本文将在清明前后详细成文,敬请关注。

(老方注:深信服上网行为本身也集成了一些SSO的解决方案,但那些均不能在我们公司很好的实现。而且,经过我与他们的产品组的开发人员交流,我下面所提供的方法,是以前没有过的。)

背景:公司在全国近五十家大型购物中心(分支机构)部署上深信服的上网行为管理,目前采用的了到LADP服务器认证的方式,也就是所有的用户在访问INTERNET之前,会弹出一个告示页面,提醒上网行为将被记录(法律与隐私),如果同意,就在弹出的对话框中输入域中的用户名和密码(外来人员找谁,由谁来输入凭证)。

          但现在有几个问题(用户体验方面的,在我们公司,用户体验或者说满意度是很重大的事情)越来越突出了,同时也是深信服上网行为产品的一些功能上的不足(他们已做的相当好了,但我们的要求可能有点*&%¥##@):

          提醒:详细的深信服的上网行为设备的设置及使用方法本文不过多涉及,但本人对深信服的开发人员的能力、态度及这款产品还是较为认可的。同时本人对看过此文可能造成的用户对深信服务上网行为的过多的要求不负责任。

          1、用户机器IP地址变化时,需要多次输入认证凭证:

               我们要求的是一天只需要认证一次,也就是说一天只需要输入一次用户和密码。但是当用户的IP地址变化时,仍需要再输入一次,这就造成很多在有线和无线网络之间转换的同事每天要重复很多的“劳动”。

               所以,我提出要求:IP地址无论如何变化,只要是访问INTERNET时通过上网行为,就不需要再输入上网凭证。

         2、用户离线登录域(缓存登录),再连线域时不需输入凭证。

         综合起来的要求就是,当当前上网的用户是域用户时,就只弹出警示界面(上网行为警告,法律和隐私),并可选同意不同意,同时在查看报表时可以查到以用户为主的上网行为记录。如果不是域用户时(一般是外来人员,不是公司域成员),不但要弹出警示界面,还要弹出输入用户名和密码的窗口(和现在的认证一样的方式)。

          也就是说:和域集成验证结合起来,实现单点登陆,同时又可以保证上网行为记录查询等。

           这个要求,看出来简单,但包含了1和2等多种情况了。

           采用什么样的方法,并如何配置,以及我是怎么想到这样的方法的,将在清明节期间奉献给大家,这其中主要就是讲如何实现IIS的集成验证的

   1、使用IP访问时的情况及原理

   2、使用计算机名访问时的情况及原理

         使用DNS(FQDN)访问时的情况

实现深信服上网行为的单点登录(域中IIS集成验证)_第1张图片

 

》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》