统一身份认证设计方案(版)
统一用户认证和单点登录解决方案
统一(tǒngyī)用户认证和单点登录解决方案随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。
比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。
由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。
特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏(pòhuài)的可能性也会增大,安全性就会相应降低。
针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。
统一用户管理的基本原理。
一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。
当用户需要使用(shǐyòng)多个应用系统时就会带来用户信息同步问题。
用户信息同步会增加系统的复杂性,增加管理的成本。
多大例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建(chuàngjiàn)用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。
如果用户X需要同时使用10个应用系统,用户信息在任何(rènhé)一个系统中做出更改后就必须同步至其他9个系统。
用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。
解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。
UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS 完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。
UUMS应具备以下基本功能:1.用户信息规范命名、统一存储,用户ID全局惟一。
用户ID犹如身份证,区分和标识了不同的个体。
2.UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。
统一身份认证解决方案
图:清晰的统一用户管理系统结构图
放入用户属性列表中,共享使用。
结果集。UuMS可提供组织,解析xML请
五iiF
西
。应用系统保留用户管理功能(用户分组、授权等),对
求与响应的工具包,应用系统选择使用此
圈
用户基本信息的增、删、查、改请求由uuMs处理。
T-具包可提高开发效率,以便将精力集中
盐 船
。应用系统以XML的格式发送对用户的增、删、查、
*应用系统需要组织特定格式的xML 用来向uuMs发送特定请求,并且要解析 特定格式的xML来分析来自uuMs的请求 响应。此过程类似于组织sQL语句与解析
可行的方法之一是使用托管的方
式由中央用户管理服务器(以下简称
uuMs)统一存储各应用系统的用
户,应用系统的用户相关操作全部通 过uuMs完成。实现:
。用户信息规范命名,统向各应用系统提供用
户属性的列表(Telephone、Address、
Email等用户属性的列表),各应用系
统选择本系统所需要的部分或全部属
性,向UuMS注册,I兀MS登记备案。
*应用系统根据业务需要可向 uuMs申请新的用户属性,审核通过后uuMs将新的属性
于业务逻辑。Q
协
万方数据
解决方案
由于各种原因,企业的应用系统中不得不存在着复杂 的用户同步问题,企业与开发商已经耗费了很多精力解决 这一问题,有没有办法能够降低用户同步的复杂度,或者 有没有办法彻底的解决此问题?
过程类似并用来替换向关系数据库或目录 服务器发送SQL命令或LDAP命令。
4应用系统采用HTTP+xML的方式 与UUMS通讯,基于HrrP与XML的开放、 跨平台、跨语言的特性,不需要在应用系统 端布署UUMS的客户端或相应的API。相 对应用系统端布署的JDBC、JNDI或类似的 连接数据库的API,无疑会为程序的布署、 配置、维护等带来更大的便利性。
统一认证与管理平台建设方案
统一认证与管理平台建设方案统一认证与管理平台(Unified Authentication and Management Platform,UAMP)是一种提供统一认证和统一管理服务的解决方案。
它通过集成用户身份认证、权限管理、访问控制、日志审计等功能,实现了企业内部各种应用和系统的统一用户管理和授权管理。
本文将介绍统一认证与管理平台建设的方案。
一、需求分析在企业内部,存在着许多不同的应用和系统,这些应用和系统可能来自不同的厂商、不同的部门,各自独立进行用户认证和权限控制。
这样的情况下,会导致很多问题,如用户需要记住多个不同的登录账号和密码,增加了用户的负担;权限管理分散,不易监控和管理;用户权限在不同系统间不同步,造成安全隐患等。
因此,建设统一认证与管理平台成为必要。
二、平台架构1.前端部分:包括用户访问界面和认证代理服务,用户通过统一的访问界面进行登录和访问权限申请,认证代理服务负责转发验证请求到后端。
2.后端部分:包括认证服务、权限管理服务、访问控制服务和日志审计服务等模块。
三、功能设计1.用户认证:统一认证与管理平台支持多种身份认证方式,如用户名密码、证书、双因素认证等。
用户只需提供一次认证,即可访问所有接入的应用和系统。
2.权限管理:平台提供了灵活的权限管理机制,支持基于角色的访问控制和访问策略的定义。
管理员可以定义角色,给角色赋予相应的权限,然后将用户分配到角色上。
3.访问控制:平台提供了细粒度的访问控制功能,可以精确控制用户对各个资源的访问权限,如文件、数据库、应用等。
4.日志审计:平台对用户的操作进行记录和审计,以便对安全事件进行溯源和追踪。
管理员可以查看用户的操作日志,及时发现并处理异常行为。
5.集成接口:平台提供了标准的接口,方便与各个应用和系统进行集成。
接入应用和系统只需根据接口规范进行相应的开发和配置即可。
四、实施步骤1.需求调研:与各业务部门进行沟通,了解各个应用和系统的用户认证和权限管理需求,明确建设目标和范围。
sso统一身份认证和访问控制解决实施方案
专业技术资料整理统一身份认证及访问控制技术方案1. 方案概述1.1. 项目背景随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/lntranet 的业务系统,如各类网上申报系统,网上审批系统,0A系统等。
系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题:1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度;2)多个身份认证系统会增加整个系统的管理工作成本;3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨;4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化;5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。
单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。
1.2. 系统概述针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。
该系统具备如下特点:单点登录:用户只需登录一次,即可通过单点登录系统(SSO访问后台的多个应用系统,无需重新登录后台的各个应用系统。
后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。
即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。
解决了当前其他SSO解决方案实施困难的难题。
多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/ 口令身份认证方式,可单独使用也可组合使用。
统一用户身份管控与认证平台解决方案
外系统通过身份管控平 台实时接口,校验用户、 角色、权限、资源等信 息,实现统一实时鉴权
整体架构
大数据身份管控平台由认证数据、认证服务中心、业务子系统三部分组成,实现政务端组织、用户统一管理,用户统一入口登录
业
务 子
自鉴权
系
统
认
证
服
区域、机构、员工、
务
应用、角色、权限、
中
资源数据同步服务
心
认 证
Hale Waihona Puke 平台名词解释用户1. 分域(责任域) 2. 机构组织 3. 行政区域 4. 用户组 5. 分类
角色
1. 角色标识 2. 角色编码 3. 角色名称 4. 角色类型(责任域) 5. 角色描述 6. 所属组织 7. 所属行政区域
权限
1. 权限标识 2. 归属应用 3. 资源类型 4. 资源名称 5. 操作标识(只读/可写/执行) 6. 责任类型(责任域)
操作
资源
1. 操作标识
1. 菜单编码
2. 操作名称
2. 菜单名称
3. 操作类型(访问控制/业务执行) 3. 应用
4. 应用
4. 层级
5. 顺序
5. 顺序
6. 状态(有效/无效)
6. 责任域
自鉴权
外系统通过身份管控平 台离线接口,同步用户、 角色、权限、资源等信 息到本系统 ,由本系统 实现鉴权
统一鉴权
鉴权能力输出 (去掉前缀,账号 全匹配统一鉴权)
身份管控平台
规则
为避免导入账号和已有账号重复, 采用系统标识+原有账号的规则 在统一门户生成新的账号。
例如原内容报送系统账号aaa, 初始化至统一门户时将新建账号 NRBS-aaa,用户经由统一门户 跳转至内容报送时,可将前缀截 去,从而定位到内容报送系统账 号aaa。
基于OpenLDAP的校园网统一身份认证设计
一— ’— ’ — — — — — 。一。 一 — — 一
。 — 一 — — 一 — 一 . — 一 一
—
。
一
5
.
』
,
u
,
户的登 录体 验 ,把用户 从记忆繁 多 的帐号 中解脱 出来 ,管 理
员 管理帐号 也变得简单 方便 ,只需要改 动一个地 方即可 。下 面就将对 如何 构建基 于 O e L A p n D P的校 园 网统一 身份认 证系
台认证设计 包括登 录界面 、找 回密码界 面 、用 户信息更 新及 修改 、用 户控制面板 等 ,后 台管 理设计包 括登 录 日志、查询 接 口、用户管 理等 。系统 运行平 台为 R d a A 5 e H t S 。统一身份
认证 的 目录服务树结构如图 1 所示。
r - ee s u a { . ASE: t dc= d — dc= B 。 —
i e fc . ntra e
Ke r s y wo d :Op n DAP ; ig e s n o P eL S n l i - n; HP ; i u g Lnx
1 引 言
随着 高校信息化 建设 步伐 的加 快 ,信 息管理 系统越来 越
导出 、条 件搜 索 以及查看 Sh m ce a架构信 息等功能。系统开发
Ope nLDAP
LIJ - o g iy n ( p l dT cn lg o eeo u h uU iesy ,i guK nh n2 52 C ia A pi eh oo yC l g f zo nv rt J n s u sa 1 3 5, hn) e l S i a
Ab ta t s r c :Ai n t h r b e x si g i h o sr ci n o ii lc mp s h h s n r d c s h w t i l e c mi g a e p o l ms e it n t e c n tu t fd gt a u ,t e t e i i t u e o o smpi d a - t n o a s o i f c u t n g me t a d tk a h i f r t n s se c r f ain t o d c n e e t iai n h u h te Op n D o o n ma a e n , n e e c n o mai y t m e t c t o c n u tu i d c r f t ,t r g h e L AP t a o i i o f ic o o b i D ie tr e vc 。 n sn HP t e eo n f d a t e t a in o r g o n n a k r u d ma a e n u l L AP d r co y s r i e a d u i g P o d v lp u i e u h n i t ff e r u d a d b c g o n n g me t d i c o o
校园网统一认证身份平台的设计与实施
超过一定期限的用户如果未被激活,则 自动删除:② 用户的对象除了标准
的 属 性 ,还 需 要 增 加 一 个描 述 权 限 的 属 性 。 这个 权 限的 属 性 内 存 储 的是
x 文 档 ,所 有应 用 的权 限都 保 存在 这里 ;③ 用 户 只能 设 置他 自己 的个人 肌
信息 ,管 理员 可 以设置 他管 辖 的所有 人员 的信 息 ;④ 管 理员 可 以增 、删 、
存储 ,对应 用 系统 统一 授权 、规 范应 用系 统 的用 户认 证 方 式 ,从 而达 到 1校 园 罔统一 认证 身份 平 台相关 内窖 及技 术分 析
1 1用 户管 理 .
提 高整 个系统 的 整体性 、可管理 性 和安 全性 的效 果
用 户是 指统 一身 份 认证 系统 所管 理 的用户 ,这个 用户 是 身份 认 证系 统
改用 户 ,可 以移动 用户 实现 用户 岗位 的调 动 :⑤ 用 户可 以 自己开 启或 者停 止 自身 的若干 服务 ,设 置系 统 的参数 ;⑥ 用户 的 口令 、数字 证书 等关 键信
息 都 存储 在 目录 服 务 器 中 ,这 些 信 息 均采 用 了高 强 度 加 密 算 法进 行 了加
一
息 的应用 系 统进 行发 送 ;③ 消 息插 件 。所 有 需要 订购 消息 的应 用系统 均 需
要 按照 一 定 的标准 开 发消 息 插件 ,此 插 件运 行 在身 份 管理 服务 器 端 ,需要 先 进行 注册 。消息 中心将 启 动 已注册 的插件 ,并将 消 息发送 给 这 些插 件 , 这 些插件 再 将消 息按 照其 自己的标 准传 进各 应用 系统 。 3 )用 户 状 态查 询 。支 持 多 种用 户 状态 ,如 停用 、 在线 、 离 开、 离线 等 等 ,可 以实 时记 录 用户 的 状态 , 并提 供用 户 和其 它应 用 查询 。 为实现 应 用 系统单 点 登陆 奠定 了基础 。 4 )支 持 事 务 。对 系统 的 修 改往 往 是连 动 的 ,也 就 是可 能若 干 信 息需 要 同 时修 改 。统 一 身 份 管 理服 务支 持 将 一 组 需 要 修改 的信 息 一 并处 理 完 成 ,保证 系统 数据 的完 整和 安全 。 14 统一 身份 认证 服务 . 统一 的 身份 认证 服务 器提 供 统一 身份 认证 服 务 ,可 以为应 用 系统提 供 用户 身份 认 证 。作 为统 一 身份 认证 系 统 的重 要组 成 部分 ,具 有 以下 功 能:
基于Socket数字化校园统一身份认证方案设计
缺乏 统一 管理 有些 用户 离 开学 校 以后 .仍 然 能登 录校 务器 进行 用 户认 证 信息 确认 .在通过 对 用户 身 份认 证 内一 些业 务系 统
的同时返 回一个 认证 令牌 给 用户 . 则 . 否 将直 接 返 回失
在 数 字 化 校 园统 一 身 份 认 证 方 案 中多 数 采 用 是 败信 息 。 户通 过认 证 令牌 即可访 问应 用 系统 , 用 并可 在 WE ev e 但 是 有 的服 务 采用 WE ev e不 能发 其 他 统 一 身 份 认 证 系 统 所 认 可 的应 用 系 统 间 自 由切 B S ri . c B S,i rc 挥其 最 大性 能 。 采用 S c e 能 发挥 最大 性 能 。 ok t 比如食 堂 换 , 需再 次认 证 。 无 学 生 刷 卡 . 卡 的频 率 很 高 . 用 S c e 比 WE e. 刷 采 okt BSr vc 有 效得 多 ie
由认 证 前置 机完 成 .而与 认证 相关 的 用户 信息 将 存储 在后 台的认 证服 务 器上 .并通 过设 立 于不 同的 网段 与
用户 、 用 系统 和认 证前 置 机相 隔离 , 应 增强 了安全 性。
2 3功 能分 析 .
数 字化 校 园管 理身 份认 证 方案功 能 :() 过对 在 1通 学 校 的教 务 系统 、 务 系统 、 财 餐饮 系统 、 房 系 统 、 校 已注 册 用 户 身 份 的 认 证 提 高 了用 户 信 息 的安 全 系 机 2通 修 图书 管理 系统 以及 宿 舍系 统等 都 与校 园信 息 网紧密 相 数 ;() 过 身 份认 证可 以对 已注 册用 户 信息 访 问 、
图 2 身 份 认 证 方 案 结 构 图
校园统一电子身份认证系统解决方案
实现了各个系统之间数据的实时更新和交流 ,同时 以简单易用 的 w b界面 , e 为用户提供个性化的信息服务和支持。- 网站 网 fP I
站的实现模式如 图 1 。
信息管理、 账号管理等 。 这些业务功能不依赖 或隶属 于某一个特 定的应用系统 ,而是通过组件 服务 的方式为上层应用系统提供 共享 的和一致 的服务能力 ,并 可承担不 同应用系统 问的协作任 务。 同时 , 组件技术对功能的封装和使用标准化的接 口为搭建具 体 的应用系统提供 了快速构造能力 。
的企业逻辑放在应用服务器上进行 集中管理 ,而不需要放 在每
图 1 门 户 网站 网站 的 实现 模 式 :
门户 网站的核心是一组应用服务器( p l a o re)现 A pi t nSv r, ci e
在 主流应 用服务 器 主要 有 甲骨文 的 O al Itme A pi t n rc n e e t pl a o ci
A ah, pce开发技术 P P数据库为 M S L( ) E H, yQ ; W B服务器为 I , 2 I s 开发技术 A P数据库为 S L e e () E S, Q r r 3w B服务 器为 Tm a S v; o ct , 开发技术 JP数据库为 Oal或 S L r r这三种方式都支持 S, r e Q v 。 c e S e 目 录服务,其中第二种实现方式 中的 W B服务器 I 可 以和活 E I s 动 目录( cv Dr t y ̄定 , 它两种都 支持 L A A te i c r) i e o 而其 D P目录服
务。本文 以第一种为例来说 明授权访 问站点的实现。
一
统一身份认证介绍
01
定义
加密与安全协议是用于确保数据传输和存储的安全性的一 组技术。
02 03
工作原理
通过使用加密算法和协议(如SSL/TLS、HTTPS等),对 传输的数据进行加密,确保数据在传输过程中不被窃取或 篡改。同时,使用安全协议(如OAuth、OpenID Connect等)来保护用户的个人信息和授权管理。
系统集成
将各个组件集成在一起,实现 统一身份认证的功能。
维护与优化
对系统进行日常维护和优化, 确保系统的稳定性和性能。
解决方案的优缺点
优点
提高安全性、便利性和工作效率 ,降低管理成本和维护成本,增 强用户体验和满意度。
缺点
实施难度较大,需要投入大量的 人力、物力和财力资源,同时需 要各个应用系统的配合和支持。
统一身份认证介绍
• 统一身份认证概述 • 统一身份认证的原理与技术 • 统一身份认证的解决方案 • 统一身份认证的案例分析 • 未来发展与挑战
01
统一身份认证概述
定义与特点
01
02
03
04
定义
统一身份认证是一种基于单一 账户和密码,实现跨多个应用 或平台登录的身份验证方式。
方便性
用户只需记住一个账号和密码 ,即可访问多个应用或平台。
提高用户体验,减少用户因遗忘密码而产生的困扰,增强 安全性。
令牌传递
定义
优势
令牌传递是一种基于令牌的身份验证 机制,其中令牌是用户已通过身份验 证的凭证。
提高安全性,减少中间人攻击的风险。
工作原理
用户通过身份验证后,系统会生成一个令牌 并将其发送给用户。用户在访问其他应用或 服务时,需出示该令牌以证明其已通过身份 验证。
单点登录(SSO)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
统一身份认证设计方案 日期:2016年2月
目 录 1.1 系统总体设计 ............................................................... 5 1.1.1 总体设计思想 5 1.1.2 平台总体介绍 6 1.1.3 平台总体逻辑结构 7 1.1.4 平台总体部署 8
1.2 平台功能说明 ............................................................... 8
1.3 集中用户管理 ............................................................... 9 1.3.1 管理服务对象 10 1.3.2 用户身份信息设计 11 1.3.2.1 用户类型 11 1.3.2.2 身份信息模型 11 1.3.2.3 身份信息的存储 12 1.3.3 用户生命周期管理 12 1.3.4 用户身份信息的维护 13
1.4 集中证书管理 .............................................................. 14 1.4.1 集中证书管理功能特点 14 1.5 集中授权管理 .............................................................. 16 1.5.1 集中授权应用背景 16 1.5.2 集中授权管理对象 17 1.5.3 集中授权的工作原理 18 1.5.4 集中授权模式 19 1.5.5 细粒度授权 19 1.5.6 角色的继承 20
1.6 集中认证管理 .............................................................. 21 1.6.1 集中认证管理特点 22 1.6.2 身份认证方式 22 1.6.2.1 用户名/口令认证 23 1.6.2.2 数字证书认证 23 1.6.2.3 Windows域认证 24 1.6.2.4 通行码认证 24 1.6.2.5 认证方式与安全等级 24 1.6.3 身份认证相关协议 25 1.6.3.1 SSL协议 25 1.6.3.2 Windows 域 25 1.6.3.3 SAML协议 26 1.6.4 集中认证系统主要功能 28 1.6.5 单点登录 29 1.6.5.1 单点登录技术 29 1.6.5.2 单点登录实现流程 31
1.7 集中审计管理 .............................................................. 35 1.1 系统总体设计
为了加强对业务系统和办公系统的安全管控,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.1 总体设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.1.2 平台总体介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。
集中证书集中认证集中授权集中审计集中用户
身份管理单点登录访问控制责任界定
如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: 集中用户管理系统:完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统管理的安全风险。 集中证书管理系统:集成证书注册服务(RA)和电子密钥(USB-Key)管理功能,实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能,支持第三方电子认证服务。 集中认证管理系统:实现多业务系统的统一认证,支持数字证书、动态口令、静态口令等多种认证方式;为企业提供单点登录服务,用户只需要登录一次就可以访问所有相互信任的应用系统。 集中授权管理系统:根据企业安全策略,采用基于角色的访问控制技术,实现支持多应用系统的集中、灵活的访问控制和授权管理功能,提高管理效率。 集中审计管理系统:提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息,支持应用系统、用户登录、管理操作等审计管理。 1.1.3 平台总体逻辑结构 总体逻辑结构图如下所示:
外部相关服务
LDAPSever,Windows
域服务等
统一信任管理平台服务系统(身份管理、单点登录、访问控制、责任界定)
PKI基础服务、加解密服务、SAML协议统一信任管理平台业务系统用户管理认证管理授权管理审计管理邮件财务CRM证书管理 如图所示,平台以PKI基础服务、加解密服务、SAML协议等国际成熟技术为基础,架构统一信任管理平台的管理系统,通过WEB过滤器、安全代理服务器等技术简单、快捷实现各应用系统集成,在保证系统安全性的前提下,更好的实现业务系统整合和内容整合。 1.1.4 平台总体部署 集中部署方式:所有模块部署在同一台服务器上,为企业提供统一信任管理服务。 部署方式主要是采用专有定制硬件服务设备,将集中帐户管理、集中授权管理、集中认证管理和集中审计管理等功能服务模块统一部署和安装在该硬件设备当中,通过连接外部服务区域当中的从LDAP目录服务(现有AD目录服务)来完成对用户帐户的操作和管理。 1.2 平台功能说明 平台主要提供集中用户管理、集中证书管理、集中认证管理、集中授权管理和集中审计等功能,总体功能模块如下图所示: 集中证书
过程管理统一用户接口用户信息导入导出用户信息映射用户信息同步
LDAP 身份源系统数据
单点登录 集中用户集中认证集中授权集中审计
总体功能模块图 1.3 集中用户管理 随着企业整体信息化的发展,大致都经历了网络基础建设阶段、应用系统建设阶段,目前正面临着实现纳入到信息化环境中人员的统一管理和安全控制阶段。随着企业的网络基础建设的不断完善和应用系统建设的不断扩展,在信息化促进业务加速发展的同时,企业信息化规模也在迅速扩大以满足业务的发展需要,更多的人员被融入信息化环境,由此突出反映的事件是无论是网络系统、业务系统、办公系统,其最终的主体将是企业内外的人员,每一为人员承担着使用、管理、授权、应用操作等角色。因此对于人员的可信身份的管理显得尤为重要,必将成为信息化发展的重中之重,只有加强人员的可信身份管理,才能做到大门的安全防护,才能为企业的管理、业务发展构建可信的信息化环境,特别是采用数字证书认证和应用后,完全可以做到全过程可信身份的管理,确保每个操作都是可信得、可信赖的。 集中用户管理系统主要是完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统用户管理的安全风险。
集中用户管理功能示意图 1.3.1 管理服务对象 集中用户管理主要面向企业内外部的人、资源等进行管理和提供服务,具体对象可以分为以下几类:
最终用户 自然人,包括自然人身份和相关信息 主账号 与自然人唯一对应的身份标识,一个主账号只能与一个自然人对应,而一个自然人可能存在多个主账号
从账号 与具体角色对应,每一个应用系统内部设置的用户账号,在统一信任管理平台中每个主账号可以拥有多个从帐号,也就是多种身份角色(即一个日然人在企业内部具备多套应用系统账号)
资源 用户使用或管理的对象,主要是指应用系统及应用系统下具体功能
具体服务对象之间的映射对应关系如下图所示: 用户账号与资源映射图 1.3.2 用户身份信息设计
1.3.2.1 用户类型 用户是访问资源的主体,人是最主要的用户类型:多数的业务由人发起,原始的数据由人输入,关键的流程由人控制。人又可再分为:员工、外部用户。员工即企业的职员,是平台主要的关注的用户群体;外部用户是指以独立身分访问企业应用系统的一般个人客户与企业客户。 1.3.2.2 身份信息模型
对各类用户身份建立统一的用户身份标识。用户身份标识是统一用户管理系统内部使用的标识,用于识别所有用户的身份信息。用户标识不同于员工号或身份证号,需要建立相应的编码规范。为了保证用户身份的真实、有效性,可以通过数字证书认证的方式进行身份鉴别并与用户身份标识进行唯一对应。