基于Windows AD的单点登录系统

一、引言
随着公司信息化建设的发展,部署的应用系统也越来越多。

首先,从用户角度:用户会觉得自己身陷于越来越多的用户账号和密码需要记录,以便于使用各种程序。每个新的系统有不同的密码规则,对密码的长度、有效期、特殊字符的要求等变得更为严格,用户时常还会遗忘密码。

其次,从IT工程师角度:IT工程师管理用户账号和权限的工作也越来越繁重,且无太多技术含量和附加价值。

最后,从信息安全角度:当用户离职时,可能会存在禁用账号不及时,或部分应用系统账号忘记禁用的情况,增加了潜在的风险。

为了解决上述问题,公司急需部署一套单点登录系统。联系过两家供应商,两套系统都是按用户数量、对接的业务系统数量来收费,初步报价均在150万以上,今年又增加了几家子公司和两套应用系统,实施价格预计在200万以上。

鉴于此,结合我们的实际情况,我设计了具有兆驰特色的单点登录系统,虽不能与商业软件媲美,但能够有效解决前述的痛点,满足我们的管理需求。也希望51CTO的网友提出宝贵的意见。

二、基于Windows AD的单点登录系统介绍
2.1基本功能介绍
该系统主要实现以下三个方面的功能:

  1.    共享一个身份认证系统
    

各应用系统与Windows AD和HR系统集成,基于Windows AD的用户数据库,实现用一套账号和密码登录多个应用系统,解决用户需要记录多套用户名和密码的问题,以及离职时因账号禁用不及时或忘记禁用带来的潜在风险。

  1.    通过岗位角色自动分配权限
    

首先规划定义好各岗位的标准权限,即规划每一个岗位在各应用系统中的权限类型,上网权限类型、电脑类型、电话权限等。当新员工分配到该岗位时,其账号将自动开通预设的权限,岗位变动、权限的变更通过流程来控制。

  1.    统一员工入口,实现单点登录
    

目前每一个应用系统都有自己的登录窗口,如HR系统、OA系统、PLM系统、MES系统、关务系统等。随着部署的应用系统越来越多,用户需要记住多个系统的访问地址,工作中也会需要同时到多套系统中查询信息。虽然我们是企业内部的信息化系统,但仍然符合简单方便、安全高效的互联网系统思维,所有系统只有一个PC端入口和一个移动端入口,员工登录后,能查询个人信息、企业公告、水电费、固定资产、小资产、借款、考勤、待办流程、申请流程等工作,给员工一个简单、便捷的信息化门户平台。尤其是公司规模逐步扩大,集团化运营后,更迫切需要一个统一的企业内部信息化门户,提高员工的工作效率,同时提升企业形象。

以上三个功能,我们将分三个阶段逐步实现,本文先讲第一部分。

2.2单点登录系统逻辑架构
123.jpg

(图一)

  1.    唯一的用户基本信息入口:
    

用户基本信息主数据存放在HR系统,由HR部门负责管理,信息中心无权修改。当新员工入职时,在HR系统中录入基本信息,指定岗位角色。

  1.    在Windows AD域实时创建账号和密码
    

连接HR系统和Windows AD域,当在HR系统中录入新员工信息时,实时自动地在Windows AD域中创建AD账号,并设置随机初始化密码,该账号和密码作为员工访问公司各应用系统的凭证,账号和密码通过短信发送至新员工手机上,员工登录系统后可修改初始密码。

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值