文档介绍:统一身份认证平台设计方案
1) 系统总体设计
为了加强对业务系统和办公室系统的安全控管,提高信息化安全
管理水平,我们设计了基于 PKI/CA 技术为基础架构的统一身份认证
用户身份认证和单点登录过程中所需证书的签发;
用户身份认证凭证( USB 智能密钥)的制作。
. 平台总体部署
集中部署方式:所有模块部署在同一台服务器上,为企业提供统
一信任管理服务。
部署方式主要是采用专有定制硬件服务设备,将集中帐户管理、
集中授权管理、集中认证管理和集中审计管理等功能服务模块统一部
署和安装在该硬件设备当中, 通过连接外部服务区域当中的从 LDAP
目录服务(现有 AD 目录服务)来完成对用户帐户的操作和管理。
2) 技术实现方案
. 技术原理
基于数字证书的单点登录技术,使各信息资源和本防护系统站成
为一个有机的整体。通过在各信息资源端安装访问控制代理中间件,
和防护系统的认证服务器通信,利用系统提供的安全保障和信息服
— 5
精选文库
务,共享安全优势。
其原理如下:
每个信息资源配置一个访问代理, 并为不同的代理分配不同的数字证书,用来保证和系统服务之间的安全通信。
用户登录中心后,根据用户提供的数字证书确认用户的身份。
访问一个具体的信息资源时, 系统服务用访问代理对应的数字证书 ,把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器。
信息资源服务器在接受到数字信封后, 通过访问代理, 进行解密验证,得到用户身份。根据用户身份,进行内部权限的认证。
. 统一身份认证
— 6
精选文库
统一身份管理及访问控制系统用户数据独立于各应用系统,对于
数字证书的用户来说, 用户证书的序列号平台中是唯一的, 对于非证
书用户来说,平台用户 ID (passport)是唯一的,由其作为平台用户
的统一标识。如下图所示:
在通过平台统一认证后,可以从登录认证结果中获取平台用户证书的序列号或平台用户 ID ;
再由其映射不同应用系统的用户账户;
最后用映射后的账户访问相应的应用系统;
当增加一个应用系统时,只需要增加平台用户证书序列号或平台
用户 ID 与该应用系统账户的一个映射关系即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账户不同的问题。 单点登录过程均通过安全通道来保证数据传输的安全。
应用系统接入平台的架构如下图所示:
— 7
精选文库
系统提供两种应用系统接入方式,以快速实现单点登录:
a. 反向代理( ReverseProxy)方式
应用系统无需开发、 无需改动。对于不能作改动或没有原厂商配合的
应用系统,可以使用该方式接入统一用户管理平台。
反向代理技术:实现方式为松耦合,采用反向代理模块和单点登录
(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
b. Plug-in 方式
Plug-in:实现方式为紧耦合, 采用集成插件的方式与单点登录 (SSO)
认证服务进行交互验证用户信息,完成应用系统单点登录。
— 8
精选文库
紧耦合方式提供多种 API ,通过简单调用即可实现单点登录( SSO)。
统一身份管理及访问控制系统的典型授权管理模型如下图所示: