EIACSSO接入接口文档.doc

EIAC SSO 接入接口文档接入接口文档 微软微软 中国中国 有限公司有限公司 2007 11 文文档档修修改改历历史史 文档总页数文档总页数 文档编号文档编号 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部2 1 4机机 密密 日日期期作作者者修修改改内内容容 2007 11 1微软 中国 顾问咨询部初稿 2007 11 20微软 中国 顾问咨询部更新 目目 录录 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部3 1 4机机 密密 1 1文档目的 4 1 2术语 4 1 3参考文档 4 1 4接口约定 5 2主要流程主要流程 5 2 1认证流程 5 2 2首次认证 6 2 3后续认证 7 2 4用户退出 8 3运行平台运行平台 8 3 1ASP NET ASP 8 8 3 1 2Asp 12 4JAVA WEB 13 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部4 1 4机机 密密 概述 1 1 文档目的文档目的 本文档描述如何使用单点登陆 SSO 接口包来实现地市公司接入省公 司 EIAC 平台 1 2 术语术语 EIAC Enterprise Information Application Center 企业信息应用中心 EAC Enterprise Authentication Center 企业统一认证中心 EAC 为 EIAC 的基础服务 提供单点认证服务 IAS Independent Application System 独立应用系统 需要接入 EAC 的应用系统 例如 OA MSS SSO Single Sign On 单点登陆 1 3 参考文档参考文档 下列标准所包含的条文 通过本标准的引用而构成本标准的条文 在标 准出版时 所示版本均为有效 所有标准都会被修改 使用本标准的各方应 探讨使用下列标准最新版本的可能性 1 RFC1738 统一资源定位器 URL 2 RFC 2068 超文本传输协议 HTTP 1 1 3 RFC 2109 HTTP 状态管理机制 4 RFC 2145 HTTP 版本号的使用和解释 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部5 1 4机机 密密 1 4 接口约定接口约定 本章详细定义相关的系统接口 以下定义的接口需要遵循如下规定 1 本规范接口的所有数据类型定义均遵循 XML 语言定义规范 W3C2001 版 规范 详见 http www w3 org 2001 XMLSchema 2 对于重定向接口中的字符串参数 必须进行控制码的转义 方法为 UrlEncoding Str 其具体实现参见 RFC1738 3 对 Web Service 的调用采用 SOAP 调用方法 SOAP 接口若无特殊说明 均承载在 HTTP 协议上 承载 SOAP 调用的 HTTP 请求头中使用 POST 命令 本规范不对其目的地址的 URL 作具体规定 4 对于 SOAP 调用接口 服务提供方必须首先检查服务请求方的 IP 地址的 合法性方可提供服务 5 对于 SOAP 必须遵照为此接口定义的 WSDL 定义 6 所有 SOAP 调用的 XML 编码均采用 UTF 8 方式 7 本规范中的接口若无特殊说明 均为同步调用接口 2主要流程主要流程 2 1 认证流程认证流程 EIAC 通过使用认证令牌 EACToken 和 IASToken 实现一点认证 本节描述用户首次认证流程与用户后续认证流程 流程描述基于如下规定 1 只讨论用户尚未拥有有效的 IASToken IAS 系统需要向 EAC 发送认证请 求的情况 在用户拥有有效的 IASToken 的情况下 IAS 系统自行处理 不需 要与 EAC 认证系统交互 此处不作描述 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部6 1 4机机 密密 2 用户尚未获得 EACToken 或其 EACToken 已经失效 均作为未获得 EACToken 看待 2 2 首次认证首次认证 用户 浏览器 EACIAS 1 用户访问EIAC 6 重定向至EAC认证 2 提示输入认证信息 3 提交认证信息 5 是否有效IASToken 8 重定向至IAS 4 用户访问IAS 7 用户已拥有EAC Token 9 生成IASToken 流程描述 1 用户访问 EIAC 统一门户 2 EAC 认证中心判断用户未拥有有效 EACToken 提示用户输入认证信息 3 用户提交身份验证信息 4 用户完成 EAC 认证并访问 IAS 5 IAS 判断用户未拥有有效 IASToken 6 IAS 向 EAC 认证中心发起认证请求 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部7 1 4机机 密密 7 EAC 认证中心判断用户已经拥有有效 EACToken 8 EAC 认证中心将认证结果返回至 IAS 9 IAS 生成 IASToken 用户在 IAS 认证成功 并可以进行相应的操作 2 3 后续认证后续认证 后续认证前提 用户已在 EAC 认证成功 并拥有有效的 EACToken 当 用户 IASToken 失效时 IAS 向 EAC 发起的认证后续请求 用户 浏览器 EACIAS 3 重定向至EAC认证 2 是否有效IASToken 5 重定向至IAS 1 用户访问IAS 4 用户已拥有EAC Token 6 生成IASToken 流程描述 1 用户访问 IAS 2 IAS 判断用户 IASToken 已失效或者不存在 IASToken 3 IAS 向 EAC 发起认证请求 4 EAC 判断用户已经拥有合法的 EACToken 5 EAC 返回认证结果并通知 IAS IAS 生成 IASToken 用户在 IAS 认证成功 并可以进行相应的操作 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部8 1 4机机 密密 2 4 用户退出用户退出 1 用户在 EIAC 登录后 EACToken 和 IASToken 失效时间设置为当日 24 点 24 点后用户再访问时提示重新登录系统 2 用户可以选择以下方式手工退出系统 a 用户手工选择 退出 功能退出登录 b 用户关闭浏览器退出 c EIAC 及各 IAS 需实现以上功能 3运行平台运行平台 B S 结构的程序 包含 ASP NET ASP 和 JSP 三种环境的 3 1 平台 2 0 的开发包 vs2005sp1 开发 文件 EACPSO dll PSOSetting config 配置文件函数 3 1 1 1 如果是基于 ASP Net 的 web 方式调用 请将 PSOSetting config 放到 Web 虚拟路径的根路径下 如果是基于应用方式调用 请将 PSOSetting config 放到 和当前应用程序 exe 路径下 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部9 1 4机机 密密 把 EACPSO dll 放大 Bin 目录下 并引用到项目中 使用类的 GUID 的名称 通用工具类 EIAC SSO PSO AppSSOBLL 加解密相关类 EIAC SSO PSO Cryptogram 接口相关类 EIAC SSO PSO AppSSORequest EIAC SSO PSO AppSSOResponse 接口的通用类发送方法和参数 EIAC SSO PSO AppSSOBLL bool AppSSOBLL TOEACAuthenticat IASID TimeSt amp ReturnURL 接口的通用类返回方法和参数 EIAC SSO PSO AppSSOBLL bool AppSSOBLL ValidateFromEAC Request IASI D 等 6 个接收参数 等等 2 在需要接入项目的子系统中修改的 Web config 文件改为 Form 认证 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部1 0 1 4机机 密密 3 修改默认的登陆页面 如被接入系统的 login aspx protected void Page Load object sender EventArgs e 页面第一次访问时定位到 EAC 去认证 if IsPostBack if Request IASID null if AppSSOBLL TOEACAuthenticat InterfaceUtility GetIASID AppSSOBLL GetTimeStamp Request Url ToString todo 接受 EAC 发送回来的认证信息 如果通过定位到保护页 面 if Request IASID null if Request Result ToString 0 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部1 1 1 4机机 密密 if AppSSOBLL ValidateFromEAC Request IASID ToString Request TimeStamp ToString Request UserAccount ToString Request Result ToString Request ErrorDescription ToString Request Authenticator ToString FormsAuthentication SetAuthCookie Request UserAccount false FormsAuthentication RedirectFromLoginPage Request UserAccount false 4 修改 PSOSetting config 文件 01 22362E7A9285DD53A0BBC2932F9733C505DC04EDBFE00D70 http localhost sso Login aspx 请参考样例工程 EIAC SSO SamplePSO 3 1 2 Asp 将此 dll 作为 com 使用需要作如下步骤 1 安装 dotnetFramwork2 0 2 gacutil i path EACPSO dll 执行此步骤将 net 组件程序放入全 局程序集中 path 为 dll 所在的路径 3 regasm path EACPSO dll 执行此步骤将 net 组件信息输入到注册 表中 path 为 dll 所在的路径 4 regasm tlb path EACPSO dll 执行此步骤将 net 组件信息生成 EACPSO tlb path 为 dll 所在的路径 使用注意事项 PSOSetting config 说明 中中 国国 电电 信信E I A C 微微 软软 企企 业业 服服 务务 部部1 3 1 4机机 密密 如果是基于 ASP 的 web 方式调用 请将 PSOSetting config 放到 WinNt System32 路径下 即和 DllHost exe 同一路径 使用方法参考 中类和方法的描述 4JAVA WEB 平台 jdk1 4 样例工程为 NetBeans 开发 提供包 JavaPSO jar 配置文件 config properties 1 把包放到 WEB INF 目录下 并放到配置文件到相应目录 2 并引用 JavaPSO jar 包到项目中 3 在 web 项目的默认登陆页面添加类引用 EIAC EAC SSO AppSSOBLL 类 包含方法 发送认证方法 PostString IASID TimeStamp defaulturl null 接收参数并认证方法 ValidateFromEAC IASID TimeStamp UserAccount Result ErrorDescriptio n Authenticator 二个函数返回都为布尔值 具体参考 Demo 3 编码为 UTF 8 格式 4