文档介绍：统一身份管理平台系统白皮书

    应用背景
    计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高,在企业信息化过程中,诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生,提高了企业的管理水平和运行效率。与此同时,各个应用系统都有自己的认证体系,随着应用系统的不断增加,一方面企业员工在业务系统的访问过程中,不得不记忆大量的帐户口令,而口令又极易遗忘或泄露,为企业带来损失;另一方面,企业信息的获取途径不断增多,但是缺乏对这些信息进行综合展示的平台。
    在上述背景下,企业信息资源的整合逐步提上日程,并在此基础上形成了各业务系统统一认证、单点登录(SSO)和信息综合展示的企业门户。现有的门户产品多集中于口令方式的身份认证,如何更安全地进行统一认证,并保证业务系统访问的安全性,成为关注的焦点。
    基于CA的统一身份管理平台
   的基于CA的UAP统一身份管理平台产品,以资源整合为目标,以PKI技术为基础,通过对用户身份的统一认证和访问控制,更安全地实现各业务系统的单点登录和信息资源的整合。
    平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式,并采用SSL加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。
    架构和组件
    UAP统一身份管理平台的系统架构
    基于CA认证的统一身份管理平台架构
    用户走SSL加密通道经过统一的身份认证进入门户系统,门户系统与业务系统之间通过访问和映射,实现单点登录,用户按权限进入接入平台的业务系统。
    认证、门户和SSO的配置由管理员在图右侧的平台管理系统中完成。
    平台管理系统由用户管理、平台管理、授权管理、业务系统管理、审计管理、CA管理6个模块组成。
    用户管理主要完成对业务系统注册用户的相关信息及对已注册用户信息的管理。
    平台管理主要实现为用户提供平台管理系统各内部配置信息的管理功能。
    授权管理主要实现用户权限管理功能。
    业务系统管理主要完成对各业务系统各配置项,映射接口及相关访问控制策略等信息的管理。
    审计管理主要完成平台系统日志备份及查找功能,可按时间范围导出备份系统日志信息,并具实时监控功能,可实时监控用户日志。
    系统自带CA管理主要完成对CA证书管理功能。
    UAP统一身份管理平台的组件主要包括以下部分:
Ø         门户系统:各个业务系统信息资源的综合展现;
Ø         平台管理系统:平台用户的注册、授权、审计;各业务系统的配置;门户管理;
Ø         CA系统:平台用户的数字证书申请、签发和管理;
Ø         用户统一认证:用户身份的CA数字证书认证、认证过程的SSL加密通道;
Ø         单点登录(SSO):业务系统关联映射、访问控制、访问业务系统时信息的加密签名和SSL加密通道;
    安全机制的实现
    用户注册和授权
    (1) 企业每一个用户在平台完成用户注册,得到自己的统一帐户;
    (2) 如果采用证书文件或USB智能卡认证方式,则CA系统自动为平台用户签发数字证书,并与用户的统一帐户对应