SSL结合AD域实现业务系统单点登录 By travelnight
最近遇到一个项目,客户想实现ssl设备和OA系统做到统一的用户名,并且实现单点登录。决定使用SSL和AD域做外部认证,结合构建参数的方式来做单点登录,在和客户沟通完之后,搭建了一个测试环境来验证了一下,下面分享给大家。
一. 客户使用需求场景 客户内网有多个业务系统,所有业务系统的账号都是走AD域同步的。希望实现登录SSL VPN之后,直接点击资源页面上的业务系统链接,直接可以访问登录到系统里面去。无需重复输入用户名密码。我们就可以使用SSL和AD做一个外部认证,同时使用构建参数的方法来实现单点登录。 二. 测试拓扑图 三. 数据走向 1. 用户在外网电脑登录VPN输入AD域的用户名。 2. SSL收到登录信息之后,需要到LDAP服务器上去认证,认证成功后LDAP服务器会将校验信息返回给SSL设备,同时用户登录SSL VPN成功。 3. 用户点击配置好单点登录的http、https资源。Ssl直接填入VPN用户登录使用的用户名和密码。直接进入到OA系统里面。 四. 配置步骤 1. Vpn对接AD域服务器。
配置好AD域服务器相关信息。这里注意一下管理员的路径格式。用户的搜索入口选择OA用户所在的组即可。
因为所有用户账号都是域账号,用户数比较多,建议用组映射的方式来做认证,方便管理。这里是做测试,我们直接把用户映射到VPN的一个“AD域”这组里面,并且关联相应的角色。
2. VPN配置构建参数的方式单点登录 ① 确定业务系统的网页编码和请求方式。这里我们可以用chrome浏览器开发人员工具来查看。打开业务系统登录页面,按F12呼出开发人员工具,查看代码。
以上可以看出,网页编码为utf-8,请求方式是post。 ② 使用httpwatch工具来抓去登录页面提交登录信息的url以及用户名密码的相关参数。首先打开IE,呼出httpwatch工具,点击recoder然后访问并且登录业务系统。
这里可以看到用户名参数的textfield 密码的参数是textfield2。 ③ 新建http资源,地址就是post参数的那个地址,启用单点登录。
④ 单点登录使用自动构建访问请求。
⑤ 添加参数,并选择正确的参数类型。
⑥ 保存资源,将资源关联给用户。 五. 用户实现效果 vpn用户登录之后直接点击SSO资源,直接可进入系统。实现所有业务系统只需要一个账号登录一次即可。
直接登录成功,进入到系统实现单点登录。
六.注意事项1. oa系统的用户必须和AD域同步,或者说保持一致。 2. 资源地址必须是httpwatch 抓取的 post 提交的 url 地址。 3. 单点登录注意网页编码格式的选择。 |