单点登录需求规格说明书-副本.doc

客户化开发技术资料单点登录需求规格说明书江苏省广播电视信息网络股份有限公司苏州分公司关于SSO单点登录需求规格说明书建档日期2010-12-2最新修改日期2010-12-11文件编号GD_EAS_ XQ_SSO文件当前版本V1.0金蝶项目经理广电项目经理文档控制l 更改记录Date表示修改日期，author表示修改负责人，Version表示当前版本，起始版本v1.0，修改后顺序依次为v1.1，v1.2等，change reference表示根据何种原因发生变更，变更来源等。DateAuthorVersionChange Reference2010-12-9柳陈V1.0初稿2010-12-11柳陈V1.1完善用例文档l 查阅Name表示查阅人，Position表示查阅人的职位。NamePositionl 分发CopyNo表示分发流水号，Name表示被分发人姓名，Position表示被分发人职位Copy NoNamePosition123目录一，概述41.编写目的42.范围43.读者对象44.参考文档45.名词术语定义4二，系统说明41.描述5三，需求51.流程图52.实现原理5四，用例61.描述62.用例文档63.用例图7五，运行环境71.硬件环境要求72.软件环境要求8一， 概述江苏省广播电视信息网络股份有限公司苏州分公司（以下简称广电），目前内部的应用系统包括金蝶EAS、BOSS、呼叫中心等，信息系统希望集成类似单点登录的功能，既在金蝶的EAS门户中登录后能避免其他各系统的登录界面，公司员工只需要登录一次就可以访问所有相互信任的应用系统。由于实现SSO单点登录的方式各不相同，要求不一，因此关于广电SSO单点登录的实现方式将以此文档的描述为准。1. 编写目的本文档是金蝶软件（中国）有限公司苏州分公司在与江苏省广播电视信息网络有限公司苏州分公司的苏州广电网络公司信息系统建设方案基础上编制的。本文档的编写为下阶段的设计、开发提供依据，为广电与金蝶双方项目组成员对当前需求提供详尽的理解，以及在开发开发过程中的协同工作提供强有力的保证，同时本文档也作为项目评审验收的依据之一。本文档由甲乙双方项目负责人签字后方可生效,需求内容如需修改，应由合作双方协商一致，任何一方不可单独修改。2. 范围本系统包括：EAS授权认证中心，各独立站点授权验证服务两部分组成，通过对广电的充分调研，尽可能的满足双方在合同和相关投标书中所描述的功能。3. 读者对象本文档适用于参加本项目的所有管理人员、开发方的系统设计人员、开发人员、测试人员以及需求方的相关业务人员等。4. 参考文档苏州广电网络公司信息系统建设方案V1.8章节6，公司信息化其他问题。5. 名词术语定义l 用户：登录EAS门户的所有合法用户。用例图：被称为参与者的外部用户所能观察到的系统功能的模型图，呈现了一些参与者和一些用例，以及它们之间的关系，主要用于对系统、子系统或类的功能行为进行建模。二， 系统说明1. 描述单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。目前实现SSO的产品和解决方案众多,如:Microsoft公司的Passport, IBM WebSphere Portal Server、Netegrity Site Minder、Oracle 9i AS Portal Server以及 Liberty等。上述SSO产品的实现机制不尽一样，它们分别有着不同的侧重点并且适合于不同的系统架构。尽管上述 SS O产品能够较好地实现单点登录功能，然而，这些方案和产品有着各自的弱点，而且大都比较复杂且缺乏灵活性，在项目实践中很难快速实施。因此，在总结这些方案的基础上，本文档在分布式数据资源共享网络系统中，提出一种简单的单点登录解决方案。三， 需求1. 流程图2. 实现原理当用户第一次访问web应用系统1的时候，因为还没有登录，会被引导到EAS门户认证中心进行登录；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，返回给用户一个认证的凭据；用户再访问别的web应用的时候就会将这个Token带上，作为自己认证的凭据，应用系统接受到请求之后会把Token送到认证中心进行效验，检查Token的合法性。如果通过效验，用户就可以在不用再次登录的情况下访问应用系统2或别的应用系统。所有应用系统共享一个身份认证系统。认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志，返还给用户。另外，认证系统还应该对Token进行效验，判断其有效性。 所有应用系统能够识别和提取Token信息要实现SSO的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对Token进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过，从而完成单点登录的功能。 比如说，我现在有2个分站点和1个认证中心(EAS门户)。当用户访问分站点的时候，分站点会发Token到验证中心进行验证。验证中心判断用户是否已经登录。如果未登录，则返回到验证中心登录入口进行登录，否之则返回Token验证到分站点，直接进入分站点。四， 用例1. 描述用例图由参与者（Actor）、用例（Use Case）、系统边界、箭头组成，用画图的方法来完成。2. 用例文档编号用例名参与者UC1001登录EAS门户认证中心所有用户UC1002访问其他Web系统所有用户UC1003创建用户联系表所有用户UC1004设置其他Web系统系统管理员21用例UC1001，登录EAS门户认证中心l 执行者：所有用户l 前置条件：员工输入用户名及密码l 后置条件：登录成功，转到门户首页l 涉众利益：EAS认证中心为该用户创建认证凭据Tokenl 基本路径：1，用户访问EAS门户登录页面；2，登录成功；3，进入门户首页22用例UC1002，访问其他Web系统 l 执行者：所有用户l 前置条件：用户点击其他WEB系统的链接地址l 后置条件：转到其他WEB系统的主页面，绕过其他各系统的登录认证l 涉众利益：其他系统收到此用户的访问凭据Token后，再把此Token发送到EAS认证中心进行校验，如果校验通过，既对此用户开放使用。l 基本路径：1，用户选择EAS门户菜单中“其他系统”选项；2，其他系统页面从数据库中读出其他Web系统的链接地址，并显示到该页面下；3，用户点击其中任一Web系统链接；4，转到其他Web系统首页；23用例UC1003，创建用户联系表 l 执行者：所有用户l 前置条件：用户按照各系统对应关系填入自己在其他系统中的用户名l 后置条件：保存数据成功l 涉众利益：l 基本路径：1，登录成功；2，选择EAS门户菜单中的“创建用户联系表”；3页面出现其他各系统的名称，用户在对应的系统名称下填写自己在其他系统中的用户名；4，更新成功；l 扩展：修改24用例UC1004，设置其他Web系统 l 执行者：系统管理员l 前置条件：填写其他各Web系统名称、对应的URL地址l 后置条件：保存数据成功l 涉众利益：所有用户在做单点登录的时候能对应找到各Web系统的链接l 基本路径：1，EAS门户菜单选择“设置其他Web系统”；2，填写Web系统名称、链接地址；3，保存成功；l 扩展：添加、修改、删除3. 用例图五， 运行环境1. 硬件环境要求l 局域网，最简单的局域网，可以采用一个集线器把几台计算机联起来。也可以是由不同的网段组成的大型网络。 -规格说明书l 互联网接入，如果有在外地或国外的分支机构，需要通过互联网来管理，还需要接入互联网。宽带、DDN专线接入均可。 l 服务器，安装软件时，需要选定网络中的一台计算机安装服务端程序和数据库，这台计算机称为服务器（也称服务端计算机）。所谓“服务器”是一个软件的概念，即这台计算机上安装的软件和其它的计算机不一样，所以这台计算机所起的作用就和其它的计算机不一样，它就成了“服务器”。用普通的 PC 机就可以做服务器。当然因为数据库存储在服务器上，所以在条件允许的情况下，应尽可能使服务器的配置高一些。 推荐的服务器配置：CPU：双核2.8GHZ以上内存：4G以上硬盘：80GB以上 若有外地分支机构需要通过互联网使用系统，可以对服务器进行主机托管，以保证有足够的带宽。客户机：CPU：P4 2.0GHZ以上内存：2GMB 注意：硬件的配置可以随本企业的情况变动，配置高一点，则运行速度快一点，配置低一点，则运行速度慢一点。2. 软件环境要求服务器端运行环境要求操作系统Windows Server 2003 STD/ENTWindows 组件IISDTCMicrosoft .Net Framewo