用友U8身份认证解决方案

8身份认证解决方案

目前在U8中用户的身份认证支持四种模式：用户+口令(静态密码),动态密码、CA认证和域身份认证，同一时间，一个用户只能使用一种认证方式，但是不同用户可以根据权限，重要程度交叉使用不同的认证方式。

1.设置认证方式

在系统管理模块中增加操作员的时候设置认证方式，默认支持用户+口令，用户可以更改以便于支持其余三种模式。

图一

2.合作伙伴支持的身份认证在U8系统中的使用

2.1易安全动态密码

1.在U8的应用服务器上，安装“易安全动态密码系统”，根据《U8_动态密码安装配置手

册（深圳海月）》进行相关配置。

2.在系统管理里设置认证方式为“动态密码”，如图一所示，默认支持的是静态口令。

3.配置完成后，在客户端登录产品，密码输入框必须输入由设备动态产生的密码才可，如

图二所示：

图二

备注：

两个系统要求用户编码共用，即不论采用哪种认证方式，用户名必须是通过U8的系统管理产生的，易安全动态密码系统支持批量导入U8用户，权限控制必须在系统管理中完成，如果使用动态密码认证，在系统管理增加用户时，可以不考虑密码信息，同时关于密码的安全策略将不起作用。

详细介绍见《U8动态密码解决方案（深圳海月）》

2.2BJCA的证书使用

BJCA支持两种PKI/CA建设模式：企业自建CA和托管CA。

企业自建CA就是企业自己创建和维护根证书，自行颁发证书。用户身份只需要企业内部审查即可，用户唯一标识为自定义名称，比如test、demo等。

托管CA是企业到BJCA申请证书，BJCA使用Public Trust CA体系为其颁发证书，用户的身份要经过BJCA严格审查，默认唯一标识为身份证号码或企业组织机构代码。

具体使用步骤：

1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。

2.在U8的客户端安装BJCA的客户端证书管理工具，请参阅《U8_CA安装配置手册（BJCA）》进行相关配置。

3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时

务必填写正确企业系统名称，名称必须是字母或数字，不能含中文。如图三所示：

图三

4.配置完成后，在客户端登录产品，密码输入框输入的是在U8系统设置的用户密码，

点击确定后，验证U8密码正确后，再次弹出证书PIN码的输入框，如图四所示：

图四

输入PIN码，确定后，系统自动验证证书的合法性。

备注：

目前U8系统中的CA认证采用的是传统的用户名（密码）+证书的双重认证，使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确，安全策略中的密码策略只对U8密码起作用，修改密码也仅修改U8自身的密码。

用户在托管CA申请证书时，必须正确提交企业系统名称。

详细介绍见《U8安全解决方案（BJCA）》

2.3天威诚信的证书使用

天威诚信也支持两种PKI/CA建设模式：第三方托管CA服务和自建型CA系统。

第三方托管CA服务，是指客户通过天威诚信认证中心的现有的CA认证系统直接获取数字证书，用户在本地只要建设少量的CA模块，就可以实现CA认证的功能。

自建型CA系统是指客户购买天威诚信开发的PKI/CA软件，建设一个独立的PKI/CA 系统，除了购买系统软件之外，还包括系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统和灾难恢复等方面的建设。

具体使用步骤：

1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。

2.安装证书管理工具,按照《U8_CA安装配置手册（天威诚信）》的说明设置相关配置。

3.配置完成后，在客户端登录产品，密码输入框输入的是在U8系统设置的用户密码，点击确定后，验证U8密码正确后，再次弹出证书PIN码的输入框，如图四所示：

图四

输入PIN码，确定后，系统自动验证证书的合法性。

备注：

详细介绍见《U8安全解决方案（天威诚信）》

3.域身份认证在U8系统中的使用

1.在U8应用服务器配置工具中设置域认证服务器

2.在系统管理里设置认证方式为“域身份认证”，如图一所示，默认支持的是静态口令。

3.配置完成后，在客户端登录产品，密码输入框必须输入域账号的密码。

4.初次录入域账号，可以在系统管理-〉用户管理-〉批量-〉导入域账号，一次性从域服务器导入多个用户账号。