致远OA单点登陆解决方案

单点登录解决方案随着信息技术和网络技术在组织机构中的广泛应用，很多机构单位已经拥有了各种各样的应用系统，如OA办公自动化系统、HR人力资源管理系统、财务系统、CRM客户关系管理系统、企业ERP系统、政府网上审批系统、学校一卡通系统、以及各种业务应用系统。

但用户要想享受到这些应用系统带来的诸多好处，就需要登录到许多不同的应用系统中，而每个系统都要求用户遵循其独立的身份认证安全策略，比如要求输入用户ID和口令。

用户所使用的应用系统越多，登录时出错的可能性就会越大，受到非法截获和破坏的可能性也会大大增加，系统的安全性就会相应降低；而如果用户忘记了口令，不能正确的登录系统，就需要请求管理员的帮助，而且只能在重新获得口令之前等待，造成了系统和安全管理资源的不必要的开销，降低了系统的使用效率。

有时，用户为避免这种尴尬情况的出现，也为记清楚登录信息，通常会采用简化用户名、密码，或者在多个系统中使用相同的口令，或者干脆将密码记录在笔记本上的做法，而这些都是会危及企业信息安全的几种不良的习惯。

此外，通常情况下，各个应用系统都存在自己独立的用户信息数据库和授权管理机制，故而如何实现中央用户目录数据、门户用户数据与各应用系统用户数据之间的用户数据同步和登录帐号/密码的对照，也是信息化建设面临的重要挑战之一。

正是基于上述安全风险和挑战，门户平台CenGRP提供了一站式单点登录(SSO，Single Sign-On)功能，即通过用户的一次性鉴别登录，可获得需访问系统和应用软件的授权，在此条件下，用户可对所有被授权的各类信息资源进行无缝的访问，管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制，实现“一次登录、随处访问/全网漫游”；从而提高用户的工作效率，减少操作时间，降低用户安全管理的复杂度，并提高信息系统整体的安全性。

通过单点登录：z从用户角度讲，能及时的访问到所需的资源，提高了生产效率；避免了记忆多个用户名、密码，增强了用户体验；z从安全角度讲，单点登录为其他应用系统提供了功能更强的身份认证机制，从而提高了整体的安全性；z从管理角度看，单点登录有助于减少口令重复设置请求，减少了系统维护人员的工作量。

单点登录解决方案引言随着互联网的快速发展，单点登录（Single Sign-On，SSO）已经成为各种网络应用中的常见需求。

单点登录指的是用户只需通过一次身份验证，即可在多个应用中访问和使用资源，而无需再次输入用户名和密码。

这大大提高了用户的使用体验，减轻了用户的负担。

本文将介绍单点登录的基本原理以及实现单点登录的常见解决方案。

基本原理单点登录的基本原理包括三个主要组成部分：身份提供者、服务提供者和用户。

身份提供者是负责用户身份验证和授权的服务，通常是一个独立的认证系统，如LDAP、Active Directory等。

服务提供者是各个应用系统，它们依赖于身份提供者来验证用户身份和授权。

用户是最终需要访问各个应用系统的个体。

在单点登录的过程中，当用户访问一个需要身份验证的应用系统时，该系统会将用户重定向到身份提供者进行身份验证。

一旦验证成功，身份提供者将生成一个令牌（Token），并将用户重定向回原始应用系统。

应用系统使用该令牌进行身份验证和授权，从而免除用户在每个应用系统中重复登录的繁琐过程。

解决方案1. 基于代理服务器的单点登录基于代理服务器的单点登录是一种简单且传统的解决方案。

该方案将所有应用系统的流量通过一个代理服务器进行转发，该代理服务器负责身份验证和授权。

用户在访问应用系统之前，需要先登录到代理服务器。

代理服务器通过验证用户的身份后，将用户请求转发到对应的应用系统，并将验证信息添加到请求中。

这种解决方案的优点是简单易用，无需对应用系统进行任何修改。

但是同时也存在一些限制，如需要单独设置代理服务器、影响网络性能等。

2. 基于令牌的单点登录基于令牌的单点登录方案将用户身份信息存储在令牌中，令牌在各个应用系统之间进行传递和验证。

当用户登录成功后，身份提供者会生成一个令牌，并将其返回给用户。

用户在访问其他应用系统时，将该令牌带上并提交到应用系统中进行验证。

这种解决方案的优点是实现相对较为简单，使用方便。

1.在SeeyonReport的同目录下，放一个报表工程WebReport，如下图1所示：图1然后之后访问的报表url，都是访问这个WebReport，譬如访问fs的具体URL是http://localhost/WebReport/ReportServer?op=fs，(ip根据致远实际情况修改)，然后将该url挂在致远OA的某个链接上。

譬如将其挂在致远OA的关联系统里面，系统管理员给test用户的关联系统挂了一个fs的链接，如图2所示：图2然后test用户登录OA后，可以看到关联系统里面有一个帆软报表的链接，如下图3所示：图32.与刚部署的WebReport的fs做单点登录。

由于致远的限制，在WebReport里面不能获取到当前登录OA的用户名和密码，而又想要单点登录fs，这时候可以修改致远OA的登录页面，获取到登录OA 的用户名和密码，然后加上我们的Ajax单点登录。

注意，由于涉及到中文用户名，需要用到cjkEncode方法，而如果直接引用finereport.js，会和致远的js 冲突，因此需要重写cjkEncode方法。

其OA登录页面为Seeyon\A8\ApacheJetspeed\webapps\seeyon\main\login\default\login.jsp, 在它的loginButtonOnClickHandler方法内，加上我们的Ajax单点登录，同时，新增一个cjkEnocde的function。

具体代码见改文件目录的login.jsp。

然后，将OA里的用户同步到WebReport里。

首先，连上OA的数据库(以MySQL 为例)，然后建立一个服务器数据集，通过SELECT as department, as role, as username,a.login_name,a.credential_valueFROM dbo.[ORG_PRINCIPAL] a left join _MEMBER m ona.member_id=m.idleft join dbo.[ORG_POST]p on p.id=_post_idleft join dbo.[ORG_UNIT]org on org.id=_department_id如下图4，图5所示：图4图5可以看到，其密码都是加密过的，因此需要我们fs配置自定义加密类。

统一用户认证和单点登录解决方案本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系统时所遇到的重复登录问题。

随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。

比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。

由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户带来了不少麻烦。

特别是随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。

针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被应用到企业应用系统中。

1 统一用户管理的基本原理一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。

当用户需要使用多个应用系统时就会带来用户信息同步问题。

用户信息同步会增加系统的复杂性，增加管理的成本。

例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中都创建用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。

如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。

用户同步时如果系统出现意外，还要保证数据的完整性，因而同步用户的程序可能会非常复杂。

解决用户同步问题的根本办法是建立统一用户管理系统（UUMS）。

UUMS 统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过UUMS 完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。

UUMS应具备以下基本功能：1．用户信息规范命名、统一存储，用户ID全局惟一。

用户ID犹如身份证，区分和标识了不同的个体。

2．UUMS向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等属性，各应用系统可以选择本系统所需要的部分或全部属性。

致远协同办公o a系统移动办公解决方案致远协同办公平台整体解决方案之移动篇北京致远互联软件股份有限公司2022年3月23日目录1 移动篇 (1)1.1 概述 (1)1.2 技术路线 (3)1.3 系统架构 (4)1.4 安全保障 (5)1.5 移动办公平台 (6)1.5.1 概述 (6)1.5.2 平台架构图 (6)1.5.3 主要构成部分 (7)1.5.4 实现原理 (10)1.5.5 平台的特性 (12)1.6 移动产品M3 (13)1.6.1 手势密码登录 (14)1.6.2 多终端同时在线 (14)1.6.3 移动门户 (15)1.6.4 消息中心 (16)1.6.5 移动办公 (17)1.6.6 移动公文 (22)1.6.7 移动会议 (25)1.6.8 日程管理 (28)1.6.9 签到 (29)1.6.10 移动业务管理 (30)1.6.11 移动看板 (31)1.6.12 公告和新闻 (33)1.6.13 全局搜索和快捷操作 (34)1.6.14 知识文档 (35)1.6.15 移动通讯录 (37)1.6.16 个人行为绩效 (38)1.6.17 企业风采 (39)1.6.18 移动工资条 (40)1.6.19 水印安全 (41)1.6.20 我的收藏 (41)1.6.21 移动分享 (42)1.7 移动集成平台 (43)1.7.1 系统注册 (44)1.7.2 门户配置 (45)1.7.3 用户管理 (45)1.7.4 消息待办配置 (46)1.8 移动智能机器人 (46)1.8.1 工作提醒 (47)1.8.2 工作协作 (47)1.8.3 信息查询 (47)1.8.4 快捷命令 (48)1移动篇1.1概述伴随互联网应用的不断扩大，企业传统网站已经成为企业一个不可或缺的展示平台，通过互联网向客户提供企业、产品等信息，使客户在与企业联系前就能有一个基本的认识，同时降低了企业逐个向客户推广的时间和人力物力等成本。

单点登录解决方案1、信息系统使用中存在的问题随着信息技术的发展，各个单位信息系统规模越来越庞大，在信息系统的使用和管理中出现了新的问题，主要表现在：z大量业务系统的出现要求用户必须记住许多“用户名/口令”才能访问他所在的网络内的不同资源，给信息系统用户带来了很大不便；z为了增加信息系统的整体安全性，每个业务系统都要求用户使用不同的密码，并且要保证密码的长度和复杂度满足一定的规则和条件，同时每个密码还要定期更换，以防止被破解或丢失，给用户使用信息系统带来了很大困难；z系统管理员为了维护各个业务系统，不得不重复管理不同业务系统中的同一用户的不同帐号，这种繁杂的工作增加了管理员的工作强度，同时也容易造成管理员的错误配置，从而降低了整个信息系统的安全性。

“如何有效管理信息系统中的帐号，简化用户和帐号管理，减少用户操作，提高工作效率和管理效率？”成为信息系统应用中要解决的重要问题。

国瑞公司在长期的工程实践基础上提出了基于国瑞公司DigitalTrust TM产品的信息系统帐号集中管理和单点登录解决方案。

2、帐号集中管理和单点登录解决方案基于国瑞公司DigitalTrust TM产品的帐号集中管理和单点登录解决方案逻辑结构图如下：该解决方案通过部署DigitalTrust TM的帐号管理系统和单点登录服务，并通过DigitalTrust TM产品提供的B/S安全代理和C/S接口整合B/S业务系统和C/S业务系统，从而实现业务系统帐号的集中管理（帐号的自动搜集、自动创建、修改和删除）、用户登录业务系统的单点登录功能。

3、方案特点和效果该方案具有如下特点z部署简单方便z业务系统整合简单、易于操作z支持IIS、Apache、Tomcat、Weblogic、Websphere、Domino等多种WEB 服务器z帐号集中管理z支持帐号的自动搜集、自动创建和自动维护管理z支持从人事系统等现有业务系统中获取用户原始信息z支持帐号映射、直接修改等多种整合方式z用户集中管理z集中身份认证，单点登录功能z支持用户名/口令、动态口令、数字证书等多种认证方式该方案部署后效果z提高信息系统的使用效率用户只需要一次登录，就可以访问能够访问的业务系统，从而简化了操作提高了效率。

单点登录解决方案1. 简介随着互联网应用的快速发展，用户对于便捷的登录方式提出了更高的要求。

为了解决用户面临的繁琐的多次登录问题，单点登录（SSO）应运而生。

单点登录是一种身份验证方式，允许用户在多个应用系统中使用同一组凭据（例如用户名和密码）进行登录，从而实现一次登录即可在多个应用系统中访问资源的目的。

在本文中，我们将介绍单点登录的工作原理和常用的解决方案，以及其中的一些实施细节。

2. 工作原理单点登录的核心思想是用户只需要登录一次，就可以在多个应用系统中进行访问。

其工作原理如下：•用户访问第一个应用系统（通常称为身份提供者）并输入凭据进行登录。

•身份提供者验证用户的凭据，并颁发一个令牌。

•用户访问其他应用系统时，令牌会被传递给每个应用系统。

•每个应用系统使用这个令牌来验证用户的身份，并授权其访问该应用系统的资源。

通过这种方式，用户可以在不需要多次输入登录凭据的情况下，方便地访问多个应用系统。

3. 常用解决方案下面介绍几种常见的单点登录解决方案。

3.1 基于Cookie的单点登录基于Cookie的单点登录是最简单和最常见的解决方案之一。

其工作原理如下：1.用户登录第一个应用系统后，该系统会将用户信息加密并存储在一个Cookie中。

2.用户访问其他应用系统时，该系统会验证Cookie并提取用户信息。

3.如果验证通过，用户将被授权访问该应用系统的资源。

优点： - 简单易行，适用于大多数Web应用。

- 无需修改现有的用户数据库。

缺点： - 存在Cookie劫持的风险。

- 无法支持跨域访问。

3.2 基于Token的单点登录基于Token的单点登录是一种更安全和灵活的解决方案。

其工作原理如下：1.用户登录第一个应用系统后，该系统会颁发一个Token给用户。

2.用户在访问其他应用系统时，会将Token附加在请求中。

3.每个应用系统通过验证Token来确认用户的身份，并授权其访问该系统的资源。

优点： - 提供更高的安全性，因为Token是加密的。