基于Windows AD的单点登录系统

一、引言
随着公司信息化建设的发展，部署的应用系统也越来越多。

首先，从用户角度：用户会觉得自己身陷于越来越多的用户账号和密码需要记录，以便于使用各种程序。每个新的系统有不同的密码规则，对密码的长度、有效期、特殊字符的要求等变得更为严格，用户时常还会遗忘密码。

其次，从IT工程师角度：IT工程师管理用户账号和权限的工作也越来越繁重，且无太多技术含量和附加价值。

最后，从信息安全角度：当用户离职时，可能会存在禁用账号不及时，或部分应用系统账号忘记禁用的情况，增加了潜在的风险。

为了解决上述问题，公司急需部署一套单点登录系统。联系过两家供应商，两套系统都是按用户数量、对接的业务系统数量来收费，初步报价均在150万以上，今年又增加了几家子公司和两套应用系统，实施价格预计在200万以上。

鉴于此，结合我们的实际情况，我设计了具有兆驰特色的单点登录系统，虽不能与商业软件媲美，但能够有效解决前述的痛点，满足我们的管理需求。也希望51CTO的网友提出宝贵的意见。

二、基于Windows AD的单点登录系统介绍
2.1基本功能介绍
该系统主要实现以下三个方面的功能：

1.    共享一个身份认证系统
   

各应用系统与Windows AD和HR系统集成，基于Windows AD的用户数据库，实现用一套账号和密码登录多个应用系统，解决用户需要记录多套用户名和密码的问题，以及离职时因账号禁用不及时或忘记禁用带来的潜在风险。

2.    通过岗位角色自动分配权限
   

首先规划定义好各岗位的标准权限，即规划每一个岗位在各应用系统中的权限类型，上网权限类型、电脑类型、电话权限等。当新员工分配到该岗位时，其账号将自动开通预设的权限，岗位变动、权限的变更通过流程来控制。

3.    统一员工入口，实现单点登录
   

目前每一个应用系统都有自己的登录窗口，如HR系统、OA系统、PLM系统、MES系统、关务系统等。随着部署的应用系统越来越多，用户需要记住多个系统的访问地址，工作中也会需要同时到多套系统中查询信息。虽然我们是企业内部的信息化系统，但仍然符合简单方便、安全高效的互联网系统思维，所有系统只有一个PC端入口和一个移动端入口，员工登录后，能查询个人信息、企业公告、水电费、固定资产、小资产、借款、考勤、待办流程、申请流程等工作，给员工一个简单、便捷的信息化门户平台。尤其是公司规模逐步扩大，集团化运营后，更迫切需要一个统一的企业内部信息化门户，提高员工的工作效率，同时提升企业形象。

以上三个功能，我们将分三个阶段逐步实现，本文先讲第一部分。

2.2单点登录系统逻辑架构
123.jpg

（图一）

1.    唯一的用户基本信息入口：
   

用户基本信息主数据存放在HR系统，由HR部门负责管理，信息中心无权修改。当新员工入职时，在HR系统中录入基本信息，指定岗位角色。

2.    在Windows AD域实时创建账号和密码
   

连接HR系统和Windows AD域，当在HR系统中录入新员工信息时，实时自动地在Windows AD域中创建AD账号，并设置随机初始化密码，该账号和密码作为员工访问公司各应用系统的凭证，账号和密码通过短信发送至新员工手机上，员工登录系统后可修改初始密码。