系统
用户 管理员
• 应用系统对认证、访问控制的 安全措施不完善，影响整个安 全体系
未来需求 我们需要这样一个协作平台
统一的信息资源认证访问入口 统一的权限控制 易用性、安全性、可靠性
最少化改动现有的业务系统
同一个用户，不 应该记忆多套用户名 密码
解决方案 解决之道----统一认证管理
信息 岗位1
基于CAS的单点登录系统设计与实现
信息中心
目录
现有问题分析 解决方案 总结
现状分析
面临的问题：
用户
• 记忆针对多个应用的多个凭证 • 访问多个系统需要多次登录
管理员
• 每个应用都对应一套用户管理， 针对一个用户，无论增/删/改， 都需要多次操作
• 每个应用都有不同的权限管理， 复杂的操作带来安全隐患 • 各应用信息资源不共享，形成 信息孤岛
方案实现 核心技术
改进认证服务 器程序的认证 模式
AD
SSO
改进客户端认证：研 究院内部所有计算机 终端建立统一的AD域
CAS
Kerberos
应用系统
应用系统直接获取本地 用户的域账户，然后将 该账户传递给CAS，通 过CAS与AD进行信息正 确性的验证
方案总结
基于CAS的单点登录系统
基于AD用户 权限管理平台， 从根本上解决 权限分配问题
单点登陆
•授权管理 •身份认证 应用
数据
单点登陆
岗位2
单点登陆
权限管理员
岗位3
方案验证 解决方案的验证
KMS
以KMS系统为切入点， 通过对KMS系统的二 采用CAS来搭建单 次开发，实现KMS系 点登录的服务器架 统的单点登录
CAS
AD
CAS通过ticket将验 构，改进CAS验证 证信息传递到AD， 模式，采用kerberos 通过kerberos的解密 进行加密和解密 最终实现用户信息 的验证和返回
一键登录， 不需输入用 户名和密码
灵活性和可 扩展性，方 便未来业ቤተ መጻሕፍቲ ባይዱ 系统的扩展