admin 管理员组文章数量: 887017
一、引言
随着公司信息化建设的发展,部署的应用系统也越来越多。
首先,从用户角度:用户会觉得自己身陷于越来越多的用户账号和密码需要记录,以便于使用各种程序。每个新的系统有不同的密码规则,对密码的长度、有效期、特殊字符的要求等变得更为严格,用户时常还会遗忘密码。
其次,从IT工程师角度:IT工程师管理用户账号和权限的工作也越来越繁重,且无太多技术含量和附加价值。
最后,从信息安全角度:当用户离职时,可能会存在禁用账号不及时,或部分应用系统账号忘记禁用的情况,增加了潜在的风险。
为了解决上述问题,公司急需部署一套单点登录系统。联系过两家供应商,两套系统都是按用户数量、对接的业务系统数量来收费,初步报价均在150万以上,今年又增加了几家子公司和两套应用系统,实施价格预计在200万以上。
鉴于此,结合我们的实际情况,我设计了具有兆驰特色的单点登录系统,虽不能与商业软件媲美,但能够有效解决前述的痛点,满足我们的管理需求。也希望51CTO的网友提出宝贵的意见。
二、基于Windows AD的单点登录系统介绍
2.1基本功能介绍
该系统主要实现以下三个方面的功能:
-
共享一个身份认证系统
各应用系统与Windows AD和HR系统集成,基于Windows AD的用户数据库,实现用一套账号和密码登录多个应用系统,解决用户需要记录多套用户名和密码的问题,以及离职时因账号禁用不及时或忘记禁用带来的潜在风险。
-
通过岗位角色自动分配权限
首先规划定义好各岗位的标准权限,即规划每一个岗位在各应用系统中的权限类型,上网权限类型、电脑类型、电话权限等。当新员工分配到该岗位时,其账号将自动开通预设的权限,岗位变动、权限的变更通过流程来控制。
-
统一员工入口,实现单点登录
目前每一个应用系统都有自己的登录窗口,如HR系统、OA系统、PLM系统、MES系统、关务系统等。随着部署的应用系统越来越多,用户需要记住多个系统的访问地址,工作中也会需要同时到多套系统中查询信息。虽然我们是企业内部的信息化系统,但仍然符合简单方便、安全高效的互联网系统思维,所有系统只有一个PC端入口和一个移动端入口,员工登录后,能查询个人信息、企业公告、水电费、固定资产、小资产、借款、考勤、待办流程、申请流程等工作,给员工一个简单、便捷的信息化门户平台。尤其是公司规模逐步扩大,集团化运营后,更迫切需要一个统一的企业内部信息化门户,提高员工的工作效率,同时提升企业形象。
以上三个功能,我们将分三个阶段逐步实现,本文先讲第一部分。
2.2单点登录系统逻辑架构
123.jpg
(图一)
-
唯一的用户基本信息入口:
用户基本信息主数据存放在HR系统,由HR部门负责管理,信息中心无权修改。当新员工入职时,在HR系统中录入基本信息,指定岗位角色。
-
在Windows AD域实时创建账号和密码
连接HR系统和Windows AD域,当在HR系统中录入新员工信息时,实时自动地在Windows AD域中创建AD账号,并设置随机初始化密码,该账号和密码作为员工访问公司各应用系统的凭证,账号和密码通过短信发送至新员工手机上,员工登录系统后可修改初始密码。
版权声明:本文标题:基于Windows AD的单点登录系统 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1729040556h1310332.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论