EAS Portal SSO使用指南(单点登陆使用指南)

1、EAS Portal SSO使用指南(单点登陆使用指南)EAS Portal SSO使用指南目录1.简介 (3)1.1.目的 (3)1.2.适用对象 (3)1.3.参考资料 (3)2.EAS SSO概况 (3)2.1.登录及认证过程 (3)2.2.SSO服务组件 (4)2.3.SSO应用场景 (4)3.EAS SSO 使用指南 (5)3.1.用户认证校验处理器 (5)3.1.1. 认证处理器接口：com.kingdee.eas.cp.eip.sso. IEasAuthHandler (5)3.1.2. 注册和登记认证处理器接口实现类 (6)3.1.3. EAS SSO默认提供的认证处理器 (7

2、)3.1.4. 参考实现：Microsoft Active Directory认证处理器 (10)3.2.用户集中管理 (12)3.2.1. 用户同步配置文件userSyncConfig.xml (12)3.2.2. 外部用户数据源为：目录服务（支持LDAP）的参考配置 (12)3.2.3. 外部用户数据源为：关系数据库的参考配置 (16)3.2.4. 导入用户数据 (17)3.2.5. EAS用户管理 (22)3.3.配置各业务系统导航入口页 (23)3.3.1. 被SSO保护的业务系统登录流程： (23)3.3.2. 配置业务系统入口地址 (24)4.EAS SSO应用案例 (25)4.1

3、.案例1：与Domino集成 (25)4.2.案例2：与Active Directory集成 (26)4.3.总结：实现客户SSO需求参考步骤 (26)5.附录 (27)5.1.用户映射表：EAS 用户与外部系统用户映射 (27)5.2.JAAS (28)5.3.Kerberos (28)5.4.LTPA (29)1.1. 目的本文档对EAS PORTAL SSO进行概要描述，并对相关配置进行详细说明，为与第三方系统集成提供SSO配置指南；1.2. 适用对象本文档适用于：?EAS Portal SSO设计和开发人员?系统实施和集成人员：提供EAS PORTAL SSO使用指南1.3. 参考资料

4、2.1. 登录及认证过程受EAS SSO保护的应用登录和认证过程如下图所示：上图示意了受EAS Portal SSO保护的应用系统用户的登录过程（按编号.1.1-1.9的顺序）；2.2. SSO服务组件EAS SSO主要提供以下服务组件：?用户认证校验处理器?定义认证接口：EAS SSO定义的认证接口，可由第三方系统实现，以便扩展用户认证模式，即：实现该接口，通过调用第三方认证API，进而实现第三方认证；?EAS默认提供以下处理器：EAS缺省认证处理器（基于EAS USER DataBase和密码策略），即称为EAS传统认证；MircroSoft Active Directory认证处理器LD

5、AP认证处理器?用户集中管理EAS SSO采用用户集中管理，其用户数据存储支持以下类型：?DataBase，如：MS Sql Server、DB2 、Oracle等主流关系数据库?Directory Server(支持LDAP的目录服务)，如：MS Active Directory、IBM Directory Server、Lotus Domino等；但SSO不包括以下服务：?用户管理(用户的增删改)?用户数据的导入导出接口注：以上服务可由EAS基础系统或其他用户管理系统(如：Active Directory)提供；2.3. SSO应用场景?J2EE WEB应用系统SSO和安全保护注：包括DO

6、MINO应用保护，DOMINO支持LTPA TOKEN认证方式、且可直接使用JA V A编程（但支持的JDK版本较低,Domino5 仅支持JDK1.1）?其他异构web应用系统保护目前EAS仅提供Ltpa token Java校验接口（API），对于异构系统，需要自己实现校验机制（或调用JA V A API）；上一章对EAS SSO作了简要描述，本章将详细描述有关配置说明3.1. 用户认证校验处理器3.1.1.认证处理器接口：com.kingdee.eas.cp.eip.sso. IEasAuthHandler/* EAS SSO认证处理器接口*/public interface IEasA

7、uthHandler /* 获取外部系统所映射的EAS USER名称* param ctx* param externalUserNumber* return map to Eas UserNumber*/public String getEasUserNumber(Context ctx, String externalUserNumber) throws BOSLoginException;/* 是否进行EAS 缺省用户密码校验方式（多重叠加认证）* return*/public boolean isV erifyEasUserPwd();/* 用户认证校验接口* param userCt

8、xCallback* param userNumber* param password* return* throws BOSLoginException*/public boolean authenticate(UserContextCallback userCtxCallback, String userNumber, String password) throws BOSLoginException;接口说明：1.public String getEasUserNumber(Context ctx, String externalUserNumber)为外部系统用户转换为EAS 用户的接

9、口，如：AD用户名转为EAS用户名2.public boolean isV erifyEasUserPwd()此接口定义是否需要进行EAS传统用户认证3.public boolean authenticate(UserContextCallback userCtxCallback, String userNumber,String password)此接口为用户认证校验证接口，若用户认证通过，则返回true，若不通过则返回false 3.1.2.注册和登记认证处理器接口实现类可通过配置认证模式文件来进行认证处理器实现类的注册和登记，配置文件存放地址为：%EAS_HOME%Serverserve

10、rdeployportalConfigeasAuthPatterns.xml此xml 格式请参见easAuthPatterns.dtd：其中：authPattern表示某种认证模式，包括：name(请使用项英文字母命名，且需在整个文档中唯一命名）、authHandler（为认证处理器全限定类名，如：com.kingdee.eas.cp.eip.sso.EasDefaultAuthHandler）如：EAS传统认证模式(BaseDB)com.kingdee.eas.cp.eip.sso.EasDefaultAuthHandler?scope表示EAS认证模式作用域，scope 仅能取以下值：1.

11、application若为application，则EAS系统统一采用一种认证模式，即由default元素指定的认证模式。2.session若为session，则EAS系统允许用户根据工作场所，选择自己的登录认证模式，如：外网可使用EAS传统认证、内网则使用AD认证（即域用户认证）如：说明：EAS用户可选择自己的登录方式注意：EAS Portal标准产品的登录窗口未提供认证模式选择项，即此方式是为了与第三方系统集成预留的，以便可通过URL参数authPattern或进行登录页个性化开发来指定用户登录认证模式。如：以下URL为指定AD域用户自动登录http:/portalServer:port/

12、easportal/autoLogin.jsp?authPattern=BaseADWithAutoLogin?default此值表明EAS系统将使用哪一种缺省认证模式，该值为配置文件中已定义认证模式的name 值，如：设置为EAS传统认证模式3.1.3.EAS SSO默认提供的认证处理器. EAS 用户认证登录配置文件: login.configEAS 用户认证采用了标准的JAAS（参见附录），用户认证LoginModule可很方便的插拨或堆叠，其配置是通过login.config来实现的，Login.config文件配置了EAS 默认使用的LoginModule，通常情况下，

13、该配置文件无须更改：此文件所在目录：%EAS_HOME%Serverserverdeploylogin.config其配置如下：eas com.kingdee.eas.cp.eip.sso.EasMultiAuthLoginModule required debug=true;com.kingdee.eas.cp.eip.sso.web.auth.EASAuthHandler com.kingdee.eas.cp.eip.sso.EasMultiAuthLoginModule required debug=true;com.kingdee.eas.cp.eip.sso.ad.ActiveDir

14、AuthHandlercom.sun.security.auth.module.Krb5LoginModule required client=TRUE debug=true useTicketCache=FALSE;说明：?eas 为EAS GUI 登录时所用LoginModule?com.kingdee.eas.cp.eip.sso.web.auth.EASAuthHandler 为Eas portal登录时所用LoginModule（注：实际上与eas的配置内容是相同的）?com.kingdee.eas.cp.eip.sso.ad.ActiveDirAuthHandler 则用于与Mic

15、roSoft 活动目录AD集成，即在AD认证模式(BaseAD 或BaseADWithAutoLogin)下，此配置才起作用；. LDAP连接参数配置文件ldapCperties此配置文件用于BaseLDAP认证模式，是用于建立目录服务认证及连接的配置文件。此文件所在目录：%EAS_HOME%ServerserverdeployportalConfgldapCperties相关连接参数说明如下：#ldap连接默认工厂类，通常为以下值contextFactory=com.sun.jndi.ldap.LdapCtxFactory#ldap连接认证模

16、式，通常为simpleauthentication=simple#目录服务器地址ldapHost=89#ldap协议端口，缺省389ldapPort=38. 基于Kerberos认证的配置文件：krb5.conf此配置文件用于BaseAD 或BaseADWithAutoLogin认证模式，MicroSoft 活动目录通常使用kerberos 协议来进行安全认证（当然AD也支持LDAP协议，因此，也可通过BaseLDAP方式进行认证，Kerberos 有关内容请参见附录）。该配置文件存放路径：%EAS_HOME%Serverserverdeployport

17、alConfgkrb5.conf相关配置参数说明如下：libdefaultsdefault_realm = KDSVrealmsKDSV = kdc = domain_realm.kdsv = KDSV其中：?KDSV 通常为域控制全限定域名（如：/doc/189a65c69ec3d5bbfd0a74a5.html），请依据实际环境调整?kdc 为AD服务器IP地址，如：?kerberos认证模式，还需检查login.config配置，增加krberos loginModule配置，请参见3.1.3.

18、1有关说明3.1.4.参考实现：Microsoft Active Directory认证处理器public class ActiveDirAuthHandler extends AbstractEasAuthHandler private static Logger logger =Logger.getLogger(ActiveDirAuthHandler.class.getName();public boolean authenticate(UserContextCallback userCtxCallback,String userNumber, String password) thro

19、ws BOSLoginException boolean result = false ;LoginContext lc = null ;try/* Set up the Callback handler, and initialise the userid and password fields */UserPwdCallbackHandler ch = new UserPwdCallbackHandler();ch.setUserId(userNumber);ch.setPasswords(password);/* Initialise the login context - LoginM

20、odule configured in cas_jaas.conf and */* set to use Krb5LoginModule. */实际用户认证交由com.sun.security.auth.module.Krb5LoginModule处理lc = new LoginContext(ActiveDirAuthHandler.class.getName(), ch);/* Perform the authentication */lc.login();result = true ;catch (LoginException le)return result;说明：以上认证处理器采用了

21、JAAS和Krb5LoginModule，需要在EAS 登录配置文件login.config 增加以下配置：com.kingdee.eas.cp.eip.sso.ad.ActiveDirAuthHandlercom.sun.security.auth.module.Krb5LoginModule required client=TRUE debug=true useTicketCache=FALSE;有关AD集成的其他配置说明，请参见后续的案例说明3.2. 用户集中管理如前所述，EAS支持两种用户数据管理方式：1.关系数据库2.目录服务（支持LDAP）并为这两种用户数据来源提供了同步到EAS用

22、户库的参考实现，以下是相关配置说明：3.2.1.用户同步配置文件userSyncConfig.xml此配置文件存放目录为：%EAS_HOME%ServerserverdeployportalConfiguserSyncConfig.xml其格式说明请参见userSyncConfig.dtd文件各配置项的详细说明请参见：E:work工作产品协同平台相关资源登录参考样例：3.2.2.外部用户数据源为：目录服务（支持LDAP）的参考配置. 以微软活动目录为例：ldap:/:389/simple其他参数说明请详见配置项说明文件. 以LOTUS DOM

23、INO为例：对于LOTUS DOMINO，与AD配置大体上相同，主要是在用户显示名和账号属性名称上有区别，其配置参考如下：simpleadministrator其他参数说明请详见配置项说明文件. 使用目录浏览工具校验LDAP连接和配置：LDAPBrowser因各种目录服务器都有各自的管理工具，对于仅需要部署和配置用户同步功能的人员来说，可以使用一些简单易操作的目录浏览工具来测试目录服务器连接和查看条目属性，如：LDAPBrowser解开以上压缩包，启动此工具（lbe.bat），通过以下配置界面即可连接AD或其他目录服务器（注：以/do

24、c/189a65c69ec3d5bbfd0a74a5.html域控制器为例）：然后通过查看各条目，以便设置用户同步配置文件中的baseDN、filter、returningattributes等值或者通过search（系统菜单V iew|search）来检查filter 和baseDN的设置是否正确3.2.3.外部用户数据源为：关系数据库的参考配置参考样例如下：FNumber其他参数说明请详见配置项说明文件3.2.4.导入用户数据SSO默认提供两种操作方式进行外部用户数据导入：a)通过URL方式，进行手工导入http:/portalServer:port/easportal/?redirect

25、To=/tools/testUserSync.jsp?resource=DataResourceName其中：DataResourceName为userSyncConfig.xml resource元素的name属性值，如：以上例子中的jdbc/mykingdee、”ldap/domino”或”ldap/ad”注意：此功能需要使用管理员账号administrator登录才能使用；b)通过定义EAS后台事务，进行定期导入定义用户数据周期同步后台事务步骤：1.登录EAS，打开“系统平台”|“后台事务定义”1)录入事务名称、设置生效、失效时间、以及选择任务的resource元素name属性值；3)设

26、置事务调度计划： 4) 然后保存配置5)注：EAS基础系统还提供通用的数据导入导出功能，具体请参见相关手册。3.2.5.EAS用户管理导入EAS的用户数据可通过EAS系统的“用户管理”模块进行管理，如：选择人员、选择角色以及授权，相关使用说明请参见EAS帮助手册；注意事项：?目前暂未提供EAS用户与外部系统用户映射的管理界面，需要直接通过SQL或数据库管理工具进行管理，该用户映射表名为T_SSO_External2EasUsers(参见附录说明)?从外部数据源成批导入用户数据到EAS，通常发生在系统初始化阶段，因此，在系统上线时应先计划好这项操作，同时注意与EAS其他基础数据初始化流程的衔接处

27、理（如：组织架构和人员的初始化）。3.3. 配置各业务系统导航入口页EAS Portal通过SSO服务组件提供单点登录，并提供各业务系统导航入口配置功能，以便统一登录后可导航到其他业务系统，下面将描述有关登录流程及配置说明。3.3.1.被SSO保护的业务系统登录流程：1.统一的登录入口页，如下图：2.各业务系统导航入口页，如下图：注：各业务系统入口地址的配置，请参见下节配置说明3.点击上图各业务系统的链接，即可无需登录即进入相应系统3.3.2.配置业务系统入口地址各业务系统导航入口配置说明如下：该配置文件存放地址：%EAS_HOME%ServerserverdeployportalConfig

28、easWebConfig.xml该文件中与各业务系统导航入口配置有关的配置项为：defaultpage 和integration，参考样例如下：/doc/189a65c69ec3d5bbfd0a74a5.html/servlet/DominoEntry#oa#true / integrationInfo配置项说明： ?key值：代表顺序，?转向地址：是用户点链接后需要转向到的业务系统入口地址注意事项：与DOMINO系统集成且用LTPA认证机制时，其系统入口URL必须使用完整的域名(如：/doc/189a

29、65c69ec3d5bbfd0a74a5.html/servlet/DominoEntry)，不支持IP地址（有关与DOMINO的集成，请参见：EAS_Portal_SSO_与Domino集成_使用指南或/doc/189a65c69ec3d5bbfd0a74a5.html/info/km/docInfoDetail.do?docid=6CCC0ABCD56BA5BA4825714E0003675D）。此转向地址在实际指向各业务系统时，将被自动附加上URL参数DSESSIONID，即：xxxx?DESSIONID=userLtpaTokenStrin

30、g?图片名称：为业务系统标志图业务系统标志图片（非聚焦图片xxx.jpg和聚焦图片xxx_focus.jpg）需要放到文件更新服务器上，即目录:%EAS_HOME%Serverfileserver.eareasWebClientdeployimagesintegration下，这里只需要写文件名前缀xxx即可，?是否新开窗口，表示点击链接后，是在原窗口打开还是从新窗口中打开，true弹出方式打开页面，false则覆盖本窗口页面（即集成页）4.1. 案例1：与Domino集成通过LTPA认证机制，EAS SSO可与DOMINO进行无缝集成，以下配置过程是以河南建投为例说明的，参考步骤如下：1、确

31、定SSO用户管理方式：该案例是以EAS用户管理为主的，但K/3 OA是已有系统，因此需要先从K/3 OA导入数据到EAS中，有关数据导入配置说明请参见、导入用户数据操作说明请参见3.2.42、确定用户认证校验处理器因登录主界面即为EAS登录界面，用户集中库为EAS用户库，因此可采用EAS传统认证模式，即采用EAS默认认证方式，为出厂设置，无须修改；但由于K/3 OA为DOMINO系统，因此，还需作以下配置：a)通过DOMINO创建LtpaToken密钥文件LtpaTperties此密钥文件将供EAS Portal及其他J2EE应用系统部署使用；b)配置DOMINO

32、系统入口页i.部署ltpaForDomino5.jar可把ltpaForDomino5.jar拷贝到domino的servlet部署目录下，即d:lotusdominodatadominoservlet 目录下(比如客户的Lotus装在d:)；ii.Domino入口servlet（com.kingdee.eas.cp.eip.sso.client.domino.DominoServlet）配置此Servlet将为DOMINO系统提供入口服务，供EAS PORTAL集成首页链接到DOMINO系统；有关DOMINO集成的详细配置说明文档，请从以下地址下载：http:/www.wendangku.n

33、et/doc/189a65c69ec3d5bbfd0a74a5.html/info/km/docInfoDetail.do?docid=6CCC0ABCD56BA5BA4825714E0 003675D注：EAS SSO默认提供了Domino系统的入口servlet，其他受保护系统需要参照3.4节的说明，实现系统入口脚本；3、配置各业务系统导航入口页该客户要求提供各业务系统入口集成首页，导航进入，因此，可通过EAS PORTAL提供的各业务系统导航入口页来实现，有关配置说明请参见3.34、测试验证用EAS和K/3 OA都存在的账号，检查是否顺利登录EAS PORTAL、并点击K/3 OA系统是

34、否无需再登录即可进入，若成功，则说明SSO配置成功；4.2. 案例2：与Active Directory集成/TODO4.3. 总结：实现客户SSO需求参考步骤通过以上案例，可以总结得出，利用EAS SSO组件，实现客户SSO需求的主要步骤有：1.首先进行用户SSO需求调研 2. 确定SSO 实现方案? 首先确定基准用户库及用户管理工具? 然后制订各系统与基准用户库的映射和同步策略 ?最后确定SSO 实现方案3. 制订SSO 实现计划因各业务系统的运行环境可能差异比较大，可能是异构平台，用户的统一和同步映射处理也需要时间，已有系统也在线使用中，因此，需要制订好详细的实现计划，以规避和降低风险； 4. 开发实现SSO根据各业务系统实际情况，进行相应接口的开发（包括用户同步/映射） 5. 部署SSO 实现 6. 测试 5.1. 用户映射表：EAS 用户与外部系统用户映射用户映射表T_SSO_External2EasUsers5.2. JAASJAAS全名是JAVA认证和授权服务(J ava Authentication and Authorization Service)，它是一组java 包，为提供基于用户的认证和访问控制提供支持，它是标准可嵌入式认证模型（PAM）的java 版本实现，支持基于用户的身份认证。JAAS是J2SE1.3中的可选包，但是J