统一身份认证平台集成接口文档
EETrust统一身份认证平台(UAP)技术方案
1. 概述统一身份认证平台是基于PKI(Public Key Infrastructure)理论体系,利用CA、数字签名和数字证书认证机制,综合应用USB接口智能卡、安全通道、VPN等技术,为门户、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。
1.1 认证系统实现目标本方案是按本地用户需求规划构建的统一身份认证平台,为本地用户各业务系统提供统一的身份认证和综合安全服务,以实现内联网、外联网及移动办公的统一认证:(1)建立本地用户自己独立的CA数字证书受理系统⏹基于CA,为平台各系统用户统一颁发数字证书;⏹支持数字证书的USB-KEY存储;(2)实现多应用的统一身份认证⏹统一的认证门户;⏹支持多个B/S结构、C/S结构的业务系统接入平台;⏹平台对用户统一授权和认证;⏹每一用户只使用一个USB-KEY访问所有被授权的系统;(3)移动办公安全⏹使用同一种认证方式进行VPN接入认证;⏹能够根据用户组授权访问不同的应用系统;⏹完善的日志和报表,提供用户登录、退出的时间等信息;(4)应用数据安全⏹本地文件使用个人证书进行加密保存和读取;⏹OA系统中秘密文件的加密存储和加密传输;⏹OA系统中电子邮件的签名和加密传输;1.2 统一身份认证平台主要功能门户系统(Portal)——各业务系统信息资源的综合展示。
统一授权——平台为用户统一颁发数字证书和私钥并存储在USB-KEY中,作为用户访问平台及各应用系统的凭据,并对用户访问应用系统的权限进行授权。
身份认证——用户在访问平台及各应用系统时,都使用相同的凭据(即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN),并利用数字签名技术在平台进行身份认证,证明其身份的真实性。
单点登录(SSO)——用户在通过平台认证后,可直接访问已授权的各应用系统,实现不同应用系统的身份认证共享,从而达到多应用系统的单点登录。
数据共享——认证平台存储了用户的基本信息和证书信息,所有应用系统均可以充分利用这些信息,减少用户信息的重复录入。
完整版)统一身份认证设计方案(最终版)
完整版)统一身份认证设计方案(最终版)统一身份认证设计方案日期:2016年2月目录1.1 系统总体设计1.1.1 总体设计思想本系统的总体设计思想是实现用户统一身份认证和授权管理,提供安全可靠的身份认证服务。
同时,该系统还要考虑到用户的便捷性和易用性。
1.1.2 平台总体介绍该平台是一个基于Web的身份认证和授权管理系统,采用B/S架构。
系统主要包括用户管理、证书管理、授权管理和认证管理四个模块。
1.1.3 平台总体逻辑结构该平台的总体逻辑结构分为客户端和服务器端两部分。
客户端包括浏览器和客户端应用程序,服务器端包括Web服务器、应用服务器和数据库服务器。
1.1.4 平台总体部署该平台可以在局域网内或互联网上进行部署。
部署时需要考虑服务器的性能和安全性。
1.2 平台功能说明该平台的主要功能包括用户管理、证书管理、授权管理和认证管理。
用户管理模块实现用户信息的录入、修改和删除等功能;证书管理模块实现数字证书的管理;授权管理模块实现对用户权限的管理和控制;认证管理模块实现用户身份认证功能。
1.3 集中用户管理1.3.1 管理服务对象该模块主要管理系统中的用户信息,包括用户的基本信息、身份信息和权限信息等。
1.3.2 用户身份信息设计1.3.2.1 用户类型系统中的用户分为内部用户和外部用户两种类型。
内部用户是指公司内部员工,外部用户是指公司的客户、供应商等。
1.3.2.2 身份信息模型身份信息模型包括用户的身份属性和身份认证方式。
用户的身份属性包括用户名、密码、证书等;身份认证方式包括口令认证、数字证书认证、Windows域认证和通行码认证等。
1.3.2.3 身份信息的存储用户的身份信息存储在数据库中,采用加密方式进行存储,保证用户信息的安全性。
1.3.3 用户生命周期管理用户生命周期管理主要包括用户注册、审核、激活和注销等过程。
在用户注销后,该用户的身份信息将被删除。
1.3.4 用户身份信息的维护用户身份信息的维护包括用户信息的修改、删除和查询等操作。
广东网上办事大厅统一身份认证平台对接规范V..
三.2.3.任务分工
省统一身份认证平台系统集成商:
1.提供OAuth2认证接口及其相应的集成操作文档;
2.协助业务系统开发商调用OAuth2认证接口认证服务,实现OAuth2认证;
在用户进行单点登录之前的身份认证方式可以有多种选择,省统一身份认证平台提供多种第三方信任源进行认证,包括各省直业务部门账户系统、市级身份认证平台、以及其它第三方信任源。
三.1.1.系统结构
系统建设逻辑结构如下图所示:
用户通过省统一身份认证平台进行登录认证,认证通过后单点登录访问业务系统,提供统一安全登录服务,从而避免用户多次重复登录各个不同系统,实现电子政务便民的工作目标。
三.2.2.集成模式
采用业务系统登录页面选择省统一身份认证平台或第三方信任源认证方式来进行用户认证,其实施步骤如下:
1.在业务系统登录页面加入省统一身份认证平台认证链接,调用省统一身份认证平台OAuth2认证接口,实现用户身份认证;
2.省统一身份认证平台提供OAuth2认证接口,供业务系统调用,实现用户身份认证信息的安全传输;
本规范文件按照广东省网上办事大厅工作的总体要求,指导各类业务系统建设单位开展统一认证对接工作,说明相关对接流程和步骤,提供相应服务接口及应用实例,完成各业务系统与省统一身份认证平台对接工作。
二、目标
各类业务系统接入省统一身份认证平台,主要目标如下:
(1)统一认证:各类业务系统通过省统一身份认证平台获取符合OAuth2认证协议的用户账户认证服务,支持省统一身份认证平台用户能够登录进入各类业务系统,实现“一个账号,全省通用”.
2021年方正智慧教育统一身份认证方案V1-4
禹会区智慧教育统一身份认证平台接口方案1、登录场景login接口描述:第三方应用提供用户名、密码、验证码。
调用UIM提供的WEBSERVICE接口,认证中心返回是否通过认证。
若通过,直接进入三方应用,若不通过,停留在登录页面。
目前教育局行政人员、教师信息在教师发展信息系统里录入,表名为:hr.HR_T_USER_BASEINFO。
学生信息在教务管理系统里录入,表名为:jw.JW_T_STUDENT。
家长信息在家校互动里录入,表名为:jxhd.JXHD_T_PARENTS。
教育局管理人员、教师信息在教师发展信息系统里录入后,会把userid、name、loginname、password同步到UIM的app_user表中,并且需要做功能菜单权限的控制。
学生和家长的userid、name、loginname、password不会进入app_user表,但是需要进入登陆体系,不需要功能菜单权限授权。
实现:第三方系统调用login这个WEBSERVICE方法,传入的用户名和密码信息进行认证,并返回认证结果。
如果返回成功,需要把GUID记录下来。
接口地址:http://218.107.242.90:9679/com.founder.bbjyservice.interfaces.IAuthManager?wsdl 接口方法:public String login(String loginname, String identify, String password,String ip, String systemName, String invokeDate);入参说明:系统日志表需要有接口名字段和调用接口用户ID字段。
但这两个参数不需要厂商提供。
返回值说明:结果码说明:示例:入参loginname:jwidentify:2password:888888ip:127.0.0.1systemName:学生成长档案系统invokeDate:2015-01-01返回值{"ret":"0","data":{"message":"登录成功","guid":"fb2316eb-5800-4892-b818-a7f00b3a1e92","user":{"id":1,"name ":"教务用户","description":null,"guid":null,"loginname":"jw","password":"","ema il":null,"disabled":null,"lastlogin":null,"sortorder":null,"attrMap" :{"ID":1,"NAME":"教务用户","GUID":null,"CREATEDDATE":null,"MODIFIEDDATE":null,"READONLY":null ,"NODELETE":null,"LOGINNAME":"jw","EMAIL":null,"DISABLED":null,"NODI SABLE":null,"LASTLOGIN":null,"SORTORDER":null,"IDENTIFY":null}}}}2、登出场景removeSSO接口描述:第三方应用访问统一认证,注销用户信息;实现:由第三方在自己的应用中调用removeSSO这个WEBSERVICE接口。
统一身份认证集成服务指南-华中师范大学信息化办公室
无 结束时间
开始时间 咨询电话 67868354
许可 □及办事项
办公地点
田家炳楼 808
承诺时间
五个工作日内完成审批
服务说明 服务流程
受理信息系统与学校统一身份认证的集成; 1、 由需求单位提出申请; 2、 审核通过后由服务人员与系统承建公司对接集成;
4-3-1信息系统统一认证集成
待集成业务系统 信息化办公室-数 待集成业务系统 承建方 所属部门 据研发部 统一认证集 成申请
信息安全完 善修复
信息 安全审查
服务流程图
提供合适 的统一认证 集成文档与 示例, 提供集成技 术支持
集成配置与 开发、部署
注册统一认 证信任应用
进行集成结 果测试验收
完成归档
材料名称 所需材料 华中师范大学统一身份认证 申请表 注意事项 服务依据 1
所需份数 附件 1
模版样例附件
统一身份认证集成服务指南
服务名称 服务方式 负责部门 服务来源 收费标准 限时办理 咨询人 事项类型
√ 承诺事项 □
统一身份认证集成
√ 线上 □线下 □线上线下 □
服务领域 服务对象 监督电话 入口地址 收费依据
申请办理 信息管理系统 67868133
数据与研发部 统一身份认证系统 无
√否 □是 □
统一身份认证平台
统一身份认证平台设计方案1)系统总体设计为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。
提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。
可以根据用户的关注点不同来为用户提供定制桌面的功能。
建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。
用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。
1.2.平台介绍以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。
如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:a)集中用户管理系统:完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统管理的安全风险。
b)集中证书管理系统:集成证书注册服务(RA)和电子密钥(USB-Key)管理功能,实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能,支持第三方电子认证服务。
统一身份认证平台功能描述
数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................. - 1 -1.1 产品简介....................................................... - 1 -1.2 应用范围....................................................... - 2 -2 产品功能结构......................................................... - 2 -3 产品功能............................................................. - 3 -3.1 认证服务....................................................... - 3 -3.1.1 用户集中管理............................................. - 3 -3.1.2 认证服务................................................. - 3 -3.2 授权服务....................................................... - 4 -3.2.1 基于角色的权限控制....................................... - 4 -3.2.2 授权服务................................................. - 4 -3.3 授权、认证接口................................................. - 4 -3.4 审计服务....................................................... - 5 -3.5 信息发布服务................................................... - 5 -3.6 集成服务....................................................... - 6 -3.6.1 应用系统管理............................................. - 6 - 3.6.2 应用系统功能管理......................................... - 6 - 3.6.3 应用系统操作管理......................................... - 7 -1产品概述1.1产品简介随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:➢用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。
统一认证单点登录集成方案
统一认证单点登录集成方案单点登录(Single Sign-On,SSO)是一种身份认证技术,允许用户通过一次登录访问多个相关但独立的应用程序和系统。
统一认证(Unified Authentication)则是一种身份认证集成方案,将不同的身份认证系统整合到一个统一的平台中,提供统一的用户身份认证服务。
下面将介绍统一认证单点登录集成方案。
1. 用户认证和管理模块:该模块用于管理和认证用户身份。
它可集成多种身份验证方式,如用户名密码验证、LDAP(轻量级目录访问协议)认证、OAuth(开放授权)认证、SAML(安全断言标记语言)认证等。
2.SSO单点登录模块:该模块用于实现单点登录功能。
用户只需通过一次登录,就可以访问多个应用程序和系统,无需多次输入用户名和密码。
通常,该模块通过生成和验证统一的令牌来实现单点登录。
3.客户端应用程序集成模块:该模块用于将已有的客户端应用程序和系统集成到统一认证单点登录系统中。
它包括客户端应用程序的改造和扩展,以支持统一认证单点登录功能。
通常,该模块会为每个应用程序生成一个唯一的密钥,用于与统一认证单点登录系统进行通信。
4.令牌生成和验证模块:该模块用于生成和验证令牌。
在用户成功登录后,统一认证单点登录系统会生成一个唯一的令牌,并将该令牌发送给客户端应用程序。
当用户访问其他应用程序时,客户端应用程序会将令牌发送给统一认证单点登录系统进行验证。
5.安全性管理模块:该模块用于管理统一认证单点登录系统的安全性。
它包括用户认证和授权、安全审计、密码策略管理等功能。
此外,该模块还应具备防止身份盗用和数据泄露的安全措施。
1.提高用户体验:通过实现单点登录功能,用户只需一次登录就可以访问多个应用程序和系统,大大简化了用户的操作流程和减少了用户的登录次数,提高了用户的使用体验。
2.提高安全性:通过集成多种身份认证方式和加强安全性管理,统一认证单点登录集成方案可以提供更加安全可靠的身份认证服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
三峡大学统一身份认证平台接口文档目录1.统一身份认证简介 (3)1.1 背景知识 (3)1.1.1 什么是单点登录(Single Sign On): (3)1.1.2 中心认证服务的设计愿景: (3)1.2 CAS的实现 (4)系统中的用到的凭证(ticket): (5)2.JAVA语言 (6)2.1 CAS简单登陆的实现 (6)2.2 CAS登出 (12)3.PHP语言 (13)3.1 CAS单点登录测试环境搭建步骤 (13)3.1.1 获取必要的驱动程序: (13)3.1.2 搭建php运行环境 (13)3.1.3 配置PHP cas 客户端测试程序 (13)3.2 PHP-CAS客户端 (14)3.2.1 cas-client的初始化 (14)3.2.2 设置不是SSL的CAS认证 (16)3.2.3 进行CAS认证 (17)3.2.4 登出 (20)语言 (22)4.1 搭建环境 (22)4.2 CAS简单登陆实现 (22)4.3 CAS登出实现 (23)5.ASP语言 (24)5.1 CAS简单登录实现 (24)5.2 CAS登出实现 (25)6.附录 (26)6.1 附录1 (26)6.2 附录2 (28)6.3 附录3 (30)6.4 附录4 (31)6.5 附录5 (32)1.统一身份认证简介1.1背景知识1.1.1 什么是单点登录(Single Sign On):所谓单点登录是指基于用户/会话认证的一个过程,用户只需一次性提供凭证(仅一次登录),就可以访问多个应用。
目前单点登录主要基于Web的多种应用程序,即通过浏览器实现对多个B/S架构应用的统一账户认证。
1.1.2 中心认证服务的设计愿景:简单的说,中心认证服务(Central Authentication Service 缩写:CAS)的目的就是使分布在一个企业内部各个不同异构系统的认证工作集中在一起,通过一个公用的认证系统统一管理和验证用户的身份,一般我们称之为统一身份认证平台。
在CAS上认证的用户将获得CAS颁发的一个证书,使用这个证书,用户可以在承认CAS 证书的各个系统上自由穿梭访问,不需要再次的登录认证。
打个比方:对于加入欧盟的国家而言,在他们国家中的公民可以凭借着自己的身份证,在整个欧洲旅行,不用签证。
对于学校内部系统而言,CAS就好比这个颁发欧盟认证的系统,其它系统都是加入欧盟的国家,它们要共同遵守和承认CAS的认证规则。
因此CAS的设计愿望就是:➢实现一个易用的、能跨不同Web应用的单点登录认证中心;➢实现统一的用户身份和密钥管理,减少多套密码系统造成的管理成本和安全漏洞;➢降低认证模块在IT系统设计中的耦合度,提供更好的SOA设计和更弹性的安全策略。
1.2CAS的实现从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。
CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。
图1 是 CAS 最基本的协议过程:CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。
对于访问受保护资源的每个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否包含Service Ticket,如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的 CAS Server 登录地址,并传递 Service (也就是要访问的目的资源地址),以便登录成功过后转回该地址。
用户在第 3 步中输入认证信息,如果登录成功,CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket,并缓存以待将来验证,之后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新产生的 Ticket 过后,在第 5,6 步中与 CAS Server 进行身份合适,以确保 Service Ticket 的合法性。
在该协议中,所有与 CAS 的交互均采用 SSL 协议,确保,ST 和 TGC 的安全性。
协议工作过程中会有 2 次重定向的过程,但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。
另外,CAS 协议中还提供了 Proxy (代理)模式,以适应更加高级、复杂的应用场景,具体介绍可以参考 CAS 官方网站上的相关文档。
系统中的用到的凭证(ticket):Ticket-granting cookie(TGC) 凭证存放cookie它是存放用户身份认证凭证的cookie,在浏览器和CAS间通讯时使用,并且只能基于安全通道HTTPS。
它是CAS用来明确用户身份的凭证,是实现web系统SSO的可选方案之一。
Service ticket(ST) 服务许可证Service ticket凭证由CAS服务器发出,通过客户端浏览器,到达业务服务器(通过URL重定向和ticket参数来实现)。
每个ST只能使用一次,针对特定的服务生成唯一识别码。
Proxy-granting ticket(PGT) 代理授权许可证该许可证由CAS服务器颁发给拥有ST凭证的服务(如果一个服务自身没有获得ST凭证,是不可能获得PGT的)。
该许可证绑定一个用户的一个特定服务,使其拥有向CAS服务器申请,以获得“代理凭证Proxy-tickets”的能力。
Proxy-granting ticket IOU(PGTIOU) 代理授权许可证索引这个许可证索引将通过凭证校验时的应答信息由CAS服务器端返回给CAS客户端。
与此同时,与该索引对应的PGT将通过回调链接传给web应用。
Web应用必须维护着PGT索引和PGT之间映射关系的内存表。
Proxy ticket(PT)代理许可证是应用程序代理用户身份,对目标程序进行访问的凭证。
代理许可证保存有代理及代理们进行逐级访问过程的信息。
一个代理访问的有可能是另一个更高级的代理,因此PT可以用来获取下一级代理的PGT。
这些逐级生成的PGT将保存有从用户到最终目标之间的代理队列的完整信息。
后面的章节将介绍常用的几种语言编写的程序,如何如何集成到统一身份认证中心平台。
如果将来学校还有其他语言的系统需要集成到统一身份认证中心平台,请联系公司索取相应的实现方法。
2.JAVA语言2.1CAS简单登陆的实现假设 CAS Server 单独部署在一台机器 A,而客户端应用部署在机器 B 上,由于客户端应用与 CAS Server 的通信采用 SSL,因此,需要在 A 与 B 的 JRE 之间建立信任关系。
首先与 A 机器一样,要生成 B 机器上的证书,配置应用服务器的 SSL 协议。
其次,下载/andreas/entry/no_more_unable_to_find 的InstallCert.java,运行“ java InstallCert compA:7002 ”命令,并且在接下来出现的询问中输入1。
这样,就将 A 添加到了 B 的 truststore 中。
如果多个客户端应用分别部署在不同机器上,那么每个机器都需要与 CAS Server 所在机器建立信任关系。
◆配置 CAS Filter准备好应用 casTest1 和 casTest2 过后,分别部署在 B 和 C 机器上,由于 casTest1 和casTest2,B 和 C 完全等同,我们以 casTest1 在 B 机器上的配置做介绍,假设 A 和B 的域名分别为 domainA 和 domainB。
将cas-client-java-2.1.1.jar 并拷贝到 casTest1/WEB-INF/lib目录下,修改web.xml 文件,添加 CAS Filter,如清单 10 所示:◆添加 CAS Filter对于所有访问满足 casTest1/protected-pattern/ 路径的资源时,都要求到 CASServer 登录,如果需要整个 casTest1 均受保护,可以将 url-pattern 指定为“/*”。
从以上配置可以看到,我们可以为 CASFilter 指定一些参数,并且有些是必须的,表格 1 和表格 2 中分别是必需和可选的参数:表格 1. CASFilter 必需的参数参数名作用edu.yale.its.tp.cas.client.filter.loginUrl 指定 CAS 提供登录页面的 URL edu.yale.its.tp.cas.client.filter.validateUrl 指定 CAS 提供 service ticket或 proxy ticket 验证服务的URLedu.yale.its.tp.cas.client.filter.serverName 指定客户端的域名和端口,是指客户端应用所在机器而不是 CASServer 所在机器,该参数或serviceUrl 至少有一个必须指定edu.yale.its.tp.cas.client.filter.serviceUrl 该参数指定过后将覆盖serverName 参数,成为登录成功过后重定向的目的地址表格 2. CASFilter 可选参数参数名作用edu.yale.its.tp.cas.client.filter.proxyCallbackUrl 用于当前应用需要作为其他服务的代理(proxy)时获取 ProxyGranting Ticket 的地址edu.yale.its.tp.cas.client.filter.authorizedProxy 用于允许当前应用从代理处获取proxy tickets,该参数接受以空格分隔开的多个 proxy URLs,但实际使用只需要一个成功即可。
当指定该参数过后,需要修改validateUrl 到 proxyValidate,而不再是 serviceValidate edu.yale.its.tp.cas.client.filter.renew 如果指定为 true,那么受保护的资源每次被访问时均要求用户重新进行验证,而不管之前是否已经通过edu.yale.its.tp.cas.client.filter.wrapRequest 如果指定为 true,那么CASFilter 将重新包装HttpRequest,并且使getRemoteUser() 方法返回当前登录用户的用户名edu.yale.its.tp.cas.client.filter.gateway 指定 gateway 属性传递登录用户名CAS 在登录成功过后,会给浏览器回传 Cookie,设置新的到的 Service Ticket。