觀 ? 通過設(shè)置組織機(jī)構(gòu)授權(quán)范圍，實(shí)現(xiàn)多層次管理，并提供組織機(jī)構(gòu)授權(quán)范圍優(yōu)先級(jí)功能，簡化授權(quán)范圍的操作 應(yīng)用系統(tǒng)、角色、權(quán)限管理 ? 通過設(shè)置應(yīng)用系統(tǒng)授權(quán)范圍，實(shí)現(xiàn)各應(yīng)用系統(tǒng)的獨(dú)立管理。 少于 500 用戶 無 AD、 Exchange 的情況 如果 不需要郵件系統(tǒng)，則可不部署 Exchange 服務(wù)器。 ? 服務(wù)器推薦 內(nèi)存 2G ； CPU P4 。 500— 5000 用戶 統(tǒng)一身份管理解決方案 13 使用人數(shù)超過 500 以后， 并發(fā)訪問量就變得比較大了 （按 15%比例算就有 至少 75 個(gè)并發(fā)訪問），所以對(duì)統(tǒng)一用戶及授權(quán)系統(tǒng)的服務(wù)要求較高，但因?yàn)槿?數(shù)還沒有超過 5000， 對(duì)數(shù)據(jù)庫服務(wù)要求還不是很高，所以僅對(duì)統(tǒng)一用戶及授權(quán)服務(wù) 、單點(diǎn)登陸系統(tǒng) 做負(fù)載均衡部署。 ? SSO Server 獨(dú)立的 Web 站點(diǎn)，負(fù)責(zé)身份驗(yàn)證。 統(tǒng)一身份管理解決方案 4 第二章 解決方案 基于以上分析，我們提出一套解決方案，如下圖： 由圖可見，我們用統(tǒng)一用戶及授權(quán)管理系統(tǒng)取代之前各應(yīng)用系統(tǒng)用戶管理模塊，各應(yīng)用系統(tǒng)通過與統(tǒng)一用戶及授權(quán)系統(tǒng)整合，獲取所需要的用戶信息，解決用戶等基礎(chǔ)信息共享相關(guān)的問題。 ? 通過業(yè)務(wù)系統(tǒng)管理員角色，方便統(tǒng)一授權(quán)系統(tǒng)管理員的授權(quán)操作。 ? 需要至少 3 臺(tái)服務(wù)器。 統(tǒng)一身份管理解決方案 14 ? 負(fù)載均衡可采用微軟提供的 NLB(軟件方式 ) 或則 F5（硬件方式） 。 ? 服務(wù)器推薦 內(nèi)存 2G ； CPU P4 。 產(chǎn)品架構(gòu) 統(tǒng)一身份管理解決方案 8 系統(tǒng)包括兩個(gè)部分： ? SSO Client 與第三方 Web 業(yè)務(wù)系統(tǒng)集成，負(fù)責(zé)與單點(diǎn)登陸服務(wù)器的認(rèn)證溝通。 這就要求企業(yè)有一套解決方案，可達(dá)成以下基本目標(biāo)： ? 實(shí)現(xiàn)用戶基本信息統(tǒng)一管理； ? 實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證和單點(diǎn)登陸。 ? 提出屬性權(quán)限概念，實(shí)現(xiàn)動(dòng)態(tài)權(quán)限功能 授權(quán) ? 授權(quán)級(jí)別有可訪問、可授權(quán)和可訪問可授權(quán)，通過可授權(quán)實(shí)現(xiàn)多級(jí)授權(quán) ? 內(nèi)置多個(gè)系