统一身份认证设计方案(最终版)
统一身份认证简单说明与优秀设计
统一身份认证简单说明与优秀设计统一身份认证(Central Authentication Service,CAS)是一种开源的单点登录协议,其主要作用是为用户提供一次登录,多次访问的便利。
CAS是网络应用的身份认证与授权解决方案,它为用户提供了一个安全、方便、统一的登录界面,并且可以节省用户的登录时间。
CAS的工作原理如下:1.用户访问一个需要身份认证的应用,比如网上银行。
2.应用将用户重定向到CAS服务器上的登录页面。
3.用户输入用户名和密码进行身份认证。
4. CAS服务器对用户的身份进行核实,如果验证通过,则生成一个票据(Ticket),并将票据发送回应用服务器。
5.应用服务器将票据发送给CAS服务器进行验证,验证通过后,应用服务器将用户信息写入会话,用户便可以正常访问该应用。
CAS的优秀设计主要体现在以下几个方面:1.单点登录:CAS实现了单点登录的功能,用户只需要登录一次,就可以访问多个应用,无需为每个应用都单独登录。
这样可以减少用户的登录次数,提高用户体验。
2.安全性和可靠性:CAS使用了加密算法对用户的密码进行保护,在传输过程中采用了HTTPS加密技术,确保用户的登录信息的安全。
此外,CAS还使用了票据机制来保证用户身份的有效性,避免了一些常见的安全问题,如跨站点脚本攻击和重放攻击。
3.可扩展性:CAS是一个基于网络协议的身份认证系统,它使用了标准的HTTP和HTTPS协议进行数据传输,这样可以与各种各样的应用进行集成。
CAS还提供了拓展点,可以根据具体应用的需求进行自定义扩展,非常灵活。
4.模块化设计:CAS使用了模块化的设计方式,将不同的功能分离成独立的模块,比如认证模块、授权模块、票据管理模块等,这样可以方便地进行功能的扩展和组合。
同时,模块化的设计也提高了代码的可维护性和可重用性。
5.高性能:CAS采用了缓存机制,将用户的登录状态存储在缓存服务器中,减少了对数据库的访问,提高了系统的性能。
统一用户身份验证方案详细设计
统一用户身份验证方案详细设计1. 引言本文档旨在为公司的统一用户身份验证方案提供详细设计。
该方案的目标是为用户提供安全可靠的登陆和身份验证机制,以保护用户的个人信息和敏感数据。
本文档将描述该方案的各个组成部分和其工作原理。
2. 方案概述统一用户身份验证方案基于单一的身份验证系统,以确保用户只需使用一组凭据即可访问公司内部各个应用和系统。
该方案将使用以下组件:2.1 用户数据库用户数据库将存储用户的身份信息,包括用户名、密码和其他相关属性。
数据库应采用加密算法对密码进行存储。
2.2 身份验证服务身份验证服务将提供验证用户凭据的功能,包括用户名和密码验证。
该服务将与用户数据库进行交互,并返回验证结果。
2.3 单点登录(SSO)单点登录将允许用户在成功验证后访问多个应用和系统,而无需重新输入凭据。
该功能将增强用户体验,并减少密码管理的负担。
3. 方案详细设计3.1 用户注册和管理用户注册功能将允许新用户创建账户并输入相关身份信息。
在注册过程中,用户的密码将经过加密处理,并存储在用户数据库中。
管理员将能够管理用户账户,包括重置密码和删除账户等功能。
3.2 身份验证过程用户身份验证将通过与身份验证服务进行交互来完成。
用户将输入其用户名和密码,然后将其发送给身份验证服务进行验证。
身份验证服务将与用户数据库进行身份验证,并返回验证结果。
如果验证成功,用户将被授予访问权限。
3.3 单点登录实现单点登录将通过在用户验证成功后生成和传递一个身份令牌来实现。
该令牌将包含用户的身份信息和访问权限。
当用户访问其他应用或系统时,令牌将被用于验证用户的身份,而无需重新输入凭据。
4. 方案实施计划本方案的实施将分为以下几个步骤:1. 设计和开发用户数据库,并确保其满足安全性要求。
2. 设计和开发身份验证服务,包括与用户数据库的集成。
3. 设计和开发单点登录功能,并与身份验证服务集成。
4. 测试整个方案的功能和安全性。
5. 部署方案到生产环境,并确保其正常运行。
统一身份认证设计方案
统一身份认证设计方案统一身份认证是指一种能够让用户在不同的应用程序中使用同一组凭证进行身份验证的解决方案。
通过统一身份认证,用户只需要一次登录即可访问多个应用程序,避免了反复登录的繁琐过程,并提高了用户的使用体验。
以下是一种统一身份认证的设计方案。
1.用户注册与认证用户首次使用统一身份认证系统时,需要进行注册与认证。
用户需要提供基本信息,并选择一个唯一的用户名和密码用于后续身份验证。
为了保障用户隐私和数据安全,必须对用户的密码进行加密存储,并采用合适的加密算法和安全策略。
2.应用程序集成应用程序需要集成统一身份认证系统的接口,以便进行身份验证。
集成时,应用程序需要向统一身份认证系统注册,并获取一个应用程序标识符和相应的密钥用于身份认证请求的签名。
这样,统一身份认证系统可以验证请求的合法性,并确保只有经过授权的应用程序才能使用统一身份认证系统进行身份验证。
3.用户登录流程当用户在一个应用程序中进行登录时,应用程序将用户重定向到统一身份认证系统的登录页面。
用户在登录页面输入用户名和密码进行身份验证。
统一身份认证系统验证用户的凭证,如果凭证正确,则生成一个用户认证票据,并将票据返回给应用程序。
应用程序可以通过票据确认用户的身份,并进行相应的授权。
4.用户认证状态维护为了提高用户的使用体验,统一身份认证系统需要维护用户的认证状态。
一旦用户完成了一次身份验证,统一身份认证系统就会生成一个用户认证状态令牌,并将令牌与用户的身份信息进行关联。
用户在访问其他应用程序时,可以通过认证状态令牌实现免登录访问,减少了登录的繁琐操作。
5.单点登录统一身份认证系统支持单点登录功能,用户只需要在一个应用程序中进行一次登录即可访问其他已集成的应用程序。
在用户完成第一次登录后,统一身份认证系统会为用户生成一个单点登录令牌,并将令牌返回给应用程序。
在用户访问其他应用程序时,应用程序可以通过单点登录令牌向统一身份认证系统进行验证,从而实现自动登录。
统一身份认证系统技术方案
统一身份认证系统技术方案统一身份认证系统(Unified Identity Authentication System,以下简称UIAS)是指通过一种集中式的数字认证服务,对各种不同的信息系统进行认证,从而实现用户只需要一个账号即可访问多个系统的服务。
本文将就UIAS技术方案展开分析。
一、架构设计1.UIAS系统架构UIAS系统由三个主要部分组成:认证中心、应用系统和用户设备。
UIAS系统构建基于统一身份认证标准CAS(Central Authentication Service)的思想,它是一种单点登录(Single Sign-On,以下简称SSO)的认证机制,用户只需要一次登录,即可在SSO认证管辖下的所有系统中进行访问。
2.UIAS系统流程设计UIAS系统工作流程大致分为如下步骤:步骤1:用户在访问系统时,会被重定向到UIAS认证中心页面;步骤2:用户在认证中心页面输入用户名和密码进行登录,UIAS认证中心验证用户身份信息;步骤3:UIAS认证中心生成票据给应用系统;步骤4:应用系统收到票据后,申请认证中心对其进行票据验证;步骤5:认证中心验证通过后,告知应用系统用户身份已经验证通过,应用系统根据票据提供服务。
二、实现技术1.标准协议UIAS系统依赖如下标准协议:(1)http协议:基于web服务进行通信;(2)xml协议:数据交换格式的统一标准;(3)SSL协议:建立安全通信链接。
2.用户认证机制(1)账号管理:用户在UIAS框架中,只需注册一次信息即可;(2)密钥加密:用户可在相关认证设备上生成自己的密钥,对数据进行加密,确保信息安全;(3)token方式验证:SSO认证机制使得用户采用token状态进行通信,提高系统安全性和效率。
3.用户身份验证技术(1)用户名和密码认证:基础的认证方式,用户输入用户名和密码即可进行访问;(2)多因素验证:此方式需要用户在输入用户名和密码的基础上,增加验证码、指纹、人脸等多种因素认证方式。
统一身份验证方案(终版)
统一身份验证方案(终版)
背景介绍
随着公司业务的不断扩展和用户数量的增加,我们亟需实现一个统一身份验证方案,以提高用户体验并保障信息安全。
该方案需满足以下要求:
- 无法被破解;
- 可以确保用户身份的合法性;
- 提供用户友好的操作界面;
- 能够应对未来的业务扩展。
方案要素
我们的统一身份验证方案主要由以下要素构成:
统一身份注册中心
所有用户在使用我们公司的任何服务时,需要先在该注册中心进行身份注册。
注册时需要提供真实的身份信息,并进行验证。
统一身份验证中心
我们将建立一个中心化的身份验证方案,对于每一次用户请求,我们都将检查其身份信息的合法性并授权访问。
基于Token的身份验证方式
我们采用基于Token的身份验证方式,该方式可大幅提高用户
体验并保障信息安全。
用户在登录后会获得一个Token,随着用户
在不同服务间切换,该Token也会在不同服务之间进行传递。
可灵活扩展的身份验证方案
我们的身份验证方案能够轻松地进行扩展,以应对未来的业务
扩展和功能增加。
预期效果
我们预计该方案将:
- 提高身份验证的安全性;
- 将用户对于多次登录的繁琐操作简化至一次;
- 增强用户对于我们公司的信任度。
统一身份认证平台讲解
统⼀⾝份认证平台讲解统⼀⾝份认证平台设计⽅案1)系统总体设计为了加强对业务系统和办公室系统的安全控管,提⾼信息化安全管理⽔平,我们设计了基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台。
1.1.设计思想为实现构建针对⼈员帐户管理层⾯和应⽤层⾯的、全⾯完善的安全管控需要,我们将按照如下设计思想为设计并实施统⼀⾝份认证服务平台解决⽅案:内部建设基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应⽤模块实现所提出的员⼯帐户统⼀、系统资源整合、应⽤数据共享和全⾯集中管控的核⼼⽬标。
提供现有统⼀门户系统,通过集成单点登录模块和调⽤统⼀⾝份认证平台服务,实现针对不同的⽤户登录,可以展⽰不同的内容。
可以根据⽤户的关注点不同来为⽤户提供定制桌⾯的功能。
建⽴统⼀⾝份认证服务平台,通过使⽤唯⼀⾝份标识的数字证书即可登录所有应⽤系统,具有良好的扩展性和可集成性。
提供基于LDAP⽬录服务的统⼀账户管理平台,通过LDAP中主、从账户的映射关系,进⾏应⽤系统级的访问控制和⽤户⽣命周期维护管理功能。
⽤户证书保存在USB KEY中,保证证书和私钥的安全,并满⾜移动办公的安全需求。
1.2.平台介绍以PKI/CA技术为核⼼,结合国内外先进的产品架构设计,实现集中的⽤户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供⽤户⾝份、系统资源、权限策略、审计⽇志等统⼀、安全、有效的配置和服务。
如图所⽰,统⼀信任管理平台各组件之间是松耦合关系,相互⽀撑⼜相互独⽴,具体功能如下:a)集中⽤户管理系统:完成各系统的⽤户信息整合,实现⽤户⽣命周期的集中统⼀管理,并建⽴与各应⽤系统的同步机制,简化⽤户及其账号的管理复杂度,降低系统管理的安全风险。
b)集中证书管理系统:集成证书注册服务(RA)和电⼦密钥(USB-Key)管理功能,实现⽤户证书申请、审批、核发、更新、吊销等⽣命周期管理功能,⽀持第三⽅电⼦认证服务。
统一身份认证CAS简单说明与设计方案
统一身份认证(CAS)简洁说明和设计方案(转)1. 单点登录概述所谓单点登录(SSO),只当企业用户同时访问多个不同(类型的)应用时,他们只须要供应自身的用户凭证信息(比如用户名/密码)一次,仅仅一次。
SSO解决方案(比如,CAS)负责统一认证用户,假如须要,SSO也可以完成用户的授权处理。
可以看出,当企业用户在不同的应用间切换时,他们不用再重复地输入自身的用户凭证了。
在实施SSO后,所用的认证操作都将交给SSO认证中心。
现有的SSO解决方案特殊多,比如微软的MSN Passport便是典型的SSO解决方案,各Java EE容器都供应了自身的专有SSO实力。
2. CAS的总体架构1. CAS简介CAS(中心认证服务)是建立在特殊开放的协议之上的企业级SSO解决方案。
诞生于2001年,在2002年发布了CAS2.0协议,这一新的协议供应了Proxy(代理)实力,此时的CAS2.0支持多层SSO实力。
到2005年,CAS成为了JA-SIG旗下的重要子项目。
由于CAS2.0版本的可扩展实力不是特殊完备,而且他的架构设计也不是很卓越,为了使得CAS能够适用于更多场合,JA-SIG打算开发出同时遵循CAS1.0和CAS2.0协议的CAS3.X版本。
现在的CAS3全面拥抱Spring技术,比如Spring DI容器和AOP技术、Spring Web MVC、Spring Web Flow、Spring Ldap Template等。
通常,CAS3由两部分内容构成:CAS3服务器和CAS客户端。
由于CAS2.0协议借助于XML数据结构和客户进行交互,因此开发者可以运用各种语言编写的CAS3客户和服务器进行通信。
CAS3服务器接受纯Java开发而成,它要求目标运行环境实现了Servlet2.4+规范、供应Java SE 1.4+支持。
假如宿主CAS3服务器的目标Java EE容器仅仅实现了Servlet2.3-规范,则在对CAS3服务器进行少量的改造后,CAS3也能运行其中。
完整版)统一身份认证设计方案(最终版)
完整版)统一身份认证设计方案(最终版)统一身份认证设计方案日期:2016年2月目录1.1 系统总体设计1.1.1 总体设计思想本系统的总体设计思想是实现用户统一身份认证和授权管理,提供安全可靠的身份认证服务。
同时,该系统还要考虑到用户的便捷性和易用性。
1.1.2 平台总体介绍该平台是一个基于Web的身份认证和授权管理系统,采用B/S架构。
系统主要包括用户管理、证书管理、授权管理和认证管理四个模块。
1.1.3 平台总体逻辑结构该平台的总体逻辑结构分为客户端和服务器端两部分。
客户端包括浏览器和客户端应用程序,服务器端包括Web服务器、应用服务器和数据库服务器。
1.1.4 平台总体部署该平台可以在局域网内或互联网上进行部署。
部署时需要考虑服务器的性能和安全性。
1.2 平台功能说明该平台的主要功能包括用户管理、证书管理、授权管理和认证管理。
用户管理模块实现用户信息的录入、修改和删除等功能;证书管理模块实现数字证书的管理;授权管理模块实现对用户权限的管理和控制;认证管理模块实现用户身份认证功能。
1.3 集中用户管理1.3.1 管理服务对象该模块主要管理系统中的用户信息,包括用户的基本信息、身份信息和权限信息等。
1.3.2 用户身份信息设计1.3.2.1 用户类型系统中的用户分为内部用户和外部用户两种类型。
内部用户是指公司内部员工,外部用户是指公司的客户、供应商等。
1.3.2.2 身份信息模型身份信息模型包括用户的身份属性和身份认证方式。
用户的身份属性包括用户名、密码、证书等;身份认证方式包括口令认证、数字证书认证、Windows域认证和通行码认证等。
1.3.2.3 身份信息的存储用户的身份信息存储在数据库中,采用加密方式进行存储,保证用户信息的安全性。
1.3.3 用户生命周期管理用户生命周期管理主要包括用户注册、审核、激活和注销等过程。
在用户注销后,该用户的身份信息将被删除。
1.3.4 用户身份信息的维护用户身份信息的维护包括用户信息的修改、删除和查询等操作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
统一身份认证设计方案日期:2016年2月目录1.1 系统总体设计............................................... 错误!未定义书签。
1.1.1 总体设计思想错误!未定义书签。
1.1.2 平台总体介绍错误!未定义书签。
1.1.3 平台总体逻辑结构错误!未定义书签。
1.1.4 平台总体部署错误!未定义书签。
1.2 平台功能说明............................................... 错误!未定义书签。
1.3 集中用户管理............................................... 错误!未定义书签。
1.3.1 管理服务对象错误!未定义书签。
1.3.2 用户身份信息设计错误!未定义书签。
用户类型错误!未定义书签。
身份信息模型错误!未定义书签。
身份信息的存储错误!未定义书签。
1.3.3 用户生命周期管理错误!未定义书签。
1.3.4 用户身份信息的维护错误!未定义书签。
1.4 集中证书管理............................................... 错误!未定义书签。
1.4.1 集中证书管理功能特点错误!未定义书签。
1.5 集中授权管理............................................... 错误!未定义书签。
1.5.1 集中授权应用背景错误!未定义书签。
1.5.2 集中授权管理对象错误!未定义书签。
1.5.3 集中授权的工作原理错误!未定义书签。
1.5.4 集中授权模式错误!未定义书签。
1.5.5 细粒度授权错误!未定义书签。
1.5.6 角色的继承错误!未定义书签。
1.6 集中认证管理............................................... 错误!未定义书签。
1.6.1 集中认证管理特点错误!未定义书签。
1.6.2 身份认证方式错误!未定义书签。
用户名/口令认证错误!未定义书签。
数字证书认证错误!未定义书签。
Windows域认证错误!未定义书签。
通行码认证错误!未定义书签。
认证方式与安全等级错误!未定义书签。
1.6.3 身份认证相关协议错误!未定义书签。
SSL协议错误!未定义书签。
Windows 域错误!未定义书签。
SAML协议错误!未定义书签。
1.6.4 集中认证系统主要功能错误!未定义书签。
1.6.5 单点登录错误!未定义书签。
单点登录技术错误!未定义书签。
单点登录实现流程错误!未定义书签。
1.7 集中审计管理............................................... 错误!未定义书签。
为了加强对业务系统和办公系统的安全管控,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.1 总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。
提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。
可以根据用户的关注点不同来为用户提供定制桌面的功能。
建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。
用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。
以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。
如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:集中用户管理系统:完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统管理的安全风险。
集中证书管理系统:集成证书注册服务(RA)和电子密钥(USB-Key)管理功能,实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能,支持第三方电子认证服务。
集中认证管理系统:实现多业务系统的统一认证,支持数字证书、动态口令、静态口令等多种认证方式;为企业提供单点登录服务,用户只需要登录一次就可以访问所有相互信任的应用系统。
集中授权管理系统:根据企业安全策略,采用基于角色的访问控制技术,实现支持多应用系统的集中、灵活的访问控制和授权管理功能,提高管理效率。
集中审计管理系统:提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息,支持应用系统、用户登录、管理操作等审计管理。
1.1.3 平台总体逻辑结构总体逻辑结构图如下所示:如图所示,平台以PKI基础服务、加解密服务、SAML协议等国际成熟技术为基础,架构统一信任管理平台的管理系统,通过WEB过滤器、安全代理服务器等技术简单、快捷实现各应用系统集成,在保证系统安全性的前提下,更好的实现业务系统整合和内容整合。
1.1.4 平台总体部署集中部署方式:所有模块部署在同一台服务器上,为企业提供统一信任管理服务。
部署方式主要是采用专有定制硬件服务设备,将集中帐户管理、集中授权管理、集中认证管理和集中审计管理等功能服务模块统一部署和安装在该硬件设备当中,通过连接外部服务区域当中的从LDAP目录服务(现有AD目录服务)来完成对用户帐户的操作和管理。
1.2 平台功能说明平台主要提供集中用户管理、集中证书管理、集中认证管理、集中授权管理和集中审计等功能,总体功能模块如下图所示:总体功能模块图1.3 集中用户管理随着企业整体信息化的发展,大致都经历了网络基础建设阶段、应用系统建设阶段,目前正面临着实现纳入到信息化环境中人员的统一管理和安全控制阶段。
随着企业的网络基础建设的不断完善和应用系统建设的不断扩展,在信息化促进业务加速发展的同时,企业信息化规模也在迅速扩大以满足业务的发展需要,更多的人员被融入信息化环境,由此突出反映的事件是无论是网络系统、业务系统、办公系统,其最终的主体将是企业内外的人员,每一为人员承担着使用、管理、授权、应用操作等角色。
因此对于人员的可信身份的管理显得尤为重要,必将成为信息化发展的重中之重,只有加强人员的可信身份管理,才能做到大门的安全防护,才能为企业的管理、业务发展构建可信的信息化环境,特别是采用数字证书认证和应用后,完全可以做到全过程可信身份的管理,确保每个操作都是可信得、可信赖的。
集中用户管理系统主要是完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统用户管理的安全风险。
集中用户管理功能示意图1.3.1 管理服务对象集中用户管理主要面向企业内外部的人、资源等进行管理和提供服务,具体对象可以分为以下几类:具体服务对象之间的映射对应关系如下图所示:用户账号与资源映射图1.3.2 用户身份信息设计1.3.2.1 用户类型用户是访问资源的主体,人是最主要的用户类型:多数的业务由人发起,原始的数据由人输入,关键的流程由人控制。
人又可再分为:员工、外部用户。
员工即企业的职员,是平台主要的关注的用户群体;外部用户是指以独立身分访问企业应用系统的一般个人客户与企业客户。
1.3.2.2 身份信息模型对各类用户身份建立统一的用户身份标识。
用户身份标识是统一用户管理系统内部使用的标识,用于识别所有用户的身份信息。
用户标识不同于员工号或身份证号,需要建立相应的编码规范。
为了保证用户身份的真实、有效性,可以通过数字证书认证的方式进行身份鉴别并与用户身份标识进行唯一对应。
用户基本信息保存用户最主要的信息属性,由于其它系统中,如HR 中还保留有用户更完整的信息,因此需要建立与这些系统的中信息的对照关系,所以需要保存用户在这些系统中用户信息的索引,便于关联查询。
基于分权、分级的管理需要,用户身份信息需要将用户信息按照所属机构和岗位级别进行分类,便于划分安全管理域,将用户信息集中存储在总部,以及管理域的划分。
用户认证信息管理用户的认证方式及各种认证方式对应的认证信息,如用户名/口令,数字证书等。
由于用户在各应用系统中各自具有账号和相关口令,为了保证在平台实施后可以使原有系统仍可以按照原有账号方式操作,需要建立用户标识与应用系统中账号的对照关系。
授权信息是对用户使用各系统的访问策略,给用户赋予系统中的角色和其它属性。
1.3.2.3 身份信息的存储为了方便对人员身份的管理,集中用户系统采用树形架构来进行人员组织架构的维护,存储方式主要采用LDAP。
可以通过企业内部已有的人员信息管理系统当中根据策略进行读写操作,目前主要支持以下数据源类型:Windows Active Directory(AD)OpenLdapIBM Directory Server(IDS)1.3.3 用户生命周期管理用户生命周期,主要关注的是用户的入职、用户账户创建、用户身份标识(数字证书的颁发)、用户属性变更、用户账户注销、用户帐户归档等流程的自动化管理,这一管理流程又可称为用户生命周期管理,如下图所示:由于要赋予用户可信的身份标识,所以需要通过数字证书认证的方式来实现,在用户生命周期管理过程中围绕用户包含了基于帐户的生命周期和数字证书的生命周期管理的内容。
数字证书主要是与用户的主账户标识进行唯一绑定,在用户帐户的使用和属性变更过程中数字证书不需要发生任何改变,唯有在用户帐户进行注销和归档过程中,与其相匹配的数字证书也同样需要进行吊销和归档操作。
1.3.4 用户身份信息的维护目前集中用户管理系统中对用户身份信息的维护主要以企业已存在的AD域和LDAP作为基础数据源,集中用户管理系统作为用户信息维护的主要入口,可以由人力资源部门的相应人员执行用户账户的创建、修改、删除、编辑、查询、以及数字证书的发放。
AD域中的用户信息变动通过适配器被平台感知,并自动同步到平台用户身份信息存储(目录服务器)中;平台的用户管理员也可以直接修改平台中集中存储的用户身份信息,再由平台同步到各个应用系统中。
1.4 集中证书管理集中证书管理功能主要是针对用户的CA系统,包括:1)证书申请2)证书制作3)证书生命周期管理(有效期、审核、颁发、吊销、更新、查询、归档)4)证书有效性检查集中证书管理功能集支持多种CA建设模式(自建和第三方服务)、多RA 集中管理、扩展性强等特性,从技术上及管理上以灵活的实现模式满足用户对证书集中管理的迫切需求,解决管理员对多平台进行操作及维护困难的问题。