惠普（SSO）灵动单点登录解决方案

方案概述

　　现代企业的信息化建设越来越完善，各种电子邮件系统、网络办公、电子财务、人事管理、针对特定行业的业务系统的信息网络化等进入了千百个企业。而企业业务正常运营时，企业用户需要同时访问多个业务系统，并经常浏览企业内部网中的相关信息资源。由于用户在访问不同业务系统时需要独立访问该业务系统;同时，用户需要在各系统间频繁地切换，操作较复杂，无法快速地获得相关业务信息并加以分析利用，此外，用户在进行业务操作时，需要分别登录到不同的应用系统中，由于系统较多，用户账号或密码遗忘现象时有发生，或者一套简单用户名和密码多系统使用，造成保密强度降低等问题; 而在安全性和系统管理方面，企业需要大量的IT技术管理人员，分别管理和维护不同系统(如：ERP、统计分析、OA、财务、Notes系统等)的用户信息。需要建立可靠、安全、保密的业务系统网络环境，保证企业业务不受破坏和干扰。

　　针对这种状况，企业希望通过实施建立企业级的单点登录系统和安全防护系统，为企业用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台;通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现企业用户高速协同办公和企业知识管理功能。企业的各个业务系统大都采用异构系统(在不同平台上建立不同应用服务器的业务系统)。因此，在确保业务系统独立运行的前提下，要解决单点登录、安全防护和信息保密问题，需要满足如下需求：

　　对多个系统实现单点登录功能的需求

　　外部网络中的移动用户存在安全接入到内部网络并实现单点登录的需求

　　业务系统可以在不同的硬件架构中的需求

　　业务系统可以为异构系统，其运行的操作系统平台和应用服务器可以各部不同，客户端可以使用不同的浏览器的需求用户单点登录时满足用户名/口令认证，证书认证，还能实现少数用户通过USB KEY等硬件认证的需求。

　　最少化改动现有的应用模式和业务系统的需求

　　对后续的业务系统扩充和扩展有良好的兼容性的需求

　　安全防护企业业务系统、以及内部网络用户的需求

　　提供多方位的安全防护功能和审计功能的需求

　　惠普在单点登录技术领域，抛弃了系统综合集成、应用大包大揽的整合、以及异构系统异构解决(插件方式)等实现方法。而是将重点放在实际的单点登录解决中，实现了"即插即用"、"应用无关"、"不知不觉中的单点登录"单点登录解决方安。

　　方案构成

　　通过组合简单的访问控制和SSO功能，惠普SSO为客户提供一个即插即用的SSO解决方案。用户无须修改应用系统(包括WEB应用系统和C/S结构应用系统)，自由选择前置代理和后置代理或组合使用方式。只需简单的配置，即可使用SSO应用功能。惠普SSO系统主要功能包括：

　　单点登录：用户只需登录一次，即可通过单点登录系统(SSO)访问后台的多个应用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。

　　即插即用：通过简单的配置，无须用户修改任何现有B/S、C/S应用系统，即可使用。解决了当前其他SSO解决方案实施困难的难题。

　　多样的身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方式，可单独使用也可组合使用;

　　基于角色访问控制：根据用户的角色和URL实现访问控制功能

基于Web界面管理：系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外，可以使用HTTPS安全地进行管理。

　　全面的日志审计：精确地记录用户的日志，可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。审计结果通过Web界面以图表的形式展现给管理员。

　　双机热备：通过双机热备功能，提高系统的可用性，满足企业级用户的需求。

　　集群：通过集群功能，为企业提供高效、可靠的SSO服务。可实现分布式部署，提供灵活的解决方案。

　　传输加密：支持多种对称和非对称加密算法，保证用户信息在传输过程中不被窃取和篡改。

防火墙：基于状态检测技术，支持NAT。主要用于加强SSO本身的安全，也适用于网络性能要求不高的场合，以减少投资。

　　分布式安装：对物理上不在一个区域的网络应用服务器可以进行分布式部署SSO系统

　　后台用户数据库支持：LDAP、Oracle、DB2、Win2k ADS、Sybase等。可以无缝集成现有的应用系统的统一用户数据库作为SSO应用软件系统的用户数据库。

　　领先的C/S单点登录解决方案：无需修改任何现有的应用系统服务端和客户端即可实现C/S单点登录系统。

客户收益

　　客户将从以下四个方面获得收益：

　　1、风险最小化HP具备完整的产品体系和经过实践检验的标准的方法论，通过采用安全的惠普SSO单点登录/灵动防火墙方案和完善的人员组织建设和培训，以及周密的流程设计和测试演练，建立起一套可行的安全、易用的网络环境，最大限度的降低突发性灾难对您关键业务环境的影响。

　　2、投资回报最大化HP公司SSO单点登录项目管理专家丰富的知识和经验，结合广泛验证的方法和设计技术将大大缩短实现安全的单点登录方案的时间，降低方案实施过程中对现有业务系统的影响。

　　3、改善性能 通过全面而个性化的系统配置和单点登录的部署，企业业务系统更加安全、快捷、方便，其流程文档以及有针对性的知识移交过程，确保您的IT支持人员能在方案实施结束后对整个单点登录/防火墙系统进行有效管理。

　　4、增加灵活性HP还提供后期的关键业务单点登录集成，新业务系统的单点登录集成建议方案和实施方案服务，保证企业的信息化建设可持续的发展。并且提供包括快速响应，及时修复，安全规则审计等针对性的服务支持。

　　HP优势

　　功能优势

　　即插即用：惠普SSO以完全独立于应用系统的方式工作，应用系统完全感觉不到惠普SSO的存在。

　　高可扩展性：企业新部署应用系统通过简单的配置即可纳入SSO系统。

　　应用无关性：同应用系统的平台、开发环境、结构、编程语言以及脚本无关。支持所有的TCP/IP协议的应用环境，能够满足各种Web应用开发环境。

　　满足企业级应用的需求：通过后置代理、双机热备、集群、分布式安装等功能解决一般基于网关的SSO产品面临的性能障碍问题。

　　用户认证信息多样化：支持Web的BA和Form认证方式，Web应用系统的用户名口令可各不相同，支持数字证书认证、支持用户已有的用户数据库等等。

实施优势

　　惠普SSO最大限度地避免用户修改已有的应用系统，为项目的顺利实施提供了可靠的保证。

独特优势

　　惠普的灵动解决方案是专门针对中国中小型企业的一系列解决方案.覆盖了企业需求的方方面面.选择灵动SMB解决方案的优势如下：

　　无忧服务保证：惠普拥有完善的售后服务体系，覆盖全国两百多个城市，随时为您提供服务;统一的免费800电话支持解决了中小企业寻求支持难的问题.

　　强大的技术支持：惠普拥有庞大的软件研发中心GDCC，近千人的研发队伍为您提供坚强的技术后盾，免除中小企业的后顾之忧.

　　中小企业的价格， 完全企业级的解决方案：HP的解决方案绝大多数来源于一些中大型的企业级应用， 经过HP的特别包装， 针对中小企业进行了一系列的定制， 简化安装使用的步骤但不减少产品的功能和性能. 方案灵活易用：随需随用，模块化安装和使用， 简单实用， 方便高效。