NC单点登录方案
NC单点登录方案
一.登录方案示意图
二.过程说明
1.当客户端用户希望进入NC系统时,首先向外部的认证系统提交请求。
2.由外部认证系统向nc服务器注册客户端的登录信息,这些信息是nc系统所必需的信息。可以通过一个随机的键值key来索引登录信息。
3.客户端将通过该键值来进入nc系统。即客户端将向nc应用服务器提交其键值。nc 服务器将利用该键值从注册中心中获取登录信息(同时注销注册信息)。然后利用这些登录信息登录到NC系统。
4.超时处理:注册的登录信息有其生命期,超过生命期的注册信息将会被清除。客户端只能在超时以前登录nc才有效,否则不能进入nc系统。超时的值在配置文件中进行配置
三.url格式
1.注册用的url
外部系统服务器利用此url向nc服务器注册登录信息。
http://localhost/servlet/nc.bs.sm.login2.RegisterServlet?key=111111&workdate=2003-0 7-16&language=simpchn&usercode=1&pwd=1
注:usercode和pwd是必须的。它用于确定用户身份,以保证NC系统的安全。
workdate用于提供登录日期,
language用于提供登录的语种。
key值为注册登录信息的键值,必须保证唯一。
http://localhost/service/RegisterServlet?key=111111&accountcode=nc061115&workdate=2003-07 -16&language=simpchn&usercode=1&pwd=1
2.登录用的url
外部系统服务器注册完毕后,返回客户端该url,使客户端重定向到该url,实现登录NC http://localhost/servlet/nc.bs.sm.login2.Login?key=111111
注:其中key的取值和注册时的值一致
http://localhost/login.jsp?key=111111
四,注册用的url后可选的参数为
"accountcode" 帐套编码
"dsname" 数据源名称
"pkcorp" 公司主键
"workdate" 登录时间
"language" 语种
"isencode" 密码是否加密取值为Y/N
“height”客户端分辨率的高度值
“width”客户端分辨率的宽度值
五:配置文件ierp\bin\exterior.xml:
该文件用于配置在单点登录中能够注册登录信息的主机ip和注册信息的超时值。这些配置都是出于对安全的考虑,因为只有在该文件中配置的主机才能向nc服务器注册登录信息。
exterior.xml的内容为:
统一认证系统_设计方案
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
单点登录技术方案
xxxx集团 单点登录技术方案
目录 1. xxxx集团系统建设现状 (4) 1.1. Web应用系统 (4) 1.2. C/S应用系统 (4) 1.3. SSL VPN系统 (4) 2. xxxx集团单点登录系统需求 (5) 2.1. 一站式登录需求 (5) 3. SSO(单点登录)技术简介 (6) 3.1. 修改应用程序SSO方案 (6) 3.2. 即插即用SSO方案 (7) 3.3. 两种SSO方案比较 (7) 3.4. 惠普SSO (7) 3.4.1. 惠普SSO开发背景 (7) 3.4.2. 惠普SSO的功能 (8) 3.4.3. 惠普SSO的特点 (9) 3.4.4. 惠普SSO结构 (10) 4. xxxx集团单点登录技术方案 (11) 4.1. 应用系统中部署惠普SSO单点登录 (11) 4.1.1. 解决全局的单点登录 (12) 4.1.2. 应用系统的整合 (12) 4.1.3. 用户如何过渡到使用单点登录 (13) 4.1.4. 管理员部署业务系统单点登录功能 (14) 4.1.5. 建立高扩展、高容错单点登录环境 (15) 4.1.6. 建立稳定、安全、高速网络环境 (15) 4.2. 定制工作 (16) 4.2.1. SSL VPN结合 (16)
4.2.2. 密码同步 (16) 5. 项目实施进度 (17) 5.1. 基本安装配置 (17) 5.2. 配置认证脚本 (17) 5.3. 总体进度 (17) 6. 硬件清单 (19) 7. 软件清单 (20)
1.xxxx集团系统建设现状 xxxx集团有限责任公司(以下简称集团公司)管理和运营省内11个民用机场,以及20多个关联企业(全资子公司、控股企业、参股企业)。现有的信息系统主要有生产运营系统和管理信息系统,其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等,管理信息系统主要有财务系统、OA 系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。 各信息系统都有独立的用户组织体系,采用“用户名+密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题:1、终端用户需要记住多个用户名和密码;2、终端用户需要登录不同的信息系统以获取信息;3、系统管理员难以应付对用户的管理;4、难以实施系统使用安全方面的管理措施。 1.1.Web应用系统 xxxx集团现有的Web应用系统包括:办公自动化系统(OA)、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、或者购买的商业软件。每个应用系统都有自己的用户管理机制和用户认证机制,彼此独立。每个应用系统用户名、口令可能各不相同。 1.2.C/S应用系统 xxxx集团目前的C/S应用只有一个:财务系统,金蝶K3财务系统。 1.3.SSL VPN系统 xxxx集团有一套SSL VPN系统,集团局域网之外的用户(包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等)是通过SSL VPN 系统进入集团局域网的,通过SSL VPN系统进入集团局域网访问的系统包括:OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网站等。用户经过SSL VPN系统进入集团局域网需要经过身份认证。
单点登录SSO系统解决方案
单点登录SSO系统 解决方案 ***有限公司 20
文档信息版本历史
目录 1.概述 (5) 1.1.背景 (5) 1.2.目标 (5) 1.3.阅读对象 (5) 1.4.术语和缩略语 (5) 2.SSO概述 (6) 2.1.SSO规范 (6) 2.1.1.名称解释 (6) 3.SSO接口规范 (7) 3.1.SSO接口图 (7) 3.2.SSO接口清单 (7) 3.3.单点登录接口 (8) 3.3.1.登录 (8) 3.3.2.登录状态检查 (10) 3.3.3.用户信息获取 (11) 3.3.4.登录状态查询 (12) 3.3.5.单点登录使用场景 (12) 3.4.组织数据WS同步 (13) 3.4.1.接口说明 (13) 3.4.2.使用场景 (13) 3.4.3.字段说明 (13) 3.4.4.业务规则和逻辑 (14)
3.5.用户数据WS同步 (15) 3.5.1.接口说明 (15) 3.5.2.使用场景 (15) 3.5.3.字段说明 (15) 3.5.4.业务规则和逻辑 (16) 4.实施建议 (17) 4.1.SSO实施(基本认证) (17) 4.1.1.接入流程 (17) 4.1.2.接入准备 (18) 4.1.3.接收数据 (18) 4.1.4.登录状态检查方法 (18) 4.1.5.登录/检查登录状态成功—主体代码(Success URL)编写 (18) 4.1.6.登录失败处理 (19) 4.1.7.状态检查未登录处理 (19) 4.2.组织和用户接收 (19) 4.2.1.开发框架 (19) 4.2.2.开发过程 (19) 5.附录 (20) 5.1.SSO E RROR C ODE (20) 5.2.SSO T OKEN XML (20) 5.3.SSO用户信息 (20) 5.4.SSO获取用户信息失败的状态码 (20)
【单点登录】统一内部应用门户用户测试方案
信息中心总集成及公共服务建设项目 统一内部应用门户 用户测试方案 (V2.0)
目录 用户测试方案 ........................................................................................................... - 1 -第一章文档介绍 . (4) 1.1编写目的 (4) 1.2范围 (4) 1.3读者对象 (4) 1.4测试依据 (5) 1.5术语及缩写 (5) 第二章测试流程 (8) 2.1测试模型 (8) 2.1.1单元测试 (8) 2.1.2集成测试 (8) 2.1.3确认测试 (8) 2.1.4性能测试 (8) 2.1.5系统测试 (8) 2.1.6系统验收测试 (9) 2.2测试阶段 (9) 第三章测试计划 (10) 3.1测试准备计划 (10) 3.2测试进度计划 (10) 3.2.1用户功能测试 (11) 3.2.1.1 功能测试 (11) 3.2.1.2 功能测试清单 (11) 3.3性能测试进度计划 (15) 3.3.1性能需求分析 (15) 3.3.2性能测试 (15) 3.3.3性能测试场景清单 (15) 第四章测试资源 (17) 4.1测试人员配备 (17)
4.2测试环境 (17) 4.2.1软件测试环境 (17) 4.2.2硬件环境 (18) 4.2.3测试场地 (19) 4.3测试工具 (19) 4.4数据准备 (19) 第五章风险分析与规避措施 (20) 第六章测试策略与内容 (21) 6.1功能测试 (21) 6.2接口测试 (21) 6.3用户界面测试 (22) 6.4容错性测试 (22) 6.5性能测试 (23) 6.6文档审查 (24) 第七章缺陷管理 (25) 第八章测试通过准则 (26) 第九章可交付文件 (27)
统一身份认证与单点登录系统建设方案
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
大数据平台项目方案
大数据平台建设方案 (项目需求与技术方案) 一、项目背景 “十三五”期间,随着我国现代信息技术的蓬勃发展,信息化 建设模式发生根本性转变,一场以云计算、大数据、物联网、移动应用等技术为核心的“新IT”浪潮风起云涌,信息化应用进入一个“新常态”。***(某政府部门)为积极应对“互联网+”和大数据时代的机遇和挑战,适应全省经济社会发展与改革要求,大数据平台应运而生。 大数据平台整合省社会经济发展资源,打造集数据采集、数据处理、监测管理、预测预警、应急指挥、可视化平台于一体的大数据平台,以信息化提升数据化管理与服务能力,及时准确掌握社会经济发展情况,做到“用数据说话、用数据管理、用数据决策、用数据创新”,牢牢把握社会经济发展主动权和话语权。 二、建设目标 大数据平台是顺应目前信息化技术水平发展、服务政府职能改革的架构平台。它的主要目标是强化经济运行监测分析,实现企业信用社会化监督,建立规范化共建共享投资项目管理体系,推进政务数据共享和业务协同,为决策提供及时、准确、可靠的信息依据,提高政务工作的前瞻性和针对性,加大宏观调控力度,促进经济持
续健康发展。 1、制定统一信息资源管理规范,拓宽数据获取渠道,整合业务信息系统数据、企业单位数据和互联网抓取数据,构建汇聚式一体化数据库,为平台打下坚实稳固的数据基础。 2、梳理各相关系统数据资源的关联性,编制数据资源目录,建立信息资源交换管理标准体系,在业务可行性的基础上,实现数据信息共享,推进信息公开,建立跨部门跨领域经济形势分析制度。 3、在大数据分析监测基础上,为政府把握经济发展趋势、预见经济发展潜在问题、辅助经济决策提供基础支撑。 三、建设原则 大数据平台以信息资源整合为重点,以大数据应用为核心,坚持“统筹规划、分步实施,整合资源、协同共享,突出重点、注重实效,深化应用、创新驱动”的原则,全面提升信息化建设水平,促进全省经济持续健康发展。
统一认证与单点登录解决方案(详细介绍了统一认证和单点登录)
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS 统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS 完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能:
SSO解决方案大全SingleSignOnforeveryone
SSO解决方案大全Single Sign-On for everyone 前段时间为我们的系统做SSO(单点登录)参考了很多资料,其中包括博客园二级域名的登录.翻译本文是由于作者的一句话:思想都是一样的,只不过实现起来需要创造性思维. Single Sign-On (SSO)是近来的热门话题. 很多和我交往的客户中都有不止一个运行在.Net框架中的Web应用程序或者若干子域名.而他们甚至希望在不同的域名中也可以只登陆一次就可以畅游所有站点.今天我们关注的是如何在各种不同的应用场景中实现SSO. 我们由简到繁,逐一攻破. 1.虚拟目录的主应用和子应用间实现SSO 2.使用不同验证机制实现SSO (username mapping) 3.同一域名中,子域名下的应用程序间实现SSO 4.运行在不同版本.NET下的应用程序间实现SSO 5.两个不同域名下的Web应用程序间实现SSO 6.混合身份验证方式模式(Forms and Windows)下实现SSO 1. 虚拟目录的主应用和子应用之间实现SSO 假设有两个.Net的Web应用程序-Foo和Bar,Bar运行在Foo虚拟目录的子目录().二者都实现了Forms认证.实现Forms认证需要我们重写Application_AuthenticateRequest,在这个时机我们完成认证一旦通过验证就调用一下FormsAuthentication.RedirectFromLoginPage.这个方法接收的参数是用户名或者其它的一些身份信息.在https://www.360docs.net/doc/658614159.html,中登录用户的状态是持久化存储在客户端的cookie中.当你调用RedirectFromLoginPage时就会创建一个包含加密令牌FormsAuthentication Ticket的cookie,cookie名就是登录用户的用户名.下面的配置节在Web.config定义了这种cookie 如何创建:
单点登录解决方案
统一用户认证和单点登录解决方案 总队版的互联网服务平台想要通过网站上的链接直接连接到公司开发的增值平台,并且希望从总队版互联网服务平台登录的用户链接到公司的增值平台后不需要二次登录,针对这一需求我们可以采用同一用户认证和单点登录的方式来实现,下面介绍了统一用户的基本原理和单点登录的一些解决方案。 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。例如,用户X 需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能: 1.用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如身份证,区分和标识了不同的个体。 2.UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。 3.应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。4.应用系统保留用户管理功能,如用户分组、用户授权等功能。 5.UUMS应具有完善的日志功能,详细记录各应用系统对UUMS的操作。
单点登录技术方案
单点登录技术方案
xxxx集团 单点登录技术方案
目录 1. xxxx集团系统建设现状........................................... 错误!未定义书签。 1.1. Web应用系统 ................................................. 错误!未定义书签。 1.2. C/S应用系统 ................................................... 错误!未定义书签。 1.3. SSL VPN系统.................................................... 错误!未定义书签。 2. xxxx集团单点登录系统需求 ................................... 错误!未定义书签。 2.1. 一站式登录需求.............................................. 错误!未定义书签。 3. SSO(单点登录)技术简介..................................... 错误!未定义书签。 3.1. 修改应用程序SSO方案.................................. 错误!未定义书签。 3.2. 即插即用SSO方案.......................................... 错误!未定义书签。 3.3. 两种SSO方案比较.......................................... 错误!未定义书签。 3.4. 惠普SSO .......................................................... 错误!未定义书签。 3.4.1. 惠普SSO开发背景 ................................. 错误!未定义书签。 3.4.2. 惠普SSO的功能 ..................................... 错误!未定义书签。 3.4.3. 惠普SSO的特点 ..................................... 错误!未定义书签。 3.4.4. 惠普SSO结构 ......................................... 错误!未定义书签。 4. xxxx集团单点登录技术方案 ................................... 错误!未定义书签。 4.1. 应用系统中部署惠普SSO单点登录 .............. 错误!未定义书签。 4.1.1. 解决全局的单点登录.............................. 错误!未定义书签。 4.1.2. 应用系统的整合 ..................................... 错误!未定义书签。 4.1.3. 用户如何过渡到使用单点登录 .............. 错误!未定义书签。 4.1.4. 管理员部署业务系统单点登录功能 ...... 错误!未定义书签。
宁盾单点登录(SSO)与金蝶对接方案
一、背景需求 随着企业移动化转型,员工及各类终端在企业网络间进进出出,传统以防火墙为核心的边界防护已不在安全。企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案(IAM)。 1、效率驱动:随着企业的不断壮大,本地及SAAS应用的数量也在不断增加,为提高员工办公效率,减少在各应用间登录切换的次数及频率,企业需要统一应用门户,即用户一次登录,即可访问权限内所有应用——多应用系统统一单点登录(SSO)。 2、安全保障:在多应用统一门户建成后,单点登录的账号安全比某个应用的安全认证更为重要。一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。为防止弱密码、僵尸账号、账号密码泄漏等安全隐患,多因子认证(MFA)成为单点登录的标配。 二、金蝶云K3对接方案 1、金蝶云K3商业应用库对接方案 正常情况下,企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用,有些是商业应用,有些则是自己研发的应用系统,因此面向不同的应用系统,提供不同的对接协议及对接方案。 提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。面向自研应用,开发Easy SSO 对接协议实现快速连接;面向商业应用则通过建立商业应用库的方式供用
户选择。客户在部署统一身份及单点登录认证服务器(DKEY AM)后,在商业应用库中选择对应应用操作系统即可一键实现对接。 金蝶云K3作为企业常用的办公工具,已完成商业应用库对接。为节省对接流程及周期,建议使用商业应用库快速实现应用对接,以提高部署效率。 2、多因子安全认证 提供手机令牌、硬件Token、短信挑战码等动态令牌形式,同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。
平台SSO(单点登陆)技术方案
第三方业务系统单点登陆技术方案 1概述 单点登录简单说,就是通过用户的一次性鉴别登录,即可获得需访问系统和应用软件的授权,在此条件下,管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制。 2背景 平台负责把各种应用、服务、业务集成,对它们系统的用户信息进行统一管理。只要在平台登录的用户,都可以得到一个由平台颁发的虚拟令牌,这样便可轻松的来回其它不同业务,对所有被授权的网络资源进行无缝访问了。这不仅了提高网络用户的工作效率,降低网络操作的费用,还提高了网络的安全性。 3解决方案 1、工作流程:
2、流程描述 (一)登录Portal 1)用户向Portal请求登陆。 2)Portal获取用户名和密码后,向AAA请求认证。 3)AAA查询用户名、密码,确认用户存在。 4)AAA生成token加密串,和有效时间(当前时间+默认配置时间),保存token。 5)并把token返回给Portal。 6)Portal创建用户会话,并保存token,返回首页。 (二)访问第三方业务 1)当用户在Potal上点击一个业务链接时,系统会访问第三方业务系统,并把当前用 户的token和AAA入口地址时作为请求参数带上。 2)第三方业务系统带上token参数,请求AAA认证身份。 3)AAA认证身份通过后并通知第三方业务系统。
4)第三方业务系统建立用户会话,并保存token。 5)系统跳转到第三方业务系统可操作界面。 6)在第三方业务系统中,操作内部服务,仅仅验证用户会话。 (三)从第三方业务系统返回Portal 1)在第三方业务系统中,Portal的首页的URL应该为:portal_URL+AAA_URL+token。 2)点击Poratl首页,Portal先验证用户会话是否有效,如果有效,返回首页;否则向 AAA请求验证token,验证通过后,Portal重新建立用户会话,并保存token。 3、重点说明 1)在系统内部操作时,验证用户会话。 2)当跳转到其他业务系统时(系统切换),传递token参数。此时先验证用户会话是否 有效,有效则放行;无效则请求AAA验证token,通过后重新建立用户会话。 3)Token的失效时间配置长点(需要评估),用户在某个业务系统中操作比较长时间 后切换系统,保证token仍然有效。 4提供给第三方业务接口 1、统一用户登录认证接口 1.1接口功能描述 第三方业务系统向AAA进行用户鉴权 1.2接口方向 第三方业务 AAA 1.3接口协议 协议:HTTP 方法:GET URL:http:/IP:PORT/aaa/auth?token=******* 1.4接口返回 协议:JSON 属性定义:resultCode;1表示鉴权成功,0表示鉴权失败。(必填) desc; 描述信息(非必填) 需要用户哪些信息,与AAA约定,让他传递。 示例: { "resultCode": "0", "desc": " token已经失效" } 2、Portal登录接口
NC单点登录方案
NC单点登录方案 一.登录方案示意图 二.过程说明 1.当客户端用户希望进入NC系统时,首先向外部的认证系统提交请求。 2.由外部认证系统向nc服务器注册客户端的登录信息,这些信息是nc系统所必需的信息。可以通过一个随机的键值key来索引登录信息。 3.客户端将通过该键值来进入nc系统。即客户端将向nc应用服务器提交其键值。nc 服务器将利用该键值从注册中心中获取登录信息(同时注销注册信息)。然后利用这些登录信息登录到NC系统。 4.超时处理:注册的登录信息有其生命期,超过生命期的注册信息将会被清除。客户端只能在超时以前登录nc才有效,否则不能进入nc系统。超时的值在配置文件中进行配置
三.url格式 1.注册用的url 外部系统服务器利用此url向nc服务器注册登录信息。 http://localhost/servlet/nc.bs.sm.login2.RegisterServlet?key=111111&workdate=2003-0 7-16&language=simpchn&usercode=1&pwd=1 注:usercode和pwd是必须的。它用于确定用户身份,以保证NC系统的安全。 workdate用于提供登录日期, language用于提供登录的语种。 key值为注册登录信息的键值,必须保证唯一。 http://localhost/service/RegisterServlet?key=111111&accountcode=nc061115&workdate=2003-07 -16&language=simpchn&usercode=1&pwd=1 2.登录用的url 外部系统服务器注册完毕后,返回客户端该url,使客户端重定向到该url,实现登录NC http://localhost/servlet/nc.bs.sm.login2.Login?key=111111 注:其中key的取值和注册时的值一致 http://localhost/login.jsp?key=111111 四,注册用的url后可选的参数为 "accountcode" 帐套编码 "dsname" 数据源名称 "pkcorp" 公司主键 "workdate" 登录时间 "language" 语种 "isencode" 密码是否加密取值为Y/N “height”客户端分辨率的高度值 “width”客户端分辨率的宽度值 五:配置文件ierp\bin\exterior.xml: 该文件用于配置在单点登录中能够注册登录信息的主机ip和注册信息的超时值。这些配置都是出于对安全的考虑,因为只有在该文件中配置的主机才能向nc服务器注册登录信息。 exterior.xml的内容为:
单点登录技术方案之欧阳家百创编
xxxx集团 欧阳家百(2021.03.07)单点登录技术方案
目录 1. xxxx集团系统建设现状 (4) 1.1. Web应用系统 (4) 1.2. C/S应用系统 (5) 1.3. SSL VPN系统 (5) 2. xxxx集团单点登录系统需求 (5) 2.1. 一站式登录需求 (6) 3. SSO(单点登录)技术简介 (7) 3.1. 修改应用程序SSO方案 (7) 3.2. 即插即用SSO方案 (8) 3.3. 两种SSO方案比较 (9) 3.4. 惠普SSO (9) 3.4.1. 惠普SSO开发背景 (9) 3.4.2. 惠普SSO的功能 (10) 3.4.3. 惠普SSO的特点 (12) 3.4.4. 惠普SSO结构 (13) 4. xxxx集团单点登录技术方案 (14) 4.1. 应用系统中部署惠普SSO单点登录 (14) 4.1.1. 解决全局的单点登录 (14) 4.1.2. 应用系统的整合 (15) 4.1.3. 用户如何过渡到使用单点登录 (16) 4.1.4. 管理员部署业务系统单点登录功能 (16) 4.1.5. 建立高扩展、高容错单点登录环境 (17)
4.1.6. 建立稳定、安全、高速网络环境 (18) 4.2. 定制工作 (18) 4.2.1. SSL VPN结合 (18) 4.2.2. 密码同步 (18) 5. 项目实施进度 (20) 5.1. 基本安装配置 (20) 5.2. 配置认证脚本 (20) 5.3. 总体进度 (21) 6. 硬件清单 (22) 7. 软件清单 (22)
1.xxxx集团系统建设现状 xxxx集团有限责任公司(以下简称集团公司)管理和运营省内11个民用机场,以及20多个关联企业(全资子公司、控股企业、参股企业)。现有的信息系统主要有生产运营系统和管理信息系统,其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等,管理信息系统主要有财务系统、OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。 各信息系统都有独立的用户组织体系,采用“用户名+密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题:1、终端用户需要记住多个用户名和密码;2、终端用户需要登录不同的信息系统以获取信息;3、系统管理员难以应付对用户的管理;4、难以实施系统使用安全方面的管理措施。 1.1. Web应用系统 xxxx集团现有的Web应用系统包括:办公自动化系统(OA)、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、或者购买的商业软件。每个应用系统都有自己的用户管理机制和用户认证机制,彼此独立。每个应用系统用户名、口
A统一安全管理平台解决方案
A统一安全管理平台解决 方案 The latest revision on November 22, 2020
4A(统一安全管理平台)简介 供稿1、介绍 企业信息化软件,一般经历下面几个阶段:无纸化办公—信息共享—信息安全等三个阶段,随着企业承载应用的越来越多,对所有应用的统一访问、统一控制、统一授权的需求也随着出现,4A就是针对此类问题的综合解决方案。4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的报表。 2、4A系统背景 随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
用户单点登录解决实施方案
用户单点登录解决方案
————————————————————————————————作者:————————————————————————————————日期: 2
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。多大飞 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能:
IBM TAMeb单点登录的技术分析
TAMeb单点登录的技术分析 T AMeb(IBM Tivoli Access Manager for e-business)是IBM实现企业单点登录的解决方案产品之一,通过T AMeb能集中进行应用级别的认证和授权,实现不同类型系统的单点登录。下面就简单介绍一下T AMeb实现用户单点登录的几种方式:1、基于LTPA;2、代填表单;3、数字证书;4、基于HTTP请求头。 1. 基于LTPA的单点登录 名词说明: LTPA(Lightweight third party authentication)是IBM提供的基于cookie的轻量级的认证方式,如果需要实现SSO的环境为IBM提供的各种中间件,那么使用LTPA将是最佳的方式。 Webseal是TAM(Tivoli Access manager)的关键组件,它相当于一个反向代理器,所有的请求将被它所截获,然后由它进行处理转发。 场景描述: 当用户发出一个URL请求到WAS(Websphere Application Server)等支持LTPA(Domino、WPS)的应用,系统要求输入“用户/密码”,输入并提交后用户就可以访问这个WAS的应用,接着当用户再访问Domino等其它支持LTPA的应用,此时无需再次输入“用户/密码”信息即可以访问Domino(等其它支持LTPA)下的web应用了。 过程说明: 首先需要在多个服务器以及TAM的Webseal上配置基于LTPA的信任关系,经过配置后的服务器之间建立了信任,当其中一个服务器认证通过后,再去访问其它已经建立过信任关系的服务器时,因为它们之间彼此是信任的,所以就无需再次认证了。 下面以WAS、Domino和Webseal来简单说明一下LTPA信任的配置过程: ◆在WAS Server上生成LTPA Key,并启用LTPA进行安全认证 ◆在Domino Server导入上面生成的LTPA Key,并配置Domino Server使用LTPA进行认证 ◆在Webseal上基于上面生成的LTPA Key创建到WAS和Domino的Junction 通过上述配置就完成了基于LTPA的单点登录,下面以图示来详细说明认证过程的流程:
基于LDAP的单点登录方案的设计与实现
基于LDAP的单点登录方案的设计与实现 1项目背景 随着信息技术和网络技术的广泛普及,政府、公司、学校等公共系统的内部出现了各种各样的应用管理系统。这些管理系统中最重要的一类就是基于B/S结构的Web应用系统,如电子邮件服务等。这些应用一般通过浏览器访问Web服务器,服务器以页面表单的方式要求用户输入登录参数,用户输入并提交后,由Web服务器的脚本程序进行身份验证。 近年来,Web应用的使用进入成熟阶段,提供的信息和服务也越来越多。成功地管理和保护Web应用的信息和资源已经成为一个越来越复杂的挑战。身份认证管理是保护Web信息和资源的核心部分。一般的身份认证方法是在每个应用系统中保存各自的用户信息并建立独立的身份验证模块,使用独立的认证机制在各自的身份认证模块中认证。这种传统的身份认证方法将用户的“网络身份”分割成许多独立的碎片,这些碎片构成了繁多的一对一的客户服务关系,导致了更多的安全风险。同时如果用户要频繁访问不同系统,每进入一个系统就要登录一次,这无疑会耗费大量的时间,并且用户需要记忆大量的账号信息。 因此,基于安全和效率的考虑,信息系统急需有一个统一的、具有较高安全控制的身份验证和授权系统,以保证数据安全和用户操作方便。在本文中,我设计并实现了一个基于LDAP的单点登录系统,它能够很好地解决用户身份验证和授权的问题。 2单点登录系统介绍 单点登录系统(Single Sign-On,SSO),是指当用户访问多个需要认证的系统应用时,只需要初始进行一次登录和身份认证,就可以访问具有权限的任何系统,而不需要再次登录,后续系统会自动获取用户信息,从而识别出用户的身份。这样,无论用户要访问多少个不同系统间的关联应用,他只需要进行一次登录,而不需要用户重复输入认证信息。单点登录技术可以简化用户访问多种系统应用,避免用户由于需要记忆众多账号信息而出现的遗忘,而且可以减少口令等重要信息在网络传播时被截获的危险。 本系统中采用LDAP目录来保存用户信息。LDAP(LightweightDirectoryAccessProtocol)即为轻量级目录访问协议,它基于X.500标准,但是简单了很多,而且可以根据需要定制。LDAP目录中可以存储各种类型的数据,包括电子邮件地址、邮件路由信息、联系人列表等。通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至是主要的数据源都可以放在任何地方。LDAP协议是跨平台和标准的协议,因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。 3传统的用户登录模式 传统的认证机制是基于用户名和密码的,每一个系统都建立有自己的用户信息数据库,用以验证用户的身份。用户要访问不同的系统就需要在各个系统中建立相应的帐号。 当其要访问一个系统中的资源时,用户首先要登录进入该系统,如果他同时要访问处于多个系统中的资源,用户就不得不按照各个系统的要求分别登录进入相应的系统。 近年来,为了实现企业的信息化、电子商务和其他需求,出现了越来越多的网络应用系统,在这种传统的用户登录模式下,这些企业的网络用户和系统管理员不得不面对这些现实: (1)用户需要使用其中的任何一个应用的时候都需要做一次身份认证;