架构

Normandy （单点登入登出系统）

版本：1.0

[术语定义]

应用集群：所有共享同一登录网关的内部信息化系统（如运营平台，CI，日志系统，告警平台等）总称

登录网关：管理应用集群中所有应用的登录登出行为

单点登录：当用户登录应用集群中任一应用之后，可以免登录访问应用集群中的其他应用

单点登出：当用户从应用集群中任一应用登出后，需要重新登录才能访问应用集群中的其他应用

1. 业务需求

• 实现应用集群的单点登录登出的效果。
• 所有用户应通过微信企业号完成认证。

1.1 范围说明

考虑到应用集群中很多应用使用的是第三方系统（如Jenkins, Kibana, Zabbix），有独立的认证和授权机制，要集成外部的账号系统难度很大甚至说不可能，因此做如下简化：

• 应用集群中的各个应用仍然使用自己的账号系统
• 本系统只支持认证相关的功能，不涉及授权

2. 技术指标

• 可用性：99%

3. 运行原理

说明：
- 应用网关：负责拦截应用集群中各个应用的登录登出请求
- 登录表单：通过动态生成表单并自动提交实现微信自动登录

4. 系统设计

4.1 系统架构图

模块说明：

• 授权管理：发起授权，除权流程，记录授权状态
  
  • 微信网关：对接企业号完成微信用户认证
  • 登录表单：根据绑定信息针对每个应用动态生成表单实现自动登录
• 绑定设置：管理微信用户和相应的应用内账号的绑定关系，开通状态
• 应用管理：登记应用集群内的所有应用的信息

4.2 模型设计

5. 后续规划

• Basic Authentication认证支持
• HTTPS支持