方案概述

随着IT技术的不断成熟和发展，用户组织内部的应用系统越来越多，其中大部分系统都拥有独立的身份认证和授权机制。某些岗位（特别是管理岗位）需要在多个应用系统中进行业务操作或日常管理，就必须拥有每个系统的登录帐户和密码，并且每进入一个系统就必须重新登录一次，这使得操作人员非常的不便，同时非常不利于管理和保护用户的各类信息资源。

武汉兴得科技提供的单点登录解决方案是基于IBM Tivoli Access Manager for e-Business 平台实现的，提供高度可用的中央授权服务，使用户能够更好地管理分散在各处的关键业务信息。通过本解决方案，用户可以实现集中的用户管理和授权管理，提供统一的认证方式和安全策略。

方案配置

本解决方案采用了IBM Tivoli Access Manager for e-Business （TAMeB）平台，所有的访问请求由WebSEAL服务器来完成用户身份验证，并调用用户请求的应用系统。

TAM系统对用户的权限验证通过组策略来完成，将需要集成的系统根据应用划分为各个分组，设置每个分组的权限，在此基础上定义用户，将用户分配到各个组，在应用系统上建立资源列表，以组为授权单位，用户的权限通过分组来体现。

目录设置

每个有合法身份的人对应于LDAP目录信息树的每一个节点，节点的属性包括这个人的身份信息以及认定身份过程中用到的控制信息。

LADP目录树配置与管理的内容主要包括：

 (1)组，用户的管理与配置：包括TDS后缀的配置、组织机构树的配置、人员的定义（包括用户名和密码）等。

 (2)确定一合适的系统，并以此系统的用户为基准，将用户信息批量导入到LDAP的TDS服务器中。

 (3)在WebSEAL中添加应用系统的配置。对于Web应用系统的SSO,TAM提供了多种的认证连接方式。

集成开发

采用TAMeB实现用户的单点登录，不同的系统所需要的集成开发内容有所不同：

(1)各类业务系统的集成

1)依据已有的各个业务系统，整理每个系统用户数据表、用户组表、用户角色对应表。

2)完成每个用户数据导入TAMeB系统的LDAP SERVER，实现单一用户身份管理。

3)初始化用户名和密码。

4)在POLICY SERVER中建立用户角色和每个系统的用户权限映射。

5)完成每个系统的原有用户登陆模块改造，改造原有系统登陆页面，和用户登陆会话，用户统一从WEBSEAL服务登陆页登陆，禁止原有登陆方式使用。

6)完成原有系统改造，修改原有系统密码管理和用户管理功能。

7)统一采用TAMeB系统的PORTAL MANAGER模块处理原有系统的密码管理和用户管理。

(2)邮件系统的集成

1)依据已有系统，整理用户数据表、用户组表。

2)依据用户名、用户组、用户真实姓名完成原数据与TAMeB系统的唯一LDAP的同时扫描，补充LDAP不全的用户信息。

3)在POLICY SERVER中建立用户角色和邮件系统的用户权限映射。

4)完成邮件系统的原有用户登陆模块改造，改造原有系统登陆页面，和用户登陆会话，用户统一从WEBSEAL服务登陆页登陆，禁止原有登陆方式使用。

5)完成原系统改造，修改原有系统密码管理和用户管理功能，统一采用TAMeB系统的PORTAL MANAGER模块处理原有系统的密码管理和用户管理。

6)自动获取WEBSEAL的用户访问数据，并导入DB数据库，建立邮件系统的痕迹保留、审计和管理功能。

7)基于邮件系统的SOCKET通信和JAVA的mail功能，增加附加邮件的POP3、SMTP的管理；互联网邮箱的用户名和密码管理，达到基层互联网邮件系统功能。

(3)门户平台的集成

TAMeB提供了对大部分Portal平台的集成接口，可以直接提供LDAP SERVER的V-USER、V-GROUP报头文件，支持门户系统权限管理获取用户信息的报头信息处理需求。