SSL结合AD域实现业务系统单点登录

好贴、好贴，建议楼主加精华！！！

SSL结合AD域实现业务系统单点登录

By  travelnight

        最近遇到一个项目，客户想实现ssl设备和OA系统做到统一的用户名，并且实现单点登录。决定使用SSL和AD域做外部认证，结合构建参数的方式来做单点登录，在和客户沟通完之后，搭建了一个测试环境来验证了一下，下面分享给大家。

一.  客户使用需求场景

客户内网有多个业务系统，所有业务系统的账号都是走AD域同步的。希望实现登录SSL VPN之后，直接点击资源页面上的业务系统链接，直接可以访问登录到系统里面去。无需重复输入用户名密码。我们就可以使用SSL和AD做一个外部认证，同时使用构建参数的方法来实现单点登录。

二.  测试拓扑图

三.  数据走向

1.      用户在外网电脑登录VPN输入AD域的用户名。

2.    SSL收到登录信息之后，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSL VPN成功。

3.    用户点击配置好单点登录的http、https资源。Ssl直接填入VPN用户登录使用的用户名和密码。直接进入到OA系统里面。

四.  配置步骤

1.      Vpn对接AD域服务器。

配置好AD域服务器相关信息。这里注意一下管理员的路径格式。用户的搜索入口选择OA用户所在的组即可。

                因为所有用户账号都是域账号，用户数比较多，建议用组映射的方式来做认证，方便管理。这里是做测试，我们直接把用户映射到VPN的一个“AD域”这组里面，并且关联相应的角色。

2.      VPN配置构建参数的方式单点登录

①  确定业务系统的网页编码和请求方式。这里我们可以用chrome浏览器开发人员工具来查看。打开业务系统登录页面，按F12呼出开发人员工具，查看代码。

                  

                         以上可以看出，网页编码为utf-8，请求方式是post。

②  使用httpwatch工具来抓去登录页面提交登录信息的url以及用户名密码的相关参数。首先打开IE，呼出httpwatch工具，点击recoder然后访问并且登录业务系统。

这里可以看到用户名参数的textfield   密码的参数是textfield2。

③  新建http资源，地址就是post参数的那个地址，启用单点登录。

④  单点登录使用自动构建访问请求。

  

⑤  添加参数，并选择正确的参数类型。

     

⑥   保存资源，将资源关联给用户。

五.  用户实现效果

vpn用户登录之后直接点击SSO资源，直接可进入系统。实现所有业务系统只需要一个账号登录一次即可。

直接登录成功，进入到系统实现单点登录。

六．注意事项

1. oa系统的用户必须和AD域同步，或者说保持一致。

2. 资源地址必须是httpwatch 抓取的 post 提交的 url 地址。

3. 单点登录注意网页编码格式的选择。