【正文】 服務(wù)的功能開(kāi)發(fā)更為方便和快捷，因此在 Windows 平臺(tái)上，基于 Active Directory 的應(yīng)用開(kāi)發(fā)非常容易。 . 擴(kuò)展的服務(wù)接口 LDAP 協(xié) 議是為了跨平臺(tái)的目錄訪問(wèn)實(shí)現(xiàn)的一種協(xié)議，因此在協(xié)議制訂時(shí)，在開(kāi)發(fā)、 功能和 通用性方面有一定的平衡。同時(shí)， Active Directory充分考慮了分布式部署、多層次部署的優(yōu)化，使其能夠在全球化的企業(yè)中進(jìn)行復(fù)雜的部署。因此微軟公司對(duì) Active Directory 進(jìn)行了大量的優(yōu)化，使其性能相當(dāng)優(yōu)秀。 Consulting Service Consulting Service Consulting Service Service Service . 廉價(jià)的目錄服務(wù)系統(tǒng) Active Directory 內(nèi)置在 Windows 2020 Server 平臺(tái)內(nèi)，無(wú)需其他額外的 費(fèi)用就可以提供目錄服務(wù)，對(duì)比其他 商業(yè)化的目錄服務(wù)產(chǎn)品，具有相當(dāng)明顯的價(jià)格優(yōu)勢(shì)。由于目前世界上的 PC 機(jī)用戶(hù)絕大部分都是使用 Windows 平臺(tái)的，客戶(hù)端的機(jī)器在登錄網(wǎng)絡(luò)時(shí)默認(rèn)就是使用 Windows 驗(yàn)證機(jī)制，因此對(duì)比其他需要額外增加組件或者開(kāi)發(fā)的目錄服務(wù)系統(tǒng)來(lái)說(shuō)，更有自然整合的優(yōu)勢(shì)。 對(duì)比其他基于 LDAP 協(xié)議的目錄服務(wù)系統(tǒng)， Active Directory 其實(shí)也是一個(gè)提供全部標(biāo)準(zhǔn)目錄服務(wù)的系統(tǒng)，并且在此基礎(chǔ)上，針對(duì) Windows 平臺(tái)的特點(diǎn)，進(jìn)行了一定的擴(kuò)展，使之功能更為強(qiáng)大。 同時(shí)，標(biāo)準(zhǔn)的協(xié)議使不同企業(yè)之間的目錄服務(wù)能夠相互 訪問(wèn)，實(shí)現(xiàn)跨企業(yè)、跨平臺(tái)的互相驗(yàn)證。 只要遵循 LDAP 協(xié)議提供服務(wù)，應(yīng)用程序可以無(wú)需知曉目錄服務(wù)的具體實(shí)現(xiàn)過(guò)程，就可以和不同的目錄服務(wù)進(jìn)行通信。目錄服務(wù)就是這樣的 一個(gè)系統(tǒng)，通過(guò)一個(gè)多層的目錄結(jié)構(gòu)，對(duì)企業(yè)內(nèi)的用戶(hù)和各種資源的權(quán)限信息統(tǒng)一存儲(chǔ)，其他業(yè)務(wù)系統(tǒng)都必須以目錄服務(wù)的內(nèi)容為標(biāo)準(zhǔn)，才不會(huì)各自為政，相互之間的驗(yàn)證可以兼容 。同等重要的是，活動(dòng)目錄起到了把系統(tǒng)集成到一起的結(jié)合點(diǎn)并且鞏固管理任務(wù)的作用?；顒?dòng)目錄可以讓公司有效地共享和管理網(wǎng)絡(luò)資源和用戶(hù)的信息。 . 關(guān)鍵實(shí)現(xiàn)技術(shù)選型 本章節(jié)對(duì)解決方案中關(guān)鍵的實(shí)現(xiàn)技術(shù)進(jìn)行描述： . 基于 LDAP 的 目錄 服務(wù) 技術(shù) 本節(jié)將論述 LDAP 協(xié)議的目錄服務(wù)技 術(shù)對(duì)于建立企業(yè)統(tǒng)一的安全驗(yàn)證和資源管理的意義。 這是因?yàn)槠髽I(yè)在電子商務(wù)全面開(kāi)展的過(guò)程中，和其他單位、客戶(hù)和合作伙伴之間往往有相互訪問(wèn)的需要。目錄服務(wù)層為企業(yè)統(tǒng)一驗(yàn)證和資源管理提供一個(gè)基準(zhǔn)記錄，在目錄服務(wù)器內(nèi)包含了企業(yè)內(nèi)用戶(hù)和各種資源的信息以及訪問(wèn)權(quán)限信息，為各種應(yīng)用系統(tǒng)的驗(yàn)證過(guò)程提供一個(gè)參考 Consulting Service Consulting Service Consulting Service Service Service 標(biāo)準(zhǔn)，使企業(yè)內(nèi)部有統(tǒng)一權(quán)限的管理基礎(chǔ)，是實(shí)現(xiàn) SSO 功能 必不可少的部分之一。 ADSI/LDAP 接口意義在于為將來(lái)的應(yīng)用開(kāi)發(fā)提供了符合業(yè)界標(biāo)準(zhǔn)標(biāo)準(zhǔn)接口，是將來(lái)新應(yīng)用程序應(yīng)當(dāng)遵循的驗(yàn)證接口，使應(yīng)用系統(tǒng)不僅僅用戶(hù)的單點(diǎn)登錄功能，還使應(yīng)用系統(tǒng)之間的信息和功能交換可以較容易地實(shí)現(xiàn)。 ? ADSI/LDAP Interface（ ADSI/LDAP 接口） ADSI/LDAP Interface（ ADSI/LDAP 接口）是基于業(yè)界標(biāo)準(zhǔn)目錄訪問(wèn)協(xié)議的接口，也是微軟 Active Directory 技術(shù)提供 的，讓 應(yīng)用程序?qū)崿F(xiàn) SSO 功能的標(biāo)準(zhǔn)接口。 以往開(kāi)發(fā)的 Web、 Win32 以及 Lotus Notes 應(yīng)用程序的驗(yàn)證一般都是有自己一套的驗(yàn)證模式和過(guò)程，如果都要經(jīng)過(guò)修改或者重新開(kāi)發(fā)，才能利用 SSO 系統(tǒng)進(jìn)行統(tǒng)一驗(yàn)證，付出的代價(jià)會(huì)非常大而且不現(xiàn)實(shí)。 由于 SSO Web 應(yīng)用驗(yàn)證中心是一個(gè)統(tǒng)一驗(yàn)證的框架 ，需要 Web 應(yīng)用程序基于這個(gè)框架下指定的約束和標(biāo)準(zhǔn)，進(jìn)行 簡(jiǎn)單的 開(kāi)發(fā)或者改造，就可以完全實(shí)現(xiàn)SSO 的功能。 . SSO系統(tǒng)體系 架構(gòu) 本系統(tǒng)解決方案整體的體系架構(gòu)如下圖所示，劃分為“訪問(wèn)接口層”、 “目錄服務(wù)層”以及“目錄接口層” 三個(gè)層次 ： M i c r o s o f t A c t i v e D i r e c t o r y S e r v i c e（ 微 軟 活 動(dòng) 目 錄 服 務(wù) ）S S O W e b A C C E S S C A( S S O W e b 應(yīng) 用 驗(yàn) 證 中 心 )S S O A g e n t（ S S O 驗(yàn) 證 代 理 ）A D S I / L D A P I n t e r f a c e（ A D S I / L D A P 訪 問(wèn) 接 口 ）W e b A p p l i c a t i o n s（ W e b 應(yīng) 用 ）E x i s t e d W e b / W i n 3 2 / L o t u sN o t e s A p p l i c a t i o n s（ 現(xiàn) 有 的 W e b / W i n 3 2 / L o t u sN o t e s 應(yīng) 用 ）A p p l i c a t i o n S u p p o r t L D A P /W i n d o w s A u t h t i c a t i o n s( 支 持 W i n d o w s 集 成 驗(yàn) 證 或 者 利用 L D A P 管 理 用 戶(hù) 的 應(yīng) 用 )L D A P I n t e r f a c e ( L D A P 訪 問(wèn) 接 口 ）O t h e r D i r e c t o r y S e r v i c eS y s t e m （ 其 他 目 錄 服 務(wù) 系 統(tǒng) ）O t h e r C A S y s t e m a n d U s e r M a n a g e m e n t s y s t e m s u p p o r tL D A P S e r v i c e （ 其 他 支 持 L D A P 認(rèn) 證 系 統(tǒng) 和 用 戶(hù) 管 理 系 統(tǒng) ）S i n g l e S i g n O n S y s t e m （ 單 點(diǎn) 登 錄 系 統(tǒng) ）系 統(tǒng) 架 構(gòu) 圖訪 問(wèn) 接 口 層目 錄 服 務(wù) 層目 錄 接 口 層 . 訪問(wèn)接口層 在這一層內(nèi)實(shí)現(xiàn)的，是為應(yīng)用程序提供集中認(rèn)證服務(wù)的驗(yàn)證接口模塊。 . 支持分布式部署 國(guó)信證券是一個(gè)國(guó)內(nèi)有多個(gè)分公司的大型企業(yè)，因此本系統(tǒng)應(yīng)該支持分布在不同地區(qū)的分布式系統(tǒng)部署，使之能夠滿(mǎn)足大型企業(yè)在跨區(qū)域聯(lián)合驗(yàn)證過(guò)程中，對(duì)性能、功能和管理的要求。 為了使企業(yè)驗(yàn)證系統(tǒng)之間相互兼容，最好的方法是都遵循同樣工 業(yè)標(biāo)準(zhǔn)。包括證券行業(yè)在內(nèi)的很多行業(yè)，跨企業(yè)的信息交換和相互訪問(wèn)信息系統(tǒng)是日常工作中的必不可少的內(nèi)容。由于目前大部分客戶(hù)端都是在 Windows 上面 運(yùn)行的，因此至少提供基于 COM/DCOM 的開(kāi)發(fā)接口。 然后， SSO 系統(tǒng)提供標(biāo)準(zhǔn)的用戶(hù)權(quán)限信息和資源控制信息訪問(wèn)協(xié)議，讓?xiě)?yīng)用系統(tǒng)能夠讀取 SSO 的信息內(nèi)容，作為跨系統(tǒng)、跨平臺(tái)驗(yàn)證的依據(jù)。 . 提供統(tǒng)一的框架和接口 SSO 平臺(tái)作為企業(yè)統(tǒng)一的驗(yàn)證和權(quán)限控制平臺(tái)，應(yīng)當(dāng)提供一個(gè)統(tǒng)一的系統(tǒng)框架 ，為各種應(yīng)用系統(tǒng)提供標(biāo)準(zhǔn)的驗(yàn)證協(xié)議和接口。雖然這些系統(tǒng)的驗(yàn)證方法五花八門(mén)，但是如果需要修改所有系統(tǒng)的驗(yàn)證模式，使之統(tǒng)一到企業(yè)標(biāo)準(zhǔn)的驗(yàn)證框架上，是很不現(xiàn)實(shí)的做法。 . 將來(lái)開(kāi)發(fā)的應(yīng)用程序 這一類(lèi)應(yīng)用的 可塑性較高，無(wú)論采用何種運(yùn)行模式，只要企業(yè)提供一個(gè)統(tǒng)一的登錄驗(yàn)證和資源控制框架，這些應(yīng)用遵循標(biāo)準(zhǔn)的協(xié)議和接口，就可以和企業(yè)統(tǒng)一的 SSO 平臺(tái)集成。 . 操作系統(tǒng)集成驗(yàn)證的 Win32 應(yīng)用程序 這里 是指通過(guò) Windows 集成驗(yàn)證進(jìn)行用戶(hù)身份驗(yàn)證的 Win32 程序。有相當(dāng)一部分 Win32 應(yīng)用有自己的用戶(hù)權(quán)限管理和驗(yàn)證模 Consulting Service Consulting Service Consulting Service Service Service 式，在系統(tǒng)內(nèi)部進(jìn)行 用戶(hù)驗(yàn)證和權(quán) 限控制。用戶(hù)的個(gè)性化信息，存儲(chǔ)在數(shù)據(jù)庫(kù)或者企業(yè)目錄內(nèi)。 目前在企業(yè)內(nèi)部已有的應(yīng)用系統(tǒng)，基本上可以分為以下幾種 主要形式 ： . 有自己驗(yàn)證模式 Web 應(yīng)用程序 這一類(lèi)的應(yīng)用系統(tǒng)是企業(yè)中基于 Web 界面開(kāi)發(fā)的應(yīng)用程序， 有自己的用戶(hù) 權(quán)限 管理和驗(yàn)證模式，一般通過(guò) HTML 的 FORM 表單發(fā)送用戶(hù)名和密碼等驗(yàn)證信息，并通過(guò) Session 、 Cookie 或者證書(shū)保持驗(yàn)證信息。 因此， SSO 所實(shí)現(xiàn) 的“一次登錄，到處運(yùn)行”是用戶(hù)統(tǒng)一訪問(wèn)應(yīng)用權(quán)限的前提，同時(shí) SSO 實(shí)現(xiàn)企業(yè)資源統(tǒng)一管理，也是應(yīng)用系統(tǒng)之間相互訪問(wèn)的基礎(chǔ)。 Consulting Service Consulting Service Consulting Service Service Service Consulting Services 南方航空公司 SSO 解決方案 Consulting Service Consulting Service Consulting Service Service Service 第 1章 . 概述 . 項(xiàng)目背景 . 項(xiàng)目目標(biāo) . 項(xiàng)目原則 Consulting Service Consulting Service Consulting Service Service Service 第 2章 . 功能需求分析 單點(diǎn)登錄 Single Sign On（下面簡(jiǎn)稱(chēng) SSO）是目前的企業(yè)在進(jìn)行應(yīng)用整合過(guò)程中需要面臨的重要問(wèn)題。 企業(yè)應(yīng)用整合，目標(biāo)是應(yīng)用系統(tǒng)之間能夠相互訪問(wèn)，整合成一個(gè)協(xié)作運(yùn)行的整體；同時(shí)用戶(hù)也可以通過(guò)一個(gè)系統(tǒng)框架（或者企業(yè)內(nèi)部門(mén)戶(hù)），為用戶(hù)提供統(tǒng)一的訪問(wèn)接口。 . 應(yīng)用類(lèi)型分析 SSO 需要整合企業(yè)內(nèi)部不同應(yīng)用系統(tǒng)的驗(yàn)證模式，因此 需要分析 應(yīng)用類(lèi)型的類(lèi)型， 以更好地分析 實(shí)現(xiàn) SSO 的需求問(wèn)題。 . 操作系統(tǒng)集成驗(yàn)證的 Web 應(yīng)用程序 這一類(lèi)的應(yīng)用系統(tǒng)是企業(yè)中基于 Web 界面開(kāi)發(fā)的應(yīng)用程序，有或者沒(méi)有自己的用戶(hù) 權(quán)限 管理，一般通過(guò) Windows Server 的集成驗(yàn)證，實(shí)現(xiàn)用戶(hù)的驗(yàn)證。 . 有自己驗(yàn)證模式 Win32 應(yīng)用或者 Lotus Notes Win32 應(yīng)用使指在 Windows 9X、 2020 和 XP 等操作系統(tǒng)平臺(tái)上，通過(guò) Win32 API 運(yùn)行的應(yīng)用程序。 在 Windows 操作系統(tǒng)上 Lotus Notes 系統(tǒng)也屬于這一類(lèi)應(yīng)用， Lotus Notes 在windows 平臺(tái)上運(yùn)行是也是依靠 Win32 API 作為底層的運(yùn)行支持，而且 Lotus Domino/Notes 自己內(nèi)部維護(hù)用戶(hù)權(quán)限管理、身份驗(yàn)證和資源訪問(wèn)控制。有一部分此類(lèi)應(yīng)用系統(tǒng)自己維護(hù)用戶(hù)權(quán)限管理和訪問(wèn)控制；還有一部分通過(guò)目錄服務(wù)管理管理和控制權(quán)限和資源訪問(wèn)。 . SSO系統(tǒng)需求分析 . 兼容以往的應(yīng)用系統(tǒng) 需要實(shí)施 SSO 平臺(tái)的企業(yè)中一般都已經(jīng)存在大量應(yīng)用系統(tǒng)，這些系統(tǒng)都運(yùn)行良好，甚至是不能中斷地關(guān)鍵業(yè)務(wù)系統(tǒng)。 因此本項(xiàng)目中的 SSO 解決方案應(yīng)當(dāng)能夠最大程度兼容 企業(yè)中以往的應(yīng)用系統(tǒng)，在不修改原有系統(tǒng)的源代碼的基礎(chǔ)上 ，實(shí)現(xiàn)企業(yè)內(nèi)部統(tǒng)一的 SSO。 Consulting Service Consulting Service Consulting Service Service Service 首先， SSO 系統(tǒng)提供統(tǒng)一的驗(yàn)證入口，各種應(yīng)用系統(tǒng)的驗(yàn)證都通過(guò)這個(gè)入口進(jìn)行驗(yàn)證。 最后 ， SSO 系統(tǒng)提供對(duì)象化的開(kāi)發(fā)接口，使新的應(yīng)用系統(tǒng)開(kāi)發(fā)更為便捷，降低項(xiàng)目風(fēng)險(xiǎn)和實(shí)現(xiàn)代價(jià)。 . 和其他企業(yè)的驗(yàn)證 模式 兼容 企業(yè)之間、企業(yè)和政府之間的信息交換和功能互訪，在 Inter 快速發(fā)展的基礎(chǔ)上，已經(jīng)越來(lái)越多的 成為必要和經(jīng)常性的業(yè)務(wù)。要能夠確認(rèn)參加數(shù)據(jù)交換的參加者和業(yè)務(wù)系統(tǒng)訪問(wèn)者的身份，以及能夠控制訪問(wèn)者能夠訪問(wèn)的資源以及操作權(quán)限，是需要兩個(gè)企業(yè)的驗(yàn)證系統(tǒng)之間能夠 相互兼容，互相驗(yàn)證對(duì)方的用戶(hù)。因此，本解決方案應(yīng)該采用業(yè)界標(biāo)準(zhǔn)的協(xié)議和訪問(wèn)接口。 Consulting Service Consulting Service Consulting Service Service Service 第 3章 . SSO 技術(shù)實(shí)現(xiàn) 本解決方案將著重于實(shí)現(xiàn)企業(yè)內(nèi)部統(tǒng)一的登錄驗(yàn)證機(jī)制，技術(shù)上的目標(biāo)不僅僅在于解決將來(lái)在統(tǒng)一驗(yàn)證系統(tǒng)架構(gòu)下開(kāi)發(fā)的應(yīng)用程序的單點(diǎn)登錄問(wèn)題，而且還能夠兼容企業(yè)現(xiàn)有的應(yīng)用系統(tǒng)單點(diǎn)登錄。 針對(duì)企業(yè)內(nèi)部不同模式的應(yīng)用系統(tǒng)，這一層分為 3 個(gè)功能模塊： Consulting Service Consulting Service Consulting Service Service Service ? SSO Web Access CA（ SSO Web 應(yīng)用驗(yàn)證中心） SSO Web 應(yīng)用驗(yàn)證中心 是為基于 Web 的應(yīng)用程序提供一個(gè)集中的驗(yàn)證框架，使基于 Web 的應(yīng)用程序能夠通過(guò)一個(gè)通用的接口，實(shí)現(xiàn)