统一认证平台设计方案(XXXX互联网接入平台建设实施计划方案)
移动信息化统一接入平台方案
目录1 项目背景与目标 (2)1.1项目背景 (2)1.2建设目标 (2)1.3术语和缩略语 (3)2 需求分析 (4)2.1建设一套移动信息化统一应用接入平台 (4)2.2立足现有信息资源,进行立体式移动化服务整合 (4)2.3建设可持续发展的服务之路 (4)3 系统设计 (5)3.1系统设计原则 (5)3.1.1 总体规划,分布实施 (5)3.1.2 先进性与实用性相结合 (5)3.1.3 安全性和可靠性原则 (5)3.1.4 可扩展性与可升级性原则 (6)3.1.5 开放性和标准化原则 (6)3.1.6 可管理性和可维护性原则 (6)3.1.7 资源充分利用原则 (6)3.2系统架构设计 (7)3.2.1 系统网络拓扑 (8)3.3系统功能 (8)3.3.1 登录与权限验证 (8)3.3.2 功能导航 (9)3.3.3 公文流转 (9)3.3.4 通知通告 (11)3.3.5 移动邮件 (12)3.3.6 日程任务 (13)3.3.7 单位通讯录 (14)3.4业务支撑服务 (14)3.4.1 网络优化服--SFP (14)3.4.2 统一推送服务—APS (15)3.4.3 文档解析服务—DPS (15)3.4.4 智能更新服务—SUS (15)3.5系统接口标准 (16)4 成功案例 (16)4.1佛山市政府单位移动办公平台 (16)1项目背景与目标1.1项目背景信息技术是当今世界经济和社会发展的重要驱动力,信息产业已成为我国全面建设小康社会的战略性、基础性和先导性支柱产业。
党的十六大明确提出优先发展信息产业,全国科学技术大会强调把掌握信息产业核心技术作为提高我国产业竞争力的突破口。
根据《信息产业“十一五”规划》的总体部署,在进一步加强信息基础设施建设中要推进综合信息基础设施建设,利用网络转型的机遇,构建覆盖广泛、安全可靠、支撑宽带多媒体以及融合业务的综合信息基础设施;充分挖掘现有潜力,提高资源利用率,鼓励企业通过联合建设、租用、购并等方式实现资源共享,协调开放紧缺资源。
统一门户方案
统一门户方案第1篇统一门户方案一、背景随着信息技术的不断发展,企业内部各类信息系统日益增多,员工在日常工作中需要访问多个系统完成各项任务。
为提高工作效率,降低系统使用复杂度,实现信息资源的整合与共享,企业迫切需要构建一套统一门户平台,以便员工能够在一个统一的界面上高效便捷地访问各类信息系统。
二、目标1. 提供一个统一的登录入口,实现单点登录,简化员工登录过程。
2. 整合企业内部各类信息系统,实现信息资源的高效利用。
3. 提供个性化定制功能,满足员工个性化需求。
4. 提高企业内部信息系统的易用性和用户体验。
5. 确保系统安全、可靠、稳定运行,符合国家法律法规及企业内部政策要求。
三、方案设计1. 架构设计本方案采用B/S架构,基于Web技术进行开发,确保系统具有良好的兼容性和可扩展性。
(1)前端:采用主流的前端框架,如Vue、React等,实现界面布局、组件化开发。
(2)后端:采用Java、.NET等成熟的后端技术,实现业务逻辑处理、数据交互。
(3)数据库:采用MySQL、Oracle等关系型数据库,存储用户数据、系统配置等信息。
(4)中间件:使用Redis、RabbitMQ等中间件,提高系统性能、可靠性和稳定性。
2. 功能模块设计(1)登录模块:实现用户身份认证、单点登录功能。
(2)导航模块:展示企业内部各信息系统的入口,支持自定义排序、分类展示。
(3)个性化设置模块:允许用户自定义门户界面,包括皮肤、布局、组件等。
(4)消息中心模块:集成企业内部各类消息通知,实现消息推送、提醒功能。
(5)应用管理模块:对已集成的信息系统进行管理,包括添加、删除、修改等操作。
(6)权限管理模块:实现用户、角色、权限的配置与管理,确保系统安全。
3. 技术选型(1)前端技术:HTML5、CSS3、JavaScript、Vue/React等。
(2)后端技术:Java/.NET、Spring Boot、Django等。
(3)数据库技术:MySQL、Oracle、SQL Server等。
完整版)统一身份认证设计方案(最终版)
完整版)统一身份认证设计方案(最终版)统一身份认证设计方案日期:2016年2月目录1.1 系统总体设计1.1.1 总体设计思想本系统的总体设计思想是实现用户统一身份认证和授权管理,提供安全可靠的身份认证服务。
同时,该系统还要考虑到用户的便捷性和易用性。
1.1.2 平台总体介绍该平台是一个基于Web的身份认证和授权管理系统,采用B/S架构。
系统主要包括用户管理、证书管理、授权管理和认证管理四个模块。
1.1.3 平台总体逻辑结构该平台的总体逻辑结构分为客户端和服务器端两部分。
客户端包括浏览器和客户端应用程序,服务器端包括Web服务器、应用服务器和数据库服务器。
1.1.4 平台总体部署该平台可以在局域网内或互联网上进行部署。
部署时需要考虑服务器的性能和安全性。
1.2 平台功能说明该平台的主要功能包括用户管理、证书管理、授权管理和认证管理。
用户管理模块实现用户信息的录入、修改和删除等功能;证书管理模块实现数字证书的管理;授权管理模块实现对用户权限的管理和控制;认证管理模块实现用户身份认证功能。
1.3 集中用户管理1.3.1 管理服务对象该模块主要管理系统中的用户信息,包括用户的基本信息、身份信息和权限信息等。
1.3.2 用户身份信息设计1.3.2.1 用户类型系统中的用户分为内部用户和外部用户两种类型。
内部用户是指公司内部员工,外部用户是指公司的客户、供应商等。
1.3.2.2 身份信息模型身份信息模型包括用户的身份属性和身份认证方式。
用户的身份属性包括用户名、密码、证书等;身份认证方式包括口令认证、数字证书认证、Windows域认证和通行码认证等。
1.3.2.3 身份信息的存储用户的身份信息存储在数据库中,采用加密方式进行存储,保证用户信息的安全性。
1.3.3 用户生命周期管理用户生命周期管理主要包括用户注册、审核、激活和注销等过程。
在用户注销后,该用户的身份信息将被删除。
1.3.4 用户身份信息的维护用户身份信息的维护包括用户信息的修改、删除和查询等操作。
统一认证与管理平台建设方案
统一认证与管理平台建设方案统一认证与管理平台(Unified Authentication and Management Platform,UAMP)是一种提供统一认证和统一管理服务的解决方案。
它通过集成用户身份认证、权限管理、访问控制、日志审计等功能,实现了企业内部各种应用和系统的统一用户管理和授权管理。
本文将介绍统一认证与管理平台建设的方案。
一、需求分析在企业内部,存在着许多不同的应用和系统,这些应用和系统可能来自不同的厂商、不同的部门,各自独立进行用户认证和权限控制。
这样的情况下,会导致很多问题,如用户需要记住多个不同的登录账号和密码,增加了用户的负担;权限管理分散,不易监控和管理;用户权限在不同系统间不同步,造成安全隐患等。
因此,建设统一认证与管理平台成为必要。
二、平台架构1.前端部分:包括用户访问界面和认证代理服务,用户通过统一的访问界面进行登录和访问权限申请,认证代理服务负责转发验证请求到后端。
2.后端部分:包括认证服务、权限管理服务、访问控制服务和日志审计服务等模块。
三、功能设计1.用户认证:统一认证与管理平台支持多种身份认证方式,如用户名密码、证书、双因素认证等。
用户只需提供一次认证,即可访问所有接入的应用和系统。
2.权限管理:平台提供了灵活的权限管理机制,支持基于角色的访问控制和访问策略的定义。
管理员可以定义角色,给角色赋予相应的权限,然后将用户分配到角色上。
3.访问控制:平台提供了细粒度的访问控制功能,可以精确控制用户对各个资源的访问权限,如文件、数据库、应用等。
4.日志审计:平台对用户的操作进行记录和审计,以便对安全事件进行溯源和追踪。
管理员可以查看用户的操作日志,及时发现并处理异常行为。
5.集成接口:平台提供了标准的接口,方便与各个应用和系统进行集成。
接入应用和系统只需根据接口规范进行相应的开发和配置即可。
四、实施步骤1.需求调研:与各业务部门进行沟通,了解各个应用和系统的用户认证和权限管理需求,明确建设目标和范围。
网络平台策划方案
2.内容管理系统
-提供内容发布、编辑、删除等功能,确保内容的实时更新。
-设立内容审核机制,杜绝违法违规内容的传播。
3.互动交流模块
-实现评论、点赞、分享等社交功能,促进用户互动。
-设立举报功能,对不良行为进行监管。
4.个性化推荐系统
-基于大数据分析,为用户提供精准的内容推荐。
-依据《中华人民共和国网络安全法》、《中华人民共和国著作权法》等相关法律法规,制定平台规则。
2.用户隐私保护
-加强用户数据安全保护,遵循国家相关法律法规,不泄露用户隐私信息。
3.内容审核机制
-设立专业的内容审核团队,对平台内容进行实时监控,确保内容的合法合规。
4.知识产权保护
-尊重知识产权,对侵犯他人合法权益的行为进行打击,维护平台良好的创作氛围。
-定期输出数据分析报告,指导运营决策。
六、风险评估与应对措施
1.政策风险
-密切关注政策动态,及时调整平台规则,确保合法合规。
-建立政策风险评估机制,降低政策变动对平台的影响。
2.市场风险
-深入研究市场趋势,了解用户需求,不断优化产品功能。
-分析竞争对手动态,制定有针对性的市场策略。
3.技术风险
-强化技术团队建设,提高系统稳定性,防范黑客攻击等安全风险。
网络平台策划方案
第1篇
网络平台策划方案
一、项目背景
随着互联网技术的飞速发展和普及,网络平台已成为人们获取信息、交流互动、娱乐购物的重要途径。为满足广大用户多元化、个性化的需求,结合我国相关法律法规及市场现状,特制定本网络平台策划方案。
二、项目目标
1.构建一个合法合规、用户友好的网络平台,提供高质量的内容与服务。
校园网统一身份认证系统的设计方案(doc 7页)
校园网统一身份认证系统的设计方案(doc 7页)部门: xxx时间: xxx整理范文,仅供参考,可下载自行编辑校园网统一身份认证系统的设计与实现摘要随着高校信息化建设和互联网技术的不断发展,很多高校在不同阶段开发出了许多应用系统,这些系统可能是跨平台跨域的,都有其独立的安全验证机制。
用户使用的应用系统越多,所妯须记住的用户ID和用户密码就越多;客户出错、泄露密码等直接威胁到系统安全的可能性也就越大。
因此,建立一个统一身份认证系统,对网络用户实行统一的管理、认证和授权是校园网建设中的一个重要步骤。
从LDAP协议出发,描述了典型的校园网络中如何实现多系统之间的统一身份认证。
关键词:LDAP;目录服务;单点登录机制;统一身份认证前言随着信息技术的不断发展,学校信息化建设的不断推广和深入,数字化校园已成为建设现代化高校的建设目标之一,基于校园网的应用系统也会越来越多,如网络课堂、数字化图书馆、网络视频会议、一卡通系统等。
另外,网络用户、网络带宽需求、联网主机数量的急剧增大,都对数字化校园的管理提出了挑战。
而不管哪种应用系统,都需要对用户的身份进行识别认证,同时对不同的身份所拥有的操作权限进行授权。
用户使用的应用系统越多,所必须记住的用户ID和用户密码就越多,客户出错、泄露密码等直接威胁到系统安全的可能性也就越大。
因此,建立一个统一身份认证系统,对网络用户实行统一的管理、认证和授权是校园网建设中的一个重要内容。
第1章 LDAP目录服务和统一身份认证系统目前主流的统一身份认证方案中,都使用了目录服务技术。
随着轻量级目录访问协议(LightDirectory Access Protocol,LDAP)技术的兴起和应用领域的不断扩展,目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案,特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面,都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。
统一身份认证平台实施方案
统一身份认证平台实施方案一、背景介绍随着互联网的快速发展和信息化建设的深入推进,各类应用系统和服务平台不断涌现,用户的数字身份信息也变得越来越重要。
然而,由于不同系统间的数据孤岛和信息壁垒,用户需要在多个系统中重复注册、登录,给用户带来了诸多不便,也增加了系统管理和维护的难度。
为了解决这一问题,统一身份认证平台应运而生。
二、实施目标统一身份认证平台的实施目标是为了实现用户在不同系统中的单点登录和统一身份认证,提高用户体验,简化系统管理,降低运维成本,提升信息安全性。
三、实施方案1. 系统整合首先,需要对现有的各类应用系统进行整合,将它们接入统一身份认证平台。
通过统一身份认证平台,用户只需进行一次登录,即可访问所有接入系统,实现单点登录的便利。
2. 用户信息同步其次,需要确保用户在不同系统中的身份信息是同步的。
一旦用户的身份信息发生变化,统一身份认证平台能够及时更新并同步到所有接入系统中,保证用户信息的一致性和准确性。
3. 安全保障在实施统一身份认证平台时,信息安全是至关重要的。
需要采取多种安全措施,包括加密传输、身份认证、访问控制等,确保用户的身份信息不被泄露和篡改。
4. 用户体验优化统一身份认证平台的实施还应该注重用户体验的优化。
通过统一的登录界面、统一的用户信息管理界面等,为用户提供统一、便捷的操作体验,提升用户满意度。
5. 运维管理最后,需要建立完善的统一身份认证平台的运维管理机制,包括监控系统运行状态、定期检查系统安全性、及时处理系统故障等,确保统一身份认证平台的稳定运行。
四、实施效果通过统一身份认证平台的实施,可以实现以下效果:1. 用户体验提升:用户无需重复注册、登录,提高了用户的使用便利性和满意度。
2. 系统管理简化:统一身份认证平台减少了系统管理和维护的工作量,降低了运维成本。
3. 信息安全性提升:通过统一身份认证平台的安全保障措施,可以有效保护用户的身份信息安全。
4. 数据一致性:用户在不同系统中的身份信息保持一致,避免了数据冗余和不一致的问题。
统一认证系统-设计方案
基础支撑平台第一章统一身份认证平台一、概述建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。
为平台用户以下主要功能:为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。
用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。
提供多种以及多级别的认证方式,包括支持用户名/ 密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS,可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。
系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAM规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。
单点登录场景如下图所示:rr一次登录认证、自由访问授权范围内的服务单点登录的应用,减轻了用户记住各种账号和密码的负担。
通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。
同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点, 部署方便快捷。
、系统技术规范单点登录平台是基于国际联盟Liberty规范(简称“LA”的联盟化单点登录统一认证平台。
Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网与公司部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司员工提供更加顺畅、更为便捷的互联网接入服务,满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司网业务系统的需求。
一、需求分析(一)覆盖围员工通过PC、移动终端等客户端能够访问公司办公网及交易网的相关业务系统。
(二)接入终端需求1、PC终端员工能够使用PC、笔记本电脑等终端访问公司网系统,并确保员工PC终端自身的安全性不会影响到公司网的信息系统。
2、移动终端员工能够使用基于Android系统和iOS系统的移动终端,以企业APP的方式访问公司网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。
互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许接入部网络。
(三)多运营商接入需求公司员工通过联通、电信、移动等多个运营商接入互联网访问公司部业务系统,因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。
(四)身份认证及单点登录需求由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式,除需设置一定复杂度的登录口令外,必须支持RSA动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。
互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限围的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。
对B/S、C/S、APP形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。
(五)安全防护需求1、数据安全传输要求PC终端、移动终端通过互联网访问公司部网络的数据需采取加密措施,防止公司相关数据的泄露。
2、边界访问控制互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施,有效保障互联网接入平台后部的公司信息系统的安全性。
二、方案设计互联网接入平台主要由接入模块、认证模块、应用发布模块及安全防护模块组成,各模块之间紧密相连、相互配合。
图1 互联网接入平台主要功能模块(一)接入模块接入模块主要由链路负载均衡及SSL VPN组成。
其中,链路负载均衡连接联通、电信、移动等多个运营商,自动选取最优访问路径从而提升访问速度;SSL VPN用于互联网接入用户的基本认证,并与认证模块的认证系统紧密结合实现高强度认证,同时SSL VPN用于实现数据在互联网上的加密传输。
(二)认证模块认证模块主要用于实现互联网接入平台的统一身份认证和单点登录。
该模块需要与前台的SSL VPN及后台的应用系统紧密结合,一方面支撑访问用户的RSA动态令牌、短信、数字证书、指纹等高强度认证;另一方面,认证模块需建立访问用户账户与各部应用系统账户之间的关联,基于票据的方式实现部业务系统的单点登录。
公司部的终端亦可使用互联网接入平台,在通过认证模块的身份认证后,实现部网络中各应用系统的单点登录功能。
部终端在访问互联网接入平台时,无需通过SSL VPN对传输进行数据加密。
(三)应用发布模块基于PC系统环境及移动终端系统环境的差异,互联网接入平台针对移动端采取不同的技术实现对网应用的访问。
移动终端及应用管理移动应用管理模块主要提供移动终端的管理以及应用管理功能,主要功能实现如下:(1)移动设备管理实现对移动设备注册审核、信息管理、安全策略管理、安全性/合规检测等功能,实现对移动设备的信息收集、安全管理和准入控制等功能。
(2)应用管理建立公司的企业应用商店,实现公司部业务的应用发布、应用分发管控等功能。
支持在一个客户端管理公司APP,实现对部业务APP的统一访问入口。
采用“沙箱”技术实现公司部APP数据和个人数据的隔离,保障公司应用数据的安全性。
支持对APP 的安全加固。
(四)安全防护模块互联网接入平台与互联网、部应用系统的网络边界应采取边界防护措施;为进一步提升系统安全性,部应用系统边界可采用应用层安全防护、APT 检测/防御等安全措施。
三、部署方案根据方案设计,考虑到互联网接入平台的冗余性,各主要硬件设备均配置两套实现冗余,部署方案如下图所示:图2 办公网互联网接入平台部署方案示意图办公网与交易网的互联网接入平台的实现和部署模式相同,两套系统相对独立,仅统一认证系统可共享使用。
四、主要场景(一)外部PC客户端访问B/S应用场景1、员工在首次使用时,在PC端通过浏览器访问VPN发布的认证登录界面,下载应用发布客户端,完成安装。
2、员工在PC端上通过浏览器访问VPN发布的认证登录界面,输入用于统一认证的用户名、密码及动态口令(或其他强身份认证方式)。
3、VPN将用户信息提交到统一身份认证系统进行认证。
4、统一认证系统对合法的接入用户发放票据并记录。
5、建立VPN隧道后,会话重定向至应用发布平台,客户端(PC 浏览器)向应用发布平台发出认证请求,应用发布平台将认证请求重定向至统一认证系统,统一认证系统要求客户端提交认证信息,客户端将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据将客户端请求重定向至应用发布平台,客户端携带票据访问应用发布系统。
6、应用发布平台接收票据后,对该安全票据进行解析确认。
票据验证成功后,则为该用户建立有效会话,向用户展示用户的权限应用。
7、用户点击相关的业务系统图标启动应用,应用客户端通过应用发布平台的相关接口获取终端设备缓存的票据,应用客户端携带票据向部业务系统发起认证登录请求,业务系统向统一身份认证系统对票据进行验证。
8、统一身份认证系统验证完成后,返回给业务系统,业务系统得到票据持有者的用户信息。
9、业务系统根据用户信息查询该用户的权限并生成用户界面。
10、最终业务系统向用户进行展示对用户的业务系统界面。
(二)外部PC客户端访问C/S应用场景针对PC客户端需要访问的C/S类应用,除因实现单点登录而对其认证功能的改造与B/S类业务不同外,其他实现模式与“PC 客户端访问B/S应用场景”相同。
(三)外部移动客户端获取与启动场景1、员工通过使用移动终端设备的浏览器访问移动应用管理服务器发布的安装包获取页面,下载并安装移动应用管理系统(以下简称EMM)的客户端。
2、EMM客户端中部署“VPN SDK”,用于实现单点登录。
3、启动EMM客户端后,输入用于统一认证的用户名、密码及动态口令(或其他强认证方式)。
4、认证请求发送至边界的VPN设备,VPN将用户信息提交到统一身份认证系统进行认证。
5、统一认证系统对合法的接入用户发放票据并记录。
6、建立VPN隧道后,会话重定向至EMM,EMM客户端向EMM 发出认证请求,EMM将认证请求重定向至统一认证系统,统一认证系统要求EMM客户端提交认证信息,EMM客户端将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据并将请求重定向至EMM,EMM客户端携带票据访问EMM系统。
7、EMM接收票据后,使用统一认证系统提供的SDK开发包,对该安全票据进行解析确认。
票据验证成功后,则为该用户建立有效会话。
8、员工可以在EMM客户端资源页面中下载其授权围的企业APP。
(四)外部移动客户端使用TouchID认证场景1、员工通过使用移动终端设备的浏览器访问移动应用管理服务器发布的安装包获取页面,下载并安装EMM客户端。
2、EMM客户端中部署“VPN SDK”,用于实现单点登录。
3、启动EMM客户端后,采用TouchID方式进行认证。
4、认证请求发送至边界的VPN设备,VPN将用户使用TouchID 通过认证的信息提交到统一身份认证系统进行认证。
5、统一认证系统采用信任TouchID为可信认证源的方式进行认证结果判定,通过认证后对合法的接入用户发放票据并记录。
注:其他实现模式与“移动客户端获取与启动场景”相同。
(五)企业APP使用场景通过EMM客户端发布的企业部移动APP(以下简称企业APP),同样需要使用“集成SDK”,用于实现单点登录与移动应用安全管理。
1、启动某网业务系统APP后,读取该终端设备上EMM客户端中缓存的有效认证票据。
2、APP携带票据向APP服务端发起认证请求,APP服务端将认证请求重定向至统一认证系统,统一认证系统要求APP提交认证信息,APP将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据将请求重定向至APP服务器,APP携带票据访问APP服务器。
3、APP服务端接收票据后,使用统一认证系统提供的SDK开发包,对该安全票据进行解析。
解析结果提交至统一认证系统,统一认证系统进行票据有效性验证,对正确的结果返回确认信息和对应的账号,APP服务端使用该账号为用户建立有效会话。
(六)部PC单点登录场景公司员工可在公司网使用PC登录互联网接入平台后,通过身份认证后,能够实现部各应用系统访问时的单点登录。
1、部终端访问统一认证系统面向部网络发布的统一Portal 页面,填写账户、密码及动态口令(或其他强身份认证方式)等认证信息。
2、统一认证系统对合法的接入用户发放票据并记录,并提供用户资源页面。
3、用户访问资源页面的应用系统时直接调用浏览器(B/S系统)或客户端(C/S)系统,不使用应用发布的模式。
4、用户点击相关的业务系统图标启动应用,用户通过认证系统接口携带票据向部业务系统发起认证登录请求,业务系统向统一身份认证系统对票据进行验证。
5、统一身份认证系统验证完成后,返回给业务系统,业务系统得到票据持有者的用户信息。
6、业务系统根据用户信息查询该用户的权限并生成用户界面。
7、最终业务系统向用户进行展示对用户的业务系统界面。
五、主要挑战该方案涉及部分定制开发工作,主要体现在一下几方面:(一)功能性定制开发考虑到方案的全面性,方案中的部分需求需要定制开发,如SSLVPN以及APP、PC使用的B/S与C/S应用对统一身份认证及单点登录方式的支持、统一Portal门户等。
(二)各组件间的接口开发为实现该方案各组件之间紧密配合,不同组件之间需要一定的定制开发工作,主要包括:1、SSL VPN与身份认证系统之间的接口。
2、应用发布系统与身份认证系统之间的接口。
3、移动应用管理与身份认证系统之间的接口。
4、身份认证系统与部应用系统之间的接口。
5、应用发布与C/S应用系统客户端之间的接口。
6、应用发布与B/S应用系统之间的接口。
7、移动应用管理模块与部应用APP之间的接口。
8、移动应用管理APP与SSL VPN之间的接口。
上述定制开发涉及面较广,尤其是涉及到各部应用系统,各系统之间需要一定的磨合,系统搭建和调试周期相对较长。
六、项目初步预算七、进度计划该项目计划于2015年12月份启动招标,详细进度如下表所示:。