Portal+SSO实现应用系统集成方案.doc

Portal+SSO集成解决方案 基本概念 Portal概念 portal是一种web应用，通常用来提供个性化、单次登录、聚集各个信息源的内容，并作为信息系统表现层的宿主。聚集是指将来自各个信息源的内容集成到一个web页面里的活动　　Portal的功能可以分为三个主要方面：1. Portlet容器：Portlet容器与servlet容器非常类似，所有的portlet都部署在portlet容器里，portlet容器控制portlet的生命周期并为其提供必要的资源和环境信息。Portlet容器负责初始化和销毁portlets，向portlets传送用户请求并合成响应。2. 内容聚集：Portlet规范中规定portal的主要工作之一是聚集由各种portlet应用生成的内容，我们将在“如何创建Portal页面”部分对此做进一步讨论。3. 公共服务：portlet服务器的一个强项是它所提供的一套公共服务。这些服务并不是portlet规范所要求的，但portal的商业实现版本提供了丰富的公共服务以有别于它们的竞争者。在大部分实现中都有望找到的几个公共服务有： o 单次登录：只需登录portal服务器一次就可以访问所有其它的应用，这意味着你无需再分别登录每一个应用。例如一旦我登录了我的intranet网站，我就能访问mail应用、IM消息应用和其它的intranet应用，不必再分别登录这些应用。　　Portal服务器会为你分配一个通行证库。你只需要在mail应用里设定一次用户名和密码，这些信息将以加密的方式存储在通行证库中。在你已登录到intranet网站并要访问mail应用的时候，portal服务器会从通行证库中读取你的通行证替你登录到mail服务器上。你对其它应用的访问也将照此处理。 o个性化：个性化服务的基本实现使用户能从两方面个性化她的页面：第一，用户可以根据她的自身喜好决定标题条的颜色和控制图标。第二，用户可以决定在她的页面上有哪些portlets。例如，如果我是个体育迷，我可能会用一个能提供我钟爱球队必威体育精装版信息的portlet来取代股票和新闻portlets。SSO（Single Sign-On）直译为一次登录，用户只使用一个用户名和口令，就可以访问所有的资源，这对系统管理和维护来说是非常重要的。单点登录有效地解决了用户使用网络时的多帐号、多密码、多次登录问题，方便了用户。 2.1 单点登录的一般模型 单点登录模型，一般由三部分构成，分别是：用户、身份提供者和服务提供者，如图1所示。 (1)用户是指通过浏览器来使用应用服务的个体。(2)身份提供者是指对个体进行身份验证的服务提供者。 (3)服务提供者是指为用户进行应用服务的具体应用服务提供者。 2.3 单点登录的工作流程 单点登录有三个主体：使用Web浏览器的用户、服务提供者和登录服务器。登录服务器保存着用户的认证信息以及用户的个人信息，服务提供者在得到用户允许的前提下可以到登录服务器上获取用户个人信息。 单点登录协议流程如图2所示。 ?????? 简单的 SSO 的体系中，会有下面三种角色： ?????? 1 ， User （多个） ?????? 2 ， Web 应用（多个） ?????? 3 ， SSO 认证中心（ 1 个） SSO： 1、?? 统一LDAP验证集成： ?我们将四套业务系统的所有用户信息一起放到LDAP服务器内，由ldap统一对四套系统的用户进行验证。这样做比较有利于用户及权限的管理，但是也存在弊端。如果这四套系统用户信息放在不同平台的不同数据库中，而且这四套系统除OA外，各有不同的用户组群，放在一起反而不利于管理。 ? 2、?? 基于Portal系统LDAP的凭证保险库法 我们采用Portal系统独立存在的LDAP，由这个LDAP验证Portal系统用户的合法性，一旦验证通过，用户就登录进Portal系统。然后用户在给定权限的各个业务系统Portlet中存储在各个业务系统中的用户信息，Portal系统会统一管理这些信息，然后自动到各个业务系统的用户信息库中校验，一旦通过校验，该portlet就能显示业务系统的授权信息。通常我们是在portlet中放入一个Iframe，用户在Portal系统中通过portlet中的这个Iframe来访问具体业务系统中的授权信息。 ? 3、?? 基于OA系统LDAP的凭证保险库法： 基本上等同于第二种方法，不过更简单。domino OA系统是企业内部每个人都使用的业务系统，而且它已经有一套成熟的LDAP，我们不必再为Portal创建LDAP服务器，我们可以直接使用OA系统的，所以有点麻烦的是，在使用Portal系统的时