金蝶EAS-V7.5-单点登录实施指南

金蝶 EAS V7 5 单点登录实施指南 金蝶软件 中国 有限公司 发布日期 2015 年 8 月 金蝶 EAS V7 5 单点登录实施指南 第第 2 页 总页 总 55 页页 前言 概述 本指南共分为六个章节 第一章整体概述了 EAS 单点登录 必看 第二章分析 了单点登录的需求分析和实施过程 第三章分析了 EAS 单点登录各方案的具 体实施和配置步骤 第四章介绍了 EAS 与其他第三方单点登录方案的集成方 法 第五章介绍了单点登录的相关知识 第六章是 FAQ 读者对象 本指南主要针对实施人员和二次开发人员编写 通过本指南的学习可以使实施 或开发人员掌握 EAS 单点登录集成的方法和技巧 约定 本处对文中通用信息作如下约定 EAS HOME 表示 EAS 服务器安装的根目录 即安装过程中输入的本地 路径 BOS HOME 表示 BOS 工具的安装根目录 即安装过程中输入的本地路 径 金蝶 EAS V7 5 单点登录实施指南 第第 3 页 总页 总 55 页页 金蝶 EAS V7 5 单点登录实施指南 第第 4 页 总页 总 55 页页 目 录 前言 3 目 录 4 1 第一章 概述 7 1 1 什么是单点登录 7 1 2 单点登录的作用 7 1 3 EAS 的单点登录 7 1 3 1 EAS 单点登录总体概述 7 1 3 2 认证校验处理器 8 1 3 3 CAS 集成认证组件 8 1 3 4 LTPA 认证集成组件 8 1 3 5 用户集成组件 8 2 单点登录需求分析及实施 9 2 1 用户单点登录集成需求调研 9 2 2 确定单点登录集成实现方案 9 2 3 制订单点登录集成实现计划 9 2 4 开发配置实现单点登录集成 9 3 单点登录认证服务的集成与实现 11 3 1 用户认证校验处理器 11 3 1 1 EAS 标准产品支持的认证处理器 11 3 1 2 注册和配置认证处理器实现类 11 3 1 3 扩展第三方用户认证的认证处理器 13 3 1 4 扩展认证处理器参考实现 EAS 用户认证登录配置 14 3 1 5 EAS 用户认证登录类及相关配置 14 3 2 LDAP 域认证方案的配置与实现 15 3 2 1 LDAP 服务器连接参数配置 15 3 2 2 配置 LDAP 域用户认证处理器 16 3 3 微软 AD 域认证方案的配置与实现 16 3 3 1 AD 域服务器连接参数配置 16 3 3 2 配置 EAS 用户认证登录类 17 3 3 3 配置微软 AD 域用户认证处理器 18 3 4 LTPA 认证方案的配置与实现 18 3 4 1 配置密钥文件 19 3 4 2 LTPA Token 加密和校验接口介绍 20 金蝶 EAS V7 5 单点登录实施指南 第第 5 页 总页 总 55 页页 3 4 3 第三方应用集成 EAS portal 即 在第三方应用中打开 EAS portal 的实现步 骤 21 3 4 4 EAS portal 集成第三方应用 即 在 EAS portal 中打开第三方应用 的实现步 骤 22 3 5 用户集成组件 23 3 5 1 用户数据导入 23 3 5 2 用户映射管理 28 3 5 3 用户集成参数配置 29 3 5 4 定义用户数据周期同步后台事务 29 3 6 CAS 集成认证组件 32 3 6 1 CAS 服务器参数配置 32 3 6 2 新增 EAS 登录所需要参数的配置文件 33 3 6 3 安装 EAS 支持第三方 CAS 服务器的相关补丁 34 3 6 4 登录页图形校验码配置 34 4 EAS 其它单点登录集成方案 35 4 1 EAS portal 与 WebSphere 全局安全性单点登录方案的集成 35 4 1 1 EAS 企业应用程序 eas ear 的配置 35 4 1 2 EAS Portal Web 应用程序 cp web war 的配置 36 4 1 3 基于 FORM 认证登录页面的开发 37 4 1 4 使用管理控制台部署 EAS 40 5 单点登录的相关知识介绍 41 5 1 域相关概念和术语介绍 41 5 1 1 目录 41 5 1 2 目录服务 43 5 1 3 专有名称 DN 44 5 1 4 DN 转义规则 45 5 1 5 增强的 DN 处理 45 5 1 6 后缀 Suffix 46 5 1 7 参照 Referrals 46 5 1 8 模式 Schema 47 5 1 9 对象类 objectClass 47 6 FAQ 50 6 1 如何收集单点登录出问题时的诊断信息 50 6 2 CAS 独立部署后 web 框架需要重新登录问题 50 6 3 iframe 中嵌入 CAS SSO 应用无法自动登录的问题 51 6 4 微软 AD 域用户无法同步用户数据问题 51 6 5 EAS 服务器与 AD 域服务器时间不致问题 51 术 语 53 附 录 54 金蝶 EAS V7 5 单点登录实施指南 第第 6 页 总页 总 55 页页 附录 1 JAAS 54 附录 2 Kerberos 54 金蝶 EAS V7 5 单点登录实施指南 第第 7 页 总页 总 55 页页 1 第一章 概述 1 1 什么是单点登录 单点登录 Single Sign On 简称为 SSO 是目前企业应用身份认证整合不可或缺的部分 SSO 通俗概念 单点登录环境下的多个应用系统 用户只需要登录一次就可以直接访问各应 用系统 而无需进行多次登录 单点登录隶属于 EAS 中的身份认证管理模块 1 2 单点登录的作用 通过单点登录技术可以对企业各异构应用系统的登录认证及用户身份信息进行集成 统一企 业的身份认证 使企业用户只需要登录一次即可访问各应用系统 从而提高企业各应用系统 的易用性 安全性及简化 IT 管理 1 3 EAS 的单点登录 1 3 1 EAS 单点登录总体概述 认认证证校校验验处处理理器器 认认证证集集成成组组件件 传统认证处理器AD域认证处理器LDAP认证处理器 自定义认证处理器 CAS集成认证组件LTPA Token集成认证组件 用用户户集集成成组组件件 LTPA认证处理器 图 EAS 单点登录服务组件层次关系图 EAS 的单点登录主要包含三个服务组件 认证校验处理器 认证集成组件和用户集成组件 认证校验处理器是基础 认证集成组件依赖认证校验处理器 用户集成组件在身份信息同步 时用到如 AD 域和 LDAP 认证时 金蝶 EAS V7 5 单点登录实施指南 第第 8 页 总页 总 55 页页 1 3 2 认证校验处理器 认证校验处理器主要用于定义认证接口 实现认证的核心逻辑 支持不同的用户认证方案 通过在 EAS 系统中配置不同的认证处理器即可实现不同的认证方案 认证校验处理器简称认 证处理器 用户认证校验处理器支持自定义扩展 通过二次开发实现 EAS 的认证接口 从而实现用户自 定义的认证方案 EAS 标准产品支持提供以下认证校验处理器 EAS 传统认证处理器 EAS 连接数据库进行认证 微软 AD 域认证处理器 LDAP 域认证处理器 LTPA 认证处理器 LTPA Token 集成认证所依赖的认证处理器 1 3 3 CAS 集成认证组件 基于开源的 CAS 单点登录应用框架 单点登录就是由该组件实现 CAS 分为 CAS Server CAS 服务端 和 CAS Client CAS 客户端 CAS Server 在 EAS 中特指 eassso 应用 EAS 门户就是通过 eassso 应用登录进去的 CAS Client 是与应用绑定在一起的 EAS 中的应 用 easportal portal easweb 就内嵌绑定了 CAS Client CAS 单点登录就是通过 CAS Server 与 CAS Client 的交互来完成的 1 3 4 LTPA 认证集成组件 LTPA 轻量级第三方认证 Lightweight Third Party Authentication LTPA 主要是利用对称加 解密的原理来完成登录认证 主要应用于第三方系统与 EAS 整合的场景 1 3 5 用户集成组件 用户集成组件主要用于将第三方数据源的用户账号信息同步到 EAS 系统中 并且与 EAS 系 统中的用户建立起对应的映射关系 其主要包括用户数据导入和用户映射两个管理模块 目前 EAS 支持的导入数据源的类型主要是 LDAP 服务器 包括微软 AD 域服务器 注 集 成数据库类型的数据源可通过 EAI 平台来完成 金蝶 EAS V7 5 单点登录实施指南 第第 9 页 总页 总 55 页页 2 单点登录需求分析及实施 分析和实现客户单点登录集成需求主要有以下几个步骤 2 1 用户单点登录集成需求调研 需求调研阶段需要详细对客户现有的业务系统进行调研 了解清楚客户期望的 单点登录集成的效果和目标 调研参考内容有如下几点 各业务系统主要信息 包括业务系统基于的技术语言 Java NET 等 用 户数据库类型 Oracle DB2 等 和用户数量规模等信息 用户登录过程说明 包括各业务系统在登录时需要进行的验证过程和验证 所需信息等 单点登录集成需求目标 包括用户期望达到的单点登录集成目标 界面流 展现其单点登录过程和要求 以及基准用户库 原有业务系统数据库 新 数据库或者 LDAP 目录服务器 等 2 2 确定单点登录集成实现方案 确定实现方案阶段主要做以下几个工作 首先确定基准用户库及用户管理工具 然后制订各系统与基准用户库的映射和同步策略 最后确定单点登录集成实现方案 2 3 制订单点登录集成实现计划 制订计划阶段因各业务系统的运行环境可能差异比较大 可能是异构平台 用 户的统一和同步映射处理也需要时间 已有系统也在线使用中 因此 需要制 订好详细的实现计划 以规避和降低风险 2 4 开发配置实现单点登录集成 开发集成阶段主要做以下几个工作 金蝶 EAS V7 5 单点登录实施指南 第第 10 页 总页 总 55 页页 根据各业务系统实际情况 进行相应接口的开发 包括用户同步 映射 完成开发后进行相关配置 部署单点登录集成实现方案并在测试环境进行测试 金蝶 EAS V7 5 单点登录实施指南 第第 11 页 总页 总 55 页页 3 单点登录认证服务的集成与实现 3 1 用户认证校验处理器 用户认证校验处理器是单点登录集成过程中 某一种认证方式具体的认证逻辑 的实现 EAS 标准产品中支持几种常用的认证处理器 同时也支持二次开发扩 展自己的认证处理器 3 1 1 EAS 标准产品支持的认证处理器 EAS 标准产品支持的认证处理器信息如表 3 1 所示 表 3 1 EAS 支持的认证处理器 认证处理器名称认证处理器实现类说明 EAS 传统 用户名密 码 认证 BaseDBcom kingdee eas cp eip sso EasDefaultAuthHandlerEAS 传统认证 基于 EAS 数据库中的用户 名密码进行认证校验 LDAP 域认 证 BaseLDAPcom kingdee eas cp eip sso ldap LdapAuthHandler基于 LDAP 协议的目 录用户认证 微软 AD 域认证 aseADcom kingdee eas cp eip sso ad ActiveDirAuthHandler基于微软活动目录 AD 进行用户管理 采用 kerberors LoginModule 进行认 证校验 LTPA 认证BaseTrdLtpa Token com kingdee eas cp eip sso ltpa LtpaTokenAuthHandle r LTPA Token 认证 3 1 2 注册和配置认证处理器实现类 在确定了单点登录集成的认证方案后 需要通过配置来切换不同的认证处理器 从而实现不同的单点登录认证方案 其配置方法如下 金蝶 EAS V7 5 单点登录实施指南 第第 12 页 总页 总 55 页页 首先 在服务器 server profiles server 1 n config portalConfig 目录下打开认证 处理器的配置文件 easAuthPatterns xml 其配置内容及格式如下 BaseDB BaseDB com kingdee eas cp eip sso EasDefaultAuthHandler Base Eas user table authentication is Eas default Authentication BaseDB session 节点及参数说明 authPattern 节点 表示某种认证处理器 包括 name displayName authHandler 和 description 四个属性 name 认证处理器名称 请使用英文字母命名 且需在整个文档中命 名唯一 displayName 认证处理器显示名称 authHandler 认证处理器实现类的全路径类名 description 认证处理器的描述信息 default 节点 表示 EAS 缺省使用的认证处理器 该值为配置文件中已定 义 authPattern 节点的 name 值 scope 节点 表示 EAS 认证处理器的作用域 scope 仅能取以下值 application EAS 统一采用一种认证处理器 即由 default 节点指定的 认证处理器 session EAS 允许用户根据工作场所 选择不同的认证处理器 如 外网可使用 EAS 传统认证 内网则使用 AD 认证 即域用户认证 注意 EAS Portal 标准产品的登录窗口未提供认证模式选择项 即此方式是为 了与第三方系统集成预留的 以便可通过 URL 参数 authPattern 或进行登录页 个性化开发来指定用户登录认证模式 如 以下 URL 为指定 AD 域用户自动登录 http portalServer port easportal autoLogin jsp authPattern BaseADWithAutoLogi n 金蝶 EAS V7 5 单点登录实施指南 第第 13 页 总页 总 55 页页 然后 加入新的认证处理器 即 authPattern 节点 并且将 EAS 缺省使用的认 证处理器修改成该节点名称 即 修改 default 节点 例如 现在需要将 EAS 的认证方式改成 LTPA 认证 则增加及修改的配置信息如下 BaseTrdLtpaToken BaseTrdLtpaToken com kingdee eas cp eip sso ltpa LtpaTokenAuthHandler Base third system s Lightweight Third Party Authentication BaseTrdLtpaToken session 另外 EAS 标准产品中默认配置用户名密码认证处理器 即上面举例的第一段 配置信息 3 1 3 扩展第三方用户认证的认证处理器 如果 EAS 提供的认证处理器并不能满足客户的需求 则 EAS 也支持二次开发 对用户认证处理器进行扩展 以实现其它的认证方案 其实现步骤如下 实现 EAS 用户认证处理器统一接口 接口定义如下 EAS SSO 认证处理器接口 public interface IEasAuthHandler 获取外部系统所映射的EAS USER 名称 public String getEasUserNumber Context ctx String externalUserNumber throws BOSLoginException 是否进行 EAS 用户密码校验 public boolean isVerifyEasUserPwd 用户认证校验接口 public boolean authenticate UserContextCallback userCtxCallback String userNumber String password throws BOSLoginException 接口说明 public String getEasUserNumber Context ctx String externalUserNumber 金蝶 EAS V7 5 单点登录实施指南 第第 14 页 总页 总 55 页页 外部系统用户转换为 EAS 用户的接口 如 AD 用户名转为 EAS 用户 名 public boolean isVerifyEasUserPwd 此接口定义是否需要进行 EAS 传统用户名和密码的校验 public boolean authenticate UserContextCallback userCtxCallback String userNumber String password 此接口为用户认证校验接口 若用户认证通过 则返回 true 若不通 过则返回 false 将新开发的用户认证处理器部署到 EAS 服务器环境中 并采用 3 1 2 节中 的方法将该用户认证处理器注册成 EAS 缺省使用的认证处理器 3 1 4 扩展认证处理器参考实现 EAS 用户认证登录配置 EAS 提供的微软 AD 域认证处理器实现用户认证处理器接口的代码如下 AbstractEasAuthHandler 类实现了 IEasAuthHandler 接口 public class ActiveDirAuthHandler extends AbstractEasAuthHandler public boolean authenticate UserContextCallback userCtxCallback String userNumber String password throws BOSLoginException boolean result false LoginContext lc null try Set up the Callback handler and initialise the userid and password fields UserPwdCallbackHandler ch new UserPwdCallbackHandler ch setUserId userNumber ch setPasswords password Initialise the login context set to use Krb5LoginModule 实际用户认证由com sun security auth module Krb5LoginModulele 类处 理 lc new LoginContext ActiveDirAuthHandler class getName ch Perform the authentication lc login result true catch LoginException le return result 3 1 5 EAS 用户认证登录类及相关配置 EAS 用户认证采用了标准的 JAAS JAVA 认证和授权服务 Java Authentication and Authorization Service 的服务 JAAS 的详细信息请参见附 金蝶 EAS V7 5 单点登录实施指南 第第 15 页 总页 总 55 页页 录 1用户认证的 LoginModule 类可很方便的插拨或堆叠 其配置是通过服务 端 server properties 目录下的 login config 文件来实现的 login config 文件配置 了 EAS 默认使用的 LoginModule 通常情况下 该配置文件无须更改 该配 置文件内容如下 eas com kingdee eas cp eip sso EasMultiAuthLoginModule required debug true com kingdee eas cp eip sso web auth EASAuthHandler com kingdee eas cp eip sso EasMultiAuthLoginModule required debug true com kingdee eas cp eip sso ad ActiveDirAuthHandler com sun security auth module Krb5LoginModule required client TRUE debug true useTicketCache FALSE 说明 eas 为 EAS GUI 客户端登录时所用 LoginModule com kingdee eas cp eip sso web auth EASAuthHandler 为 EAS portal 登录时 所用 LoginModule 注 实际上与 eas 的配置内容是相同的 com kingdee eas cp eip sso ad ActiveDirAuthHandler 则用于与微软 AD 域认 证集成 即在 AD 认证模式 BaseAD 下 此配置才起作用 3 2 LDAP 域认证方案的配置与实现 LDAP 域认证方案可以通过配置实现 EAS GUI 客户端和 portal 登录时用户在 LDAP 服务器上进行认证 若需先同步用户请参见 3 5 章节 其配置步骤如下 3 2 1 LDAP 服务器连接参数配置 在服务端 server profiles server 1 n config portalConfig 目录下的 ldapConfig properties 文件用于配置连接 LDAP 服务器的参数 文件内容如下 contextFactory com sun jndi ldap LdapCtxFactory ldapHost 192 168 16 2 ldapPort 389 authentication simple principal username credentials password 金蝶 EAS V7 5 单点登录实施指南 第第 16 页 总页 总 55 页页 参数说明 contextFactory LDAP 连接默认工厂类 如果服务器使用的是 Sun 的 JDK 则应配置为 com sun jndi ldap LdapCtxFactory 如果服务器使用的是 IBM 的 JDK 则应 配置为 com ibm jndi ldap LdapCtxFactory ldapHost LDAP 目录服务器 IP 地址 ldapPort LDAP 目录服务器端口号 通常情况下缺省是 389 authentication LDAP 连接认证模式 通常情况下配置为 simple principal LDAP 主体 身份标识 通常情况下配置为用户账号 credentials LDAP 主体的凭证 密码 通常情况下配置为用户密码 将实际采用的 LDAP 目录服务器 IP 地址和端口号配置到该文件中 3 2 2 配置 LDAP 域用户认证处理器 按照3 1 2 节所述方法将 LDAP 域用户认证处理器配置到 easAuthPatterns xml 文件中 LDAP 域用户认证处理器的 authPattern 节点定义如下 BaseLDAP BaseLDAP com kingdee eas cp eip sso ldap LdapAuthHandler Base LDAP Authentication 3 3 微软 AD 域认证方案的配置与实现 微软 AD 域认证方案可以通过配置实现 EAS GUI 客户端和 portal 登录时用户 在微软 AD 域服务器上进行认证 若需先同步用户请参见 3 5 章节 其配置步 骤如下 注意 由于 AD 域认证的实现需要使用 SUN JDK 中的 com sun security auth module Krb5LoginModule 类 而 IBM JDK 中的该类为 com ibm security auth module Krb5LoginModule IBM JDK 的实现主要在 login conf 文件配置上略有不同 推荐使用 SUN JDK 金蝶 EAS V7 5 单点登录实施指南 第第 17 页 总页 总 55 页页 3 3 1 AD 域服务器连接参数配置 EAS 采用基于 Kerberos 认证的配置文件与 AD 域服务器进行连接 Kerberos 的详细信息请参见附录 2 在服务端 server properties 目录下的 krb5 conf 文件 用于配置连接 AD 域服务器的参数 文件内容如下 libdefaults default realm KINGDEE COM default tkt enctypes des3 cbc sha1 rc4 hmac des cbc md5 des cbc crc default tgs enctypes des3 cbc sha1 rc4 hmac des cbc md5 des cbc crc permitted enctypes des3 cbc sha1 rc4 hmac des cbc md5 des cbc crc default checksum rsa md5 clockskew 360 realms KINGDEE COM kdc 192 168 16 2 domain realm KINGDEE COM logging default FILE E EAS4 1 apusic logs default log kdc FILE E EAS4 1 apusic logs kdc log admin server FILE E EAS4 1 apusic logs kadmin log kdc rotate period 1d versions 10 参数说明 default realm 为 AD 域控制全限定域名 例如 KINGDEE COM 注意 此参数值中的字母必须大写 如上配置参数所示 kdc 为 AD 域服务器 IP 地址 注意 该参数外层的参数必须同 default realm 定义的域名相同 如上配置参数所示 domain realm 该段中定义了应用实际域名或主机名和 AD 域名的映射关 系 其定义格式和规范如上配置参数所示 一般为 域名称 小写 最前 面有个点 域名称 大写 实际使用中 用户只需要配置上面红色字体标注的部分 将实际采用的 AD 域 服务器的域名和 IP 地址配置到该文件中 SUN 或 IBM JDK6 0 版本请在 libdefaults 段配置 allow weak crypto true 启 用弱加密算法以便匹配 Windows AD 域默认配置 金蝶 EAS V7 5 单点登录实施指南 第第 18 页 总页 总 55 页页 3 3 2 配置 EAS 用户认证登录类 在服务端 server properties 目录下的 login config 文件中加入以下配置参数 com kingdee eas cp eip sso ad ActiveDirAuthHandler com sun security auth module Krb5LoginModule required client TRUE debug true useTicketCache FALSE IBM JDK 时配置则如下 com kingdee eas cp eip sso JAASAuthHandlerProxy 为 JAAS 实现类 com kingdee eas cp eip sso ad ActiveDirAuthHandler com ibm security auth module Krb5LoginModule required debug true com kingdee eas cp eip sso JAASAuthHandlerProxy com ibm security auth module Krb5LoginModule required debug true 3 3 3 配置微软 AD 域用户认证处理器 按照3 1 2 节所述方法将微软 AD 域用户认证处理器配置到 easAuthPatterns xml 文件中 AD 域用户认证处理器的 authPattern 节点定义如 下 BaseAD BaseAD com kingdee eas cp eip sso ad ActiveDirAuthHandler Base Microsoft AD Authentication 注 easAuthPatterns xml 文件中的 default 节点要改为 BaseAD 3 4 LTPA 认证方案的配置与实现 EAS7 0 1 需打补丁 PT056937 PT056987 EAS7 0 3 需打补丁 PT057543 PT057551 解决 Token 串包含乱码问题 EAS7 5 已包含以上补丁代码 打了补 丁后 若之前有二次开发用到的 LTPATokenManager jar 包 请重新向支持部 索取 金蝶 EAS V7 5 单点登录实施指南 第第 19 页 总页 总 55 页页 LtpaToken properties ssoClient properties autoLoginConfig properties 1 1 2 2生生成成指指向向 e ea as sp po or rt ta al l i in nd de ex x2 2s ss so o j js sp p W We eb bs se er rv vi ic ce e客客户户端端 生生成成L LT TP PA A链链接接 L LT TP PA A W We eb bs se er rv vi ic ce e服服务务端端 2 2 1 1 w we eb bs se er rv vi ic ce e调调用用得得到到T To ok ke en n串串 2 2 2 2生生成成指指向向 e ea as sp po or rt ta al l i in nd de ex x2 2s ss so o j js sp p L LT TP PA A链链接接生生成成代代码码 1 1 1 1 调调用用得得到到T To ok ke en n串串 第第三三方方 J Ja av va a应应用用 LTPATokenManager jar 第第三三方方非非 J Ja av va a 应应用用 E EA AS S服服务务器器 LtpaToken properties 二二次次开开发发内内容容 红色为安全保护对象 原原理理 对对称称加加解解密密的的过过程程 图 3 1 LTPA 认证方案部署视图 LTPA 是一个基于 web 的认证框架 LTPA 的详细信息请参见附录 3 EAS 的 LTPA 认证方案是一种基于 web 的加密认证机制 通过 EAS portal 与第三方 web 应用系统进行集成 可以实现只需登录一次即可相互进行访问 其配置步 骤如下 3 4 1 配置密钥文件 服务端 server profiles server 1 n config portalConfig 目录下的 LtpaToken properties 文件即为 LTPA Token 加密串的密钥 文件内容如下 cookie domain token expiration 30 domino secret BTfa8F HwNejYEGtuZSJTWOZ t8 参数说明 cookie domain 与 Domino 集成时才有用的参数 通常无需关注 金蝶 EAS V7 5 单点登录实施指南 第第 20 页 总页 总 55 页页 token expiration token 串的有效时间 这里以分钟为单位 用于校验 token 串时检查其是否过期 其有效时间从生成 token 串时 Web 应用的系 统时间开始算起 因此 LTPA 认证集成机制要求被集成的各 Web 应用 服务器的系统时间需要保持一致 domino secret 加密生成 token 串的密钥 该参数可以是任意指定的一个 字符串 没有长度限制 部署实施时注意更换此密钥以增加安全性 该文件需要在 EAS 服务器环境和要集成 Web 应用系统的环境中各保存一份 且密钥必须相同 注意 在 EAS 服务器环境中该文件的存放路径不用改变 即上述缺省路径即可 在第三方 Web 应用系统中该文件的存放路径可任意指 定 例如 D TrdWebApp security 3 4 2 LTPA Token 加密和校验接口介绍 在服务端 server lib server bos 目录下的 cp sso server jar 包包含了 LTPA Token 的生成和校验工具类 com kingdee eas cp eip sso ltpa LtpaTokenManager 类 该 类主要接口定义如下 public static LtpaToken generate String canonicalUser String configFile public static boolean verifyToken String path String token String userNumber 接口说明如下 public static LtpaToken generate String canonicalUser String configFile 该接口主要用于使用密钥文件 LtpaToken properties 生成 LTPA Token 加密 串 参数说明 canonicalUser 登录用户账号 configFile LtpaToken properties 文件全路径 例如 D TrdWebApp security LtpaToken properties public static boolean verifyToken String path String token String userNumber 该接口主要用于校验 LTPA Token 串的合法性 参数说明 金蝶 EAS V7 5 单点登录实施指南 第第 21 页 总页 总 55 页页 path LtpaToken properties 文件全路径 例如 D TrdWebApp security LtpaToken properties 如果第三方应用通过 webservice 调用 EAS 提供的服务 该参数传入 null 值 token 使用 generate 接口生成的 LTPA Token 加密串 userNumber 使用 generate 接口生成的 LTPA Token 加密串时传入的登 录用户账号 3 4 3 第三方应用集成 EAS portal 即 在第三方应用中打 开 EAS portal 的实现步骤 在第三方 Web 应用系统中集成 EAS portal 通常指 在第三方系统中增加一个 EAS portal 的访问地址 然后在再登录到第三方系统后 通过该访问地址可以 直接进入到 EAS portal 中 该方案需要 EAS portal 和第三方系统都要做一些配 置或开发工作 其集成步骤如下 EAS 系统需要做的配置工作 EAS 6 0 及 sp1 版本需要安装补丁 PTM037265 EAS 7 0 sp1 及以后版本 则缺省包含该补丁内容 将服务端 server profiles server 1 n config portalConfig 目录下的 ssoClient properties 文件中的 sso easIsSSOClient 参数项的值修改为 true 将服务端 server profiles server 1 n config portalConfig 目录下的 autoLoginConfig properties 文件中的 datacenter 参数修改为 EAS portal 要登 录的数据中心代码 即 数据中心编码 ID EAS 管理控制台可查看 并 设置 authPattern 参数为 BaseTrdLtpaToken 设置好 locale 语言项 L1 英 文 L2 简体 L3 繁体 设置好 dbType 数据库类型 MS SQL SERVER 0 DB2 1 ORACLE 2 重新启动 EAS 服务器 第三方系统需要做的开发工作 将 LTPATokenManager jar 包 该包请联系金蝶的工程师获取 部署到第 三方系统中 注意 此方式只针对于第三方系统基于 java 语言实现 如 果是基于 net 语言实现的系统则无法直接使用 Token 加密和校验 java 接 口 需要以 web service 的方式调用 Token 加密和校验服务 在第三方系统中增加如下代码逻辑 金蝶 EAS V7 5 单点登录实施指南 第第 22 页 总页 总 55 页页 获取登录用户账号 使用 LtpaTokenManager 的 generate 方法生成 LTPA Token 加密串 c 访问 EAS portal 的单点登录请求地址 http easportal index2sso jsp username username 集成清单 目的用户表的用户姓名 LDAP 用户的显示名称 title 用户实名 集 成清单 搜索返回属性值 需要返回的属性字段 集成清单 LDAP 源提供的信息类型为简体或者繁体 配置好数据源后即可点击 同步数据 按钮 将外部用户同步到 EAS 系统中 3 5 2 用户映射管理 用户映射管理的功能是在外部用户数据导入到 EAS 系统后 建立外部用户与 EAS 系统中用户的映射关系 使外部用户可以登录到 EAS 系统中 该功能是 用户集成的第二步工作 通过 EAS 系统中的 系统平台 外部数据管理 外部用户管理 用户映射管理 菜单可以打开用户映射管理的功能界面 如图 3 4 所示 金蝶 EAS V7 5 单点登录实施指南 第第 29 页 总页 总 55 页页 图 3 5 用户映射管理功能界面 该界面有一个 自动映射 的功能 该功能是指系统自动将用户账号相同外部 用户和 EAS 系统用户建立映射关系 3 5 3 用户集成参数配置 在把外部用户集成到 EAS 系统中 并且与 EAS 系统中的用户建立映射关系后 需要修改一些配置参数 即可实现采用 LTPA 认证方案使用外部用户登录到 EAS 系统中 打开服务器端的 server profiles server 1 n config portalConfig 目录下的 ssoClient properties 文件 在其中增加以下两个参数 sso user mapping true 参数说明 是否将外部用户账号同 EAS 用户账号进行了映射 若想使用 外部用户账号进行登录则需要将该参数设置为 true 否则设置为 false sso user useExternalUser true 金蝶 EAS V7 5 单点登录实施指南 第第 30 页 总页 总 55 页页 参数说明 是否优先使用外部用户账号登录系统 参数设置为 true 则优先 使用外部用户账号登录系统 参数设置为 false 则优先使用 EAS 用户账号 登录系统 3 5 4 定义用户数据周期同步后台事务 为了方便外部用户数据周期自动进行同步 也可以通过 EAS 的后台事务来定 义用户数据的周期同步功能 该功能可以做为实现用户集成的可选功能 其定 义步骤如下 通过 EAS 系统中的 系统平台 后台事务 后台事务定义 菜单可以打开后台事务定义的功能界面 如图 3 5 所示 图 3 6 后台事务定义功能界面 录入事务名称 设置生效 失效时间 以及选择用户同步任务 如图 3 6 所示 金蝶 EAS V7 5 单点登录实施指南 第第 31 页 总页 总 55 页页 图 3 6 选择用户同步任务界面 打开 eas 协同平台 单点登录 用户同步 Facade 节点 如果设置导入用户的后台事务则选择 runUserSync 如果设置自 动映射用户的后台事务则选择 autoDealUser 其中 选择 runUserSync 后需要设置两个参数 一个是 ldapResxName 该参数设置资源名称 如 dbc mykingdee 或 dap ad 即 服务端 server profiles server 1 n config portalConfig 目录下 userSyncConfig xml 文件中的 resource 元素 name 属性值 另一个是 autoCreateUser 该参数设置是否创建 EAS 用户 设置成 true 或者 false 然后 设置事务调度计划 如图 3 7 所示 金蝶 EAS V7 5 单点登录实施指南 第第 32 页 总页 总 55 页页 图 3 7 设置事务调度计划界面 保存并发布该后台事务 3 6 CAS 集成认证组件 由于 EAS portal 的单点登录对标准的 CAS 进行扩展 所以 EAS portal 也支持 与其它标准的 CAS 服务器进行集成 通过其它 CAS 服务器进行用户认证和校 验 其配置步骤如下 3 6 1 CAS 服务器参数配置 打开服务端 server profiles server 1 n config portalConfig 目录下的 ssoclient properties 文件 该文件内容如下 cas server renew false cas server proxyCallbackUrl sso client serverNameByRequestMap true cas client proxyCallbackUrl sso client redirectTo index sso jsp sso client loginUrl ssoWelcome sso server loginUrlByRequestMap true cas server gateway false 金蝶 EAS V7 5 单点登录实施指南 第第 33 页 总页 总 55 页页 cas client serverName 127 0 0 1 6888 cas server url http 127 0 0 1 6888 eassso sso easIsSSOClient true 常用参数说明如下 sso client serverNameByRequestMap 是否将浏览器请求中的主机名和端口 如 192 168 0 11 6888 覆盖掉 cas client serverName 配置项的值 该参数 缺省为 true sso server loginUrlByRequestMap 是否将浏览器请求中的协议 http 或 https 主机名和端口 如 192 168 0 11 6888 覆盖掉 cas server url 配置项 值的相