统一认证平台的设计方案(XXXX互联网接入平台建设方案)
接入网系统研发建设方案(一)
接入网系统研发建设方案1. 实施背景随着互联网技术的快速发展和普及,人们对网络速度和稳定性的需求日益增长。
传统的接入网技术已无法满足现代社会的需求,因此,对新一代接入网系统的研发和建设迫在眉睫。
同时,我国政府对新一代信息技术产业给予了高度关注,为接入网系统的研发和建设提供了良好的政策环境。
2. 工作原理新一代接入网系统基于SDN(软件定义网络)和NFV(网络功能虚拟化)技术,通过集中控制和分布式处理相结合的方式,实现用户与核心网络的互联互通。
其主要功能包括用户认证、带宽管理、网络安全等。
3. 实施计划步骤3.1 需求分析:对用户需求进行深入调研,明确系统研发的目标和功能。
3.2 方案设计:根据需求分析结果,设计系统的架构、硬件配置、软件算法等。
3.3 系统开发:组织开发团队,进行系统开发。
3.4 测试与验证:对开发完成的系统进行严格的测试和验证,确保系统的稳定性和性能。
3.5 部署与实施:将系统部署到现场环境,进行实际运行测试,并根据实际运行情况进行优化调整。
3.6 后期维护与升级:对系统进行定期维护和升级,确保系统的长期稳定运行。
4. 适用范围本方案适用于各类需要进行网络接入的场景,如家庭、企业、学校等。
同时,对于一些特殊场景,如工业物联网、智能交通等,本方案也具有较强的适用性。
5. 创新要点5.1 采用SDN和NFV技术,实现接入网的灵活控制和高效处理。
5.2 集中控制与分布式处理相结合,提高网络整体性能和安全性。
5.3 用户认证、带宽管理、网络安全等功能一体化,简化运营维护工作。
6. 预期效果6.1 提高网络速度和稳定性,满足用户对高质量网络的需求。
6.2 降低运营成本,提高网络运营效率。
6.3 提高网络安全性和抗攻击能力,减少网络安全事件的发生。
7. 达到收益7.1 提高用户体验,增加用户黏性,为运营商带来更多的收益。
7.2 提高网络利用率,降低空闲资源消耗,节约成本。
7.3 提高网络安全防护能力,减少因网络安全事件带来的损失。
网络建设方案
XX公司网络建设设计方案前言企业局域网伴随着Internet的成长而高速的发展,到现在已经形成了完整的体系结构和解决方案。
但要设计一个完善和健壮的企业网络是非常不容易的,因为这涉及到很多复杂的细节问题.首先是收集企业的网络办公需求,然后根据需求来设计企业网络,本设计是针对中型企业的网络,所以办公需求并不复杂。
在分析完整需求后,根据网络的特点分成硬件和软件的设计.硬件设计整个网络系统的基础,其中分成三个模块的设计:交换机模块、防火墙模块和服务器模块的设计,重点是交换机模块的设计。
软件设计就是在这些硬件的基础上实施各种高级的应用服务如DNS、DHCP、WEB、FTP和各种企业应用软件和数据库系统.全球性的国际计算机互联网Internet的迅速发展和普及,改变了整个信息产业的面貌,使信息技术产业从以计算机为中心发展到以网络为中心,并为计算机技术在工业、商业、教育及科研等领域中的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算及技术合作等,进而推动了教育事业、科研及生产的发展。
Internet是一个全球性的开放的信息互连网络,它是以一系列关键支撑技术为核心发展起来的新兴领域,为人们提供了崭新的网络计算环境。
随着互联网的蓬勃发展,其巨大的潜力已经逐渐体现出来,一些互联网企业涉足传统产业已经取得了不菲的业绩,如运用网络概念多次融资,并利用网络优势通过并购的方式切入旅行服务行业的携程;其次,就是互联网在传播和获取信息上的优势;再者,就是企业想利用内外部网络进行有效的管理,提高管理效率:上述三大因素可以看作企业建网的主要的原因。
因此,可以这样讲,企业建网的最终目的和它的经营策略是吻合的,就是通过网络来降低企业的管理成本和交易成本以及通过开展电子商务活动来获得更多的利润.目录第一章网络设计原则与需求分析 41。
1 网络设计原则 41.2 网络设计需求分析 5第二章网络设计解决方案 62。
校园网网络建设方案的设计及分析
校园网网络建设方案的设计及分析在当今数字化时代,校园网已成为学校教育教学、科研管理和师生生活不可或缺的重要组成部分。
一个高效、稳定、安全的校园网不仅能够提升学校的教学质量和管理效率,还能为师生提供便捷的信息服务和交流平台。
因此,设计一套科学合理的校园网网络建设方案至关重要。
一、需求分析在设计校园网网络建设方案之前,首先需要对学校的网络需求进行全面的分析。
这包括以下几个方面:1、教学需求学校的教学活动是校园网的主要应用场景之一。
教师需要通过网络进行在线教学、资源共享、教学管理等;学生需要访问网络课程、查阅资料、完成作业等。
因此,校园网需要具备高速、稳定的网络连接,以支持多媒体教学资源的流畅传输。
2、科研需求科研工作对于网络的要求也较高。
科研人员需要访问国内外的学术数据库、进行科研协作和数据传输等。
这就要求校园网能够提供高速的国际出口带宽和稳定的网络环境。
3、管理需求学校的行政管理部门需要通过网络进行办公自动化、学籍管理、财务管理等工作。
这些系统需要在校园网内安全、稳定地运行,同时要保证数据的保密性和完整性。
4、生活需求师生在校园内的生活也离不开网络,如宿舍区的网络接入、校园一卡通系统的使用等。
因此,校园网需要覆盖学校的各个区域,为师生提供便捷的网络服务。
二、网络拓扑结构设计根据学校的规模和需求,校园网的拓扑结构可以采用星型、树型或混合型等结构。
一般来说,大型校园网多采用分层的星型结构,将网络分为核心层、汇聚层和接入层。
1、核心层核心层是校园网的骨干,负责高速数据交换和路由转发。
核心层设备应具备高性能、高可靠性和高扩展性,如高端路由器、核心交换机等。
2、汇聚层汇聚层将多个接入层设备连接到核心层,负责汇聚和转发来自接入层的流量。
汇聚层设备应具备较强的性能和一定的扩展性,如中端交换机等。
3、接入层接入层直接连接用户终端设备,如计算机、打印机、IP 电话等。
接入层设备应具备端口密度高、成本低等特点,如低端交换机等。
智慧校园一站式平台方案
目录一、智慧校园一站式平台 (2)1、智慧校园简介 (2)2、智慧校园一站式平台特点: (4)二、可视化智慧校园综合信息管理平台 (4)1、可视化智慧校园简介 (4)2、可视化智慧校园平台特点 (5)3、AVCare可视化综合信息管理平台架构图 (6)4、iSchool可视化综合信息管理平台架构图 (7)5、智慧校园信息服务平台架构图 (8)三、IT 运维智慧服务平台 (9)1、IT运维智慧服务平台简介 (9)2、平台特点 (9)3、IT 运维智慧服务平台结构说明 (10)四、互动云录播系统 (11)1、互动云录播系统简介 (11)2、平台特点: (11)五、物联感知智能管控中心 (12)1、物联感知智能管控中心简介 (12)2、平台特点 (13)六、智能管控 (14)1、物联网产品体系分层图示及设备说明 (14)2、智能管控-人脸识别产品 (22)3、一卡通系统 (25)七、综合数据服务- (28)八、智慧应用-决策支持 (29)九、智慧校园预算表 (31)一、智慧校园一站式平台1、智慧校园简介作为智慧校园管理平台的开拓者与引领者,我公司以创新的iCore“智慧核”驱动的智慧校园平台体系架构,参与“智慧校园总体框架国家标准”的起草和制定。
并以此架构为基石,针对高教、普教、军校、职教等各类教育机构研制出四大可定制、可伸缩、可扩展的个性化智慧校园。
综合信息管理平台:AVCare®可视化智慧校园综合信息管理平台(高教、军校)、可视化智慧校园综合信息管理平台(普教、军校)、ISP 职教智慧校园信息服务平台、IT运维智慧服务平台,形成智慧校园一站式平台整体解决方案。
1.一站式规划:符合“智慧校园总体框架国家标准”“、多媒体教学环境工程建设规范”。
2.一站式设计:我公司本着自上向下设计、自下向上建设的理念,以“智慧校园总体框架国家标准”为基石,针对高教、普教、军校、职教等各类教育机构研制出四大可定制,可伸缩,可扩展的个性化智慧校园信息管理平台。
职业技术学院校园网设计方案
职业技术学院数字校园网建设方案目录第一章校园网建设方案 (4)1、项目概况 (4)1.1项目背景 (4)2、建设目标 (5)2.1总体建设目标 (5)3、建设原则 (5)4、系统整体设计 (7)4.1系统结构设计 (7)4.1.1总体技术架构 (7)4.1.2系统网络结构 (8)5、校园通信网络建设方案 (9)5.1项目建设内容 (9)5.2总体建设思路 (10)5.4总体网络系统建设 (12)5.4.1网络架构 (12)5.5有线网络系统建设 (14)5.5.1网络骨干区 (14)5.5.2网络核心 (15)5.5.3网络汇聚 (16)5.5.4网络接入 (17)5.5.5网络出口区 (19)5.6无线网络系统建设 (20)5.6.1无线网络建设规划 (20)5.6.2一体化无线网络管理架构 (24)第二章计算机网络信息中心设计方案 (27)1、前言 (27)2、项目概况 (27)3、网络信息中心设计指标 (28)4、设计依据 (28)5、网络信息中心设计宗旨 (29)6、网络信息中心建设目标 (29)7、设计内容 (31)7.1分项设计内容及界面划分说明 (31)8、网络信息中心建设系统设计 (32)8.1设计概述 (32)8.2网络信息中心地面部分 (33)8.2.1静电地板 (33)8.2.2静电地板的安装 (34)8.2.3装修 (36)8.2.4照明系统 (36)8.3电气工程部分 (37)8.3.1电气设计内容 (37)8.3.2配电柜 (37)8.3.3网络信息中心辅助设备动力配电系统 (38)8.3.4网络信息中心配电安装 (38)8.3.5网络信息中心强弱电走线方式 (39)8.4网络信息中心防雷接地部分 (39)8.4.1系统概述 (39)8.4.2设计原则 (39)8.4.3相关参数(要求) (39)8.4.4电源二级防雷 (40)8.4.5安全保护接地 (40)8.5空调系统 (41)8.6网络信息中心消防系统 (46)8.6.1设计依据 (46)8.6.2主要设备 (47)8.6.3保护区概况及设计 (47)8.6.4系统设计性能 (47)第一章校园网建设方案1、项目概况1.1项目背景职业技术学院于2002年9月由原职工大学、晋东南煤矿学校、农业学校合并组建合成。
互联网加智慧社区一体化管理平台建设方案
应急预案:制定应急预案,确保在风险发生时能够迅速响应和处理
08 总结与展望
项目总结回顾
项目背景:互联 网+智慧社区一 体化管理平台的 建设背景和意义
项目目标:建设 一个高效、便捷、 智能的社区管理 平台
项目实施:项目 实施过程中的关 键节点和重要成 果
服务层:提供各种服务,如 数据服务、消息服务、安全
服务等
数据层:存储和管理各种数 据,如用户数据、设备数据、
业务数据等
基础设施层:提供各种基础 设施,如网络、服务器、存
储设备等
主要功能模块介绍
社区管理:包括社区基本信息、居民信息、物业信息等管理功能 安防监控:包括视频监控、门禁系统、报警系统等管理功能 便民服务:包括缴费、报修、投诉、咨询等便民服务功能 社区活动:包括活动发布、报名、签到、评价等社区活动管理功能 数据分析:包括社区数据、居民数据、物业数据等数据分析功能 平台管理:包括用户管理、权限管理、系统设置等平台管理功能
市场风险评估及应对措施
市场风险评估: 分析市场竞争、 政策法规、技 术发展等方面
的风险
应对措施:制 定市场策略, 提高市场竞争
力
应对措施:关 注政策法规变 化,及时调整
业务方向
应对措施:加 强技术研发, 提高技术水平, 应对技术发展
带来的风险
管理风险评估及应对措施
风险评估:对社区管理中可能出现的风险进行评估,包括信息安全、数 据安全、系统稳定性等 应对措施:制定相应的应对措施,包括建立完善的信息安全管理体系、 加强数据备份和恢复、提高系统稳定性等
02 建设背景与目标
智慧社区发展现状
智慧社区建设已成 为城市发展的重要 方向
统一认证与管理平台建设方案
统一认证与管理平台建设方案统一认证与管理平台(Unified Authentication and Management Platform,UAMP)是一种提供统一认证和统一管理服务的解决方案。
它通过集成用户身份认证、权限管理、访问控制、日志审计等功能,实现了企业内部各种应用和系统的统一用户管理和授权管理。
本文将介绍统一认证与管理平台建设的方案。
一、需求分析在企业内部,存在着许多不同的应用和系统,这些应用和系统可能来自不同的厂商、不同的部门,各自独立进行用户认证和权限控制。
这样的情况下,会导致很多问题,如用户需要记住多个不同的登录账号和密码,增加了用户的负担;权限管理分散,不易监控和管理;用户权限在不同系统间不同步,造成安全隐患等。
因此,建设统一认证与管理平台成为必要。
二、平台架构1.前端部分:包括用户访问界面和认证代理服务,用户通过统一的访问界面进行登录和访问权限申请,认证代理服务负责转发验证请求到后端。
2.后端部分:包括认证服务、权限管理服务、访问控制服务和日志审计服务等模块。
三、功能设计1.用户认证:统一认证与管理平台支持多种身份认证方式,如用户名密码、证书、双因素认证等。
用户只需提供一次认证,即可访问所有接入的应用和系统。
2.权限管理:平台提供了灵活的权限管理机制,支持基于角色的访问控制和访问策略的定义。
管理员可以定义角色,给角色赋予相应的权限,然后将用户分配到角色上。
3.访问控制:平台提供了细粒度的访问控制功能,可以精确控制用户对各个资源的访问权限,如文件、数据库、应用等。
4.日志审计:平台对用户的操作进行记录和审计,以便对安全事件进行溯源和追踪。
管理员可以查看用户的操作日志,及时发现并处理异常行为。
5.集成接口:平台提供了标准的接口,方便与各个应用和系统进行集成。
接入应用和系统只需根据接口规范进行相应的开发和配置即可。
四、实施步骤1.需求调研:与各业务部门进行沟通,了解各个应用和系统的用户认证和权限管理需求,明确建设目标和范围。
统一身份认证系统建设方案
统一身份认证系统建设方案发布日期:2008-04-01** 研发背景随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。
但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。
同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。
在这种背景下企业准备实施内网信息门户系统。
其中统一身份管理系统是内网信息门户系统的一个重要组成部分。
统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。
** 组成架构汇信科技与S U N 公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于S U N 公司的Sun Java Sys tem Ident i ty Manager和Sun Java Sys tem Access Manager以及Sun Java Sys tem Di r ec tory Server实现。
主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。
受控层位于各应用服务器前端,负责策略的判定和执行,提供 A GE N T 和API两种部署方式。
统一认证服务器安装统一身份认证系统(A M),主要提供身份认证服务和访问控制服务。
统一认证服务器安装统一身份管理系统(I M),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。
目录服务器部署Sun Java Sys tem Direc tory Server,是整个系统的身份信息数据中心。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网和公司内部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司员工提供更加顺畅、更为便捷的互联网接入服务,满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。
一、需求分析(一)覆盖范围员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。
(二)接入终端需求1、PC终端员工能够使用PC、笔记本电脑等终端访问公司内网系统,并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。
2、移动终端员工能够使用基于Android系统和iOS系统的移动终端,以企业APP的方式访问公司内网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。
互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许接入内部网络。
(三)多运营商接入需求公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统,因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。
(四)身份认证及单点登录需求由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式,除需设置一定复杂度的登录口令外,必须支持RSA动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。
互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限范围内的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。
对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。
(五)安全防护需求1、数据安全传输要求PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施,防止公司相关数据的泄露。
2、边界访问控制互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施,有效保障互联网接入平台后部的公司信息系统的安全性。
二、方案设计互联网接入平台主要由接入模块、认证模块、使用发布模块及安全防护模块组成,各模块之间紧密相连、相互配合。
图1 互联网接入平台主要功能模块(一)接入模块接入模块主要由链路负载均衡及SSL VPN组成。
其中,链路负载均衡连接联通、电信、移动等多个运营商,自动选取最优访问路径从而提升访问速度;SSL VPN用于互联网接入用户的基本认证,并和认证模块的认证系统紧密结合实现高强度认证,同时SSL VPN用于实现数据在互联网上的加密传输。
(二)认证模块认证模块主要用于实现互联网接入平台的统一身份认证和单点登录。
该模块需要和前台的SSL VPN及后台的使用系统紧密结合,一方面支撑访问用户的RSA动态令牌、短信、数字证书、指纹等高强度认证;另一方面,认证模块需建立访问用户账户和各内部使用系统账户之间的关联,基于票据的方式实现内部业务系统的单点登录。
公司内部的终端亦可使用互联网接入平台,在通过认证模块的身份认证后,实现内部网络中各使用系统的单点登录功能。
内部终端在访问互联网接入平台时,无需通过SSL VPN对传输进行数据加密。
(三)使用发布模块基于PC系统环境及移动终端系统环境的差异,互联网接入平台针对移动端采取不同的技术实现对内网使用的访问。
移动终端及使用管理移动使用管理模块主要提供移动终端的管理以及使用管理功能,主要功能实现如下:(1)移动设备管理实现对移动设备注册审核、信息管理、安全策略管理、安全性/合规检测等功能,实现对移动设备的信息收集、安全管理和准入控制等功能。
(2)使用管理建立公司的企业使用商店,实现公司内部业务的使用发布、使用分发管控等功能。
支持在一个客户端内管理公司APP,实现对内部业务APP的统一访问入口。
采用“沙箱”技术实现公司内部APP数据和个人数据的隔离,保障公司使用数据的安全性。
支持对APP的安全加固。
(四)安全防护模块互联网接入平台和互联网、内部使用系统的网络边界应采取边界防护措施;为进一步提升系统安全性,内部使用系统边界可采用使用层安全防护、APT 检测/防御等安全措施。
三、部署方案根据方案设计,考虑到互联网接入平台的冗余性,各主要硬件设备均配置两套实现冗余,部署方案如下图所示:图2 办公网互联网接入平台部署方案示意图办公网和交易网的互联网接入平台的实现和部署模式相同,两套系统相对独立,仅统一认证系统可共享使用。
四、主要场景(一)外部PC客户端访问B/S使用场景1、员工在首次使用时,在PC端通过浏览器访问VPN发布的认证登录界面,下载使用发布客户端,完成安装。
2、员工在PC端上通过浏览器访问VPN发布的认证登录界面,输入用于统一认证的用户名、密码及动态口令(或其他强身份认证方式)。
3、VPN将用户信息提交到统一身份认证系统进行认证。
4、统一认证系统对合法的接入用户发放票据并记录。
5、建立VPN隧道后,会话重定向至使用发布平台,客户端(PC 浏览器)向使用发布平台发出认证请求,使用发布平台将认证请求重定向至统一认证系统,统一认证系统要求客户端提交认证信息,客户端将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据将客户端请求重定向至使用发布平台,客户端携带票据访问使用发布系统。
6、使用发布平台接收票据后,对该安全票据进行分析确认。
票据验证成功后,则为该用户建立有效会话,向用户展示用户的权限内使用。
7、用户点击相关的业务系统图标启动使用,使用客户端通过使用发布平台的相关接口获取终端设备缓存的票据,使用客户端携带票据向内部业务系统发起认证登录请求,业务系统向统一身份认证系统对票据进行验证。
8、统一身份认证系统验证完成后,返回给业务系统,业务系统得到票据持有者的用户信息。
9、业务系统根据用户信息查询该用户的权限并生成用户界面。
10、最终业务系统向用户进行展示对用户的业务系统界面。
(二)外部PC客户端访问C/S使用场景针对PC客户端需要访问的C/S类使用,除因实现单点登录而对其认证功能的改造和B/S类业务不同外,其他实现模式和“PC 客户端访问B/S使用场景”相同。
(三)外部移动客户端获取和启动场景1、员工通过使用移动终端设备的浏览器访问移动使用管理服务器发布的安装包获取页面,下载并安装移动使用管理系统(以下简称EMM)的客户端。
2、EMM客户端中部署“VPN SDK”,用于实现单点登录。
3、启动EMM客户端后,输入用于统一认证的用户名、密码及动态口令(或其他强认证方式)。
4、认证请求发送至边界的VPN设备,VPN将用户信息提交到统一身份认证系统进行认证。
5、统一认证系统对合法的接入用户发放票据并记录。
6、建立VPN隧道后,会话重定向至EMM,EMM客户端向EMM 发出认证请求,EMM将认证请求重定向至统一认证系统,统一认证系统要求EMM客户端提交认证信息,EMM客户端将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据并将请求重定向至EMM,EMM客户端携带票据访问EMM系统。
7、EMM接收票据后,使用统一认证系统提供的SDK开发包,对该安全票据进行分析确认。
票据验证成功后,则为该用户建立有效会话。
8、员工可以在EMM客户端资源页面中下载其授权范围内的企业APP。
(四)外部移动客户端使用TouchID认证场景1、员工通过使用移动终端设备的浏览器访问移动使用管理服务器发布的安装包获取页面,下载并安装EMM客户端。
2、EMM客户端中部署“VPN SDK”,用于实现单点登录。
3、启动EMM客户端后,采用TouchID方式进行认证。
4、认证请求发送至边界的VPN设备,VPN将用户使用TouchID 通过认证的信息提交到统一身份认证系统进行认证。
5、统一认证系统采用信任TouchID为可信认证源的方式进行认证结果判定,通过认证后对合法的接入用户发放票据并记录。
注:其他实现模式和“移动客户端获取和启动场景”相同。
(五)企业APP使用场景通过EMM客户端发布的企业内部移动APP(以下简称企业APP),同样需要使用“集成SDK”,用于实现单点登录和移动使用安全管理。
1、启动某内网业务系统APP后,读取该终端设备上EMM客户端中缓存的有效认证票据。
2、APP携带票据向APP服务端发起认证请求,APP服务端将认证请求重定向至统一认证系统,统一认证系统要求APP提交认证信息,APP将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据将请求重定向至APP服务器,APP携带票据访问APP服务器。
3、APP服务端接收票据后,使用统一认证系统提供的SDK开发包,对该安全票据进行分析。
分析结果提交至统一认证系统,统一认证系统进行票据有效性验证,对正确的结果返回确认信息和对应的账号,APP服务端使用该账号为用户建立有效会话。
(六)内部PC单点登录场景公司员工可在公司内网使用PC登录互联网接入平台后,通过身份认证后,能够实现内部各使用系统访问时的单点登录。
1、内部终端访问统一认证系统面向内部网络发布的统一Portal页面,填写账户、密码及动态口令(或其他强身份认证方式)等认证信息。
2、统一认证系统对合法的接入用户发放票据并记录,并提供用户资源页面。
3、用户访问资源页面内的使用系统时直接调用浏览器(B/S 系统)或客户端(C/S)系统,不使用使用发布的模式。
4、用户点击相关的业务系统图标启动使用,用户通过认证系统接口携带票据向内部业务系统发起认证登录请求,业务系统向统一身份认证系统对票据进行验证。
5、统一身份认证系统验证完成后,返回给业务系统,业务系统得到票据持有者的用户信息。
6、业务系统根据用户信息查询该用户的权限并生成用户界面。
7、最终业务系统向用户进行展示对用户的业务系统界面。
五、主要挑战该方案涉及部分定制开发工作,主要体现在一下几方面:(一)功能性定制开发考虑到方案的全面性,方案中的部分需求需要定制开发,如SSLVPN以及APP、PC使用的B/S和C/S使用对统一身份认证及单点登录方式的支持、统一Portal门户等。
(二)各组件间的接口开发为实现该方案各组件之间紧密配合,不同组件之间需要一定的定制开发工作,主要包括:1、SSL VPN和身份认证系统之间的接口。
2、使用发布系统和身份认证系统之间的接口。
3、移动使用管理和身份认证系统之间的接口。
4、身份认证系统和内部使用系统之间的接口。
5、使用发布和C/S使用系统客户端之间的接口。
6、使用发布和B/S使用系统之间的接口。
7、移动使用管理模块和内部使用APP之间的接口。
8、移动使用管理APP和SSL VPN之间的接口。
上述定制开发涉及面较广,尤其是涉及到各内部使用系统,各系统之间需要一定的磨合,系统搭建和调试周期相对较长。