文档介绍:精选文库
35
统一身份认证平台设计方案
1) 系统总体设计
为了加强对业务系统和办公室系统的安全控管,提高信息化安全 管理水平,我们设计了基于 PKI/CA 技术为基础架构的统一身份认证 服务平台。
设计思想
目录服务(现有AD目录服务)来完成对用户帐户的操作和管理。
2)技术实现方案
技术原理
基于数字证书的单点登录技术,使各信息资源和本防护系统站成 为一个有机的整体。通过在各信息资源端安装访问控制代理中间件, 和防护系统的认证服务器通信,利用系统提供的安全保障和信息服
精选文库
8
务,共享安全优势。
«fi'S ■
一
V. ■■ 严 七F込
-
• \
八
■甸i叩I打十
5 >,
I
Ji*
P fb
I
• /
¥
贮」:II M
t -
•討厂■-
系绩奁宵罔
11
—U
:
其原理如下:
a)
每个信息资源配置一个访问代理,并为不同的代理分配不同的
数字证书,用来保证和系统服务之间的安全通信。
b)
用户登录中心后,根据用户提供的数字证书确认用户的身份。
C)
访问一个具体的信息资源时,系统服务用访问代理对应的数字
证书,把用户的身份信息机密后以数字信封的形式传递给相应
的信息资源服务器。
d)
信息资源服务器在接受到数字信封后, 通过访问代理,进行解
密验证,得到用户身份。根据用户身份,进行内部权限的认证。
22
统一身份认证
精选文库
9
精选文库
35
精选文库
35
统一身份管理及访问控制系统用户数据独立于各应用系统,对于
数字证书的用户来说,用户证书的序列号平台中是唯一的, 对于非证 书用户来说,平台用户ID(Passpor)是唯一的,由其作为平台用户 的统一标识。如下图所示:
在通过平台统一认证后,可以从登录认证结果中获取平台用户证
书的序列号或平台用户ID ;
再由其映射不同应用系统的用户账户;
最后用映射后的账户访问相应的应用系统;
当增加一个应用系统时,只需要增加平台用户证书序列号或平台
用户ID与该应用系统账户的一个映射关系即可,不会对其它应用系 统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和 用户账户不同的问题。单点登录过程均通过安全通道来保证数据传输 的安全。
应用系统接入平台的架构如下图所示:
精选文库
12
1叱M心一’血X';
平台《认tf仃户
写'■'呃H
—
椿口
&S
业务
B/S
认证
的ft
系统提供两种应用系统接入方式,以快速实现单点登录: (Reverse Proxy方式 应用系统无需开发、无需改动。对于不能作改动或没有原厂商配合的 应用系统,可以使用该方式接入统一用户管理平台。
反向代理技术:实现方式为松耦合,采用反向代理模块和单点登录
(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
统一认证平台
SSO
SSOA^ent
□A
精选文库
13
精选文库
35
b. Plug-in 方式
Plug-in:实现方式为紧耦合,采用集成插件的方式与单点登录(SSO)
认证服务进行交互验证用户信息,完成应用系统单点登录。
统一认证平台
SSO
SSOAPIi
• n
0A
精选文库
35
紧耦合方式提供多种API ,通过简单调用即可实现单点登录(SSO)。
统一身份管理及访问控制系统的典型授权管理模型如下图所示:
用户授权的基础是对用户的统一管理,对于在用户信息库中新注
册的用户,通过自动授权或手工授权方式,为用户分配角色、对应用 系统的访问权限、应用系统操作权限,完成对用户的授权。如果用户 在用户信息库中被删除,则其相应的授权信息也将被删除。
完整的用户授权流程如下: 1、用户信息统一管理,包括了用户的注册、用户信息变更、用户注 销;2、权限管理系统自动获取新增(或注销)用户信息,并根据设 置自动分配(或删除)默认权限和用户角色;
3、用户管理员可以基于角色调整用户授权(适用于用户权限批量处 理)或直接调整单个用户的授权;
4、授权信息记录到用户属性证书或用户信息库(关系型数据库、LDAP 目录服务)中;
5、用户登录到应用系统,由身份认证系统检验用户的权限信息并返 回给应