系统实施方案

架构图如图1所示。其中统一身份认证系统采用微软公司ActiveDirectory域服务管理功能，操作系统采用Windows Server 2008，提供标准LDAP目录服务，为了保证统一身份认证系统的高可用，AD域采用双机实施方案。

单点登录系统依托企业门户来实现单点登录功能，门户首先实现AD域身份认证，并与各信息系统建立集成接口，将认证信息传输给其它信息系统认证模块，同时其它信息系统具备识别统一身份认证系统认证信息的模块。

1.统一身份认证实施方案

图1 统一身份认证和单点登录系统架构图

在企业部署两台PC服务器，安装微软公司Windows 2008操作系统，在两台服务器上部署微软公司AD产品，系统采用高可用方案双机部署模式，实现了企业统一身份认证服务并提供较高可用性。在域控服务器上，通过dcpromo命令安装ActiveDirectory服务，安装完毕即可配置完成企业LDAP目录树，实现企业部门和员工身份信息集中存储，构建完整统一的身份管理系统。

2.单点登录系统实施方案

依托企业门户系统实现门户系统与统一身份认证集成，单点登录系统在获取身份认证Ticket后，将门户系统认证身份、时间戳、Token信息传递到信息系统认证接口中，信息系统识别单点登录认证信息后，返回认证Ticket，从 而实现信息系统单点登录。为了保证单点登录系统的高可用，门户系统采用双机集群负载均衡实施方案，能够实现双机集群自动切换及负载动态分担，提供稳定单点登录服务。

单点登录系统为了保证身份认证安全，随机生成时间戳，部分代码如下：

单点登录系统为了保证Toke信息不被篡改，系统对Toke进行加密，加密代码如下：

3.认证模块标准化

对于已建设信息系统，通过对其身份认证功能改造，实现统一身份认证，同时识别门户单点登录系统Ticket以完成单点登录系统集成。对于新建设设信息系统，要求系统实施商嵌入该身份认证模块，完成统一身份认证，认证部分代码如下：

系统安全性

1.构建服务器区安全域，部署服务器区防火墙。

2.服务器上部署防病毒软件，保证终端安全。

3.实施AD域双机部署，保证统一身份认证系统高可用。

4.实施门户双机集群负载均衡，实现单点登录系统负载均衡。

5.开展服务器安全基线配置，定期开展漏洞扫描、补丁更新及加固工作。

6.通过IT运维审计系统，实现系统运维安全。