EETrust统一身份管理及访问控制系统 (UID System)
1. 概述
EETrust统一身份管理及访问控制系统(UID System)是通过构建企业级用户目录管理,实现不同用户群体之间统一认证,将大量分散的信息和系统进行整合和互联,形成整体企业的信息中心和应用中心。UID System系统使企业员工通过单一的入口安全地访问企业内部全部信息与应用,为员工集中获取企业内部信息提供渠道,为员工集中处理企业内部IT系统应用提供统一窗口。
2. 面向服务(SOA)的体系结构
2.1 系统架构
系统采用先进的面向服务的体系架构,基于PKI理论体系,提供身份认证、单点登录、访问授权、策略管理等相关产品,这些产品以服务的形式展现在UID系统中,用户能方便的使用这些服务,形成企业一站式信息服务平台。
在各功能模块的实现和划分上,充分考虑各个功能之间的最少耦合性,对外提供的服务接口设计中,严格按照面向服务思想进行设计,在内部具体实现中,采用CORBA、DCOM、J2EE体系结构,保证各个模块的跨平台特性。
UID面向服务关系图
根据上图,应用程序使用服务时,通过UID提供的服务定位器,配置相关服务接口实现,各服务之间通过服务代理,可以组合成新的服务供服务定位器调用。各服务之间相对独立,任何一个安全功能的调整和增减,不会造成应用程序调用的修改和重复开发。
2.2 功能模块
2.2.1 结构图
说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。
具体包含以下主要功能模块:
认证中心(AuthDB)
存储企业用户目录,完成对用户身份、角色等信息的统一管理;
授权和访问管理系统(AAMS)
用户的授权、角色分配;
访问策略的定制和管理;
用户授权信息的自动同步;
用户访问的实时监控、安全审计;
身份认证服务(AuthService、AuthAgent)
身份认证前置(AuthAgent)为应用系统提供安全认证服务接口,中转认证和访问请求;
身份认证服务(AuthService)完成对用户身份的认证和角色的转换;
访问控制服务(AccsService、UIDPlugIn)
应用系统插件(UIDPlugIn)从应用系统获取单点登录所需的用户信息;
用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密签名;
CA中心及数字证书网上受理系统
用户身份认证和单点登录过程中所需证书的签发;
用户身份认证凭证(USB智能密钥)的制作;
2.2.2 系统(门户)互访模块调用关系图
说明:
1、黑色箭头描述了员工通过A系统访问B系统的模块调用逻辑关系;
2、红箭头描述了员工通过B系统访问A系统的模块调用逻辑关系;
2.2.3 角色管理和认证
为了实现门户及相关系统的统一认证,建设统一的身份管理中心,身份管理中心集中对用户身份进行管理。目前存在以下几种身份管理情况:
1、 统一采用密钥棒(CA证书)进行身份管理;
2、 完全采用用户名+口令进行身份管理;
3、 部分用户采用密钥,部分用户采用用户名+口令。
第一种情况,有统一的身份标识,只须授权就能实现各自门户和系统的统一认证。
第二种情况,可以在本地系统依然采用用户名+口令认证认证,在互访其它系统时,将所有这些用户绑定到一个或几个特定权限的证书角色上,实现系统之间互访。
第三重情况,可以采用两个登录入口,用户名+口令的走一个入口,有证书的走另一个入口,两个入口不能同时被一个用户使用,即有证书的不能用用户名+口令登录认证。在进行统一认证时,有证书的用户在授权后,可以直接进行系统间访问,没有证书的用户,在通过用户名+口令认证后,绑定到特定的角色证书上实现统一认证。
2.3 统一身份凭证管理
统一身份凭证是UID实现SSO的基础,在结构上采用统一存储,分散管理。身份凭证在UID系统中主要选用数字证书+用户信息,用户名+口令+用户信息作为身份凭证的补充。当用户业务系统众多时,无论访问哪个系统,都采用统一的认证凭证,用户不需要记住各系统对应的用户名和口令。
图:UID身份管理逻辑图
1、证书受理采用集中受理模式,所有员工的数字证书通过网上受理中心统一提交到CA中心签发;
2、所有员工证书统一存放在CA中心LDAP数据库中;
3、建立企业认证体系,由总认证中心和分认证中心组成;
4、总认证中心的证书库直接采用网上受理系统的证书库,总认证中心可负责所有员工的统一认证;
5、分认证中心的证书库采用同步定时分发机制,从总LDAP数据库中获取证书信息;
6、各业务系统或门户需要认证时,采用就近原则,到离业务系统最近的认证中心进行认证;若认证失败,可以直接到总认证中心进行认证;
7、所有认证中心采用负载均衡技术,保证认证效率和速度;
2.4 信息资源接入UID逻辑关系图
UID整合各种信息资源,通过标准XML语言,方便的将信息资源进行接入和使用。
图:UID资源接入逻辑图
3. 技术原理
3.1 数字证书身份认证原理
3.1.1 身份认证原理
数字证书身份认证系统,采用CA数字证书和数字签名等技术进行身份识别,将代表用户身份的数字证书和相应的私钥存储在密码钥匙(USB接口的智能卡)中,私钥不出卡,保证了唯一性和安全性。认证时,由密码钥匙完成数字签名和加密,敏感信息以密文形式在网络中传输,具有更高的安全性,从而解决了网络环境中的用户身份认证问题。
系统简单易用,将数字证书这一“复杂”的工具隐藏在系统后台,使用者不需要了解安全知识就能方便使用;同时,系统支持第三方CA(例如CTCA),可为政府、军队和企业提供集成的安全认证解决方案。
系统总体结构
系统各组成部分的主要功能:
客户端的SecureKey硬件:利用UID系统能提供的智能密码钥匙服务,完成客户端的数字签名和加解密工作,它是用户数字证书和私钥的载体。
客户端软件:是UID提供的浏览器安全插件,和浏览器无缝结合,完成对SecureKey的驱动和访问。
身份认证系统服务器:是整个认证系统的核心部分,控制所有远程用户对网络和应用系统的访问,提供全面的认证、授权和审计服务。
安全认证服务器拥有完善的自身数据安全保护功能,所有用户数据经加密后存储在数据库中,并具有安全、完备的数据库管理、备份功能;安全认证服务器拥有功能强大的图形化管理界面,提供用户管理、网络服务器管理、审计管理等全部系统管理功能。安全认证服务器有五部件组成:系统认证模块、用户管理模块、授权管理模块、审计管理模块、数据库。
系统认证模块
通过数字证书的校验和对用户数字签名的验证,实现对用户身份的识别。
用户管理模块
具有强大的图形管理界面,完成SecureKey的制作、删除、恢复;完成SecureKey用户的基本信息查询。
授权管理模块
完成对用户的授权管理,控制用户对系统资源的访问权限。
审计管理模块
完成日志的查询、对用户的行为进行审计。
数据库
存储用户信息、Key信息、管理员信息、系统设置、运行日志等系统信息, 其中关键信息(如用户密钥)以加密方式存储。
3.2 统一用户管理
统一用户管理平台的统一用户管理功能主要分为两部分:一部分是用户信息的导入;一部分是用户信息的同步。
(一)用户信息导入
平台用户信息可以采用手动或自动方式获取,对于少量用户信息的获取,可以采用手工输入的方式,对于大批量的用户信息获取则应采用自动方式。批量用户信息导入采用预先定义的接口,从事先选定好的用户信息最全的应用系统中或人力资源系统中或AD、LDAP中导入用户信息。
根据预先定义好的接口,可以实现用户信息字段的自动匹配,用户信息自动分类,用户角色信息匹配,用户权限信息自动分配等功能,方便对用户单点登录的授权和应用系统操作权限授权。
用户信息导入流程:
(1)、针对用户实际情况,选择人力资源系统或用户信息最全面的应用系统作为用户信息导入源;
(2)、按照事先定义好的Web接口,向平台导入用户信息;
(3)、平台会根据事先定义好的字段设置,将用户信息完整的建立起来,管理员可在此基础上对用户进行分组或自动分组,便于进行单点登录授权。
(二)用户信息同步
用户信息同步方式可分为两种:以外部信息为主,由系统自动同步到各个应用系统的模式和以系统为主自动同步到各个应用系统的模式。以外部信息为主的模式适用于用户已经建立了人力资源或类似系统的情况,用户仍然使用人力资源系统统一管理所有用户信息,但信息的同步由平台自动完成;以平台为主的模式适用于用户的各个应用系统分散管理用户信息的情况,在这种模式下所有的用户信息由平台管理,信息的增删改自动同步到各个应用系统。
用户信息同步流程:
以外部信息为主模式
(1)、根据事先定义好的Web接口,外部信息系统(通常为人力资源系统)在进行用户信息调整时(增加、删除用户和修改用户信息),自动通过Web接口将信息发送到系统中;
(2)、系统根据发送过来的用户调整信息,相应的在本地数据库或目录服务中调整用户信息,如果用户信息中还有证书信息,则平台将同时完成用户信息与用户证书信息的关联信息调整;
(3)、系统将调整后的用户信息通过Web接口自动同步到各个应用系统,由各个应用完成用户信息的调整。
以系统为主模式
(1)、管理员通过管理界面在系统中进行用户信息调整时(增加、删除用户和修改用户信息),系统自动通过Web接口将调整后的用户信息发送到各个应用系统中;
(2)、各个应用系统根据发送过来的用户调整信息,相应的在本地数据库或目录服务中调整用户信息。
(三)用户信息统一管理的特点
同步的实时性——在平台上增删改用户时,平台立即同步,使应用系统即时响应用户信息的调整;
容错机制强——当用户或管理员在平台上对用户信息进行编辑时,如系统发生故障和错误,平台系统会有一个自动提示并给应用系统管理员发送邮件;
接口灵活——针对不同的应用系统类型,平台提供相应的Web接口,并且接口规范定义清晰,可灵活扩展。
安全性——对用户信息传输和储存采用签名和加密等安全措施。
3.3 统一权限管理
3.3.1 基本原理
用户授权的基础是对用户的统一管理,对于在用户信息库中新注册的用户,通过自动授权或手工授权方式,为用户分配角色、对应用系统的访问权限、应用系统操作权限,完成对用户的授权。如果用户在用户信息库中被删除,则其相应的授权信息也将被删除。
完整的用户授权流程如下:
1、用户信息统一管理,包括了用户的注册、用户信息变更、用户注销;
2、权限管理系统自动获取新增(或注销)用户信息,并根据设置自动分配(或删除)默认权限和用户角色;
3、用户管理员可以基于角色调整用户授权(适用于用户权限批量处理)或直接调整单个用户的授权;
4、授权信息记录到用户属性证书或用户信息库(关系型数据库、LDAP目录服务)中;
5、用户登录到应用系统,由身份认证系统检验用户的权限信息并返回给应用系统,满足应用系统的权限要求可以进行操作,否则拒绝操作;
6、用户的授权信息和操作信息均被记录到日志中,可以形成完整的用户授权表、用户访问统计表。
3.3.2 授权管理
统一身份管理及访问控制系统(UID)的典型授权管理模型如下图所示:
3.4 单点登录原理
基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。
其原理如下:
1) 每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保证和系统服务之间的安全通信。
2) 用户登录中心后,根据用户提供的数字证书确认用户的身份。
3) 访问一个具体的信息资源时,系统服务用访问代理对应的数字证书,把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器。
4) 信息资源服务器在接受到数字信封后,通过访问代理,进行解密验证,得到用户身份。根据用户身份,进行内部权限的认证。
3.4.1 唯一身份凭证
统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户的统一标识。如下图所示:
(1)、在通过平台统一认证后,可以从登录认证结果中获取平台用户证书的序列号或平台用户ID;
(2)、再由其映射不同应用系统的用户账户;
(3)、最后用映射后的账户访问相应的应用系统;
当增加一个应用系统时,只需要增加平台用户证书序列号或平台用户ID与该应用系统账户的一个映射关系即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账户不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。
3.4.2 B/S应用系统接入
B/S结构应用系统用户均采用浏览器登录和访问应用系统,因此采用统一认证门户,在统一认证门户登录认证成功后,再访问具体B/S应用应用系统。B/S应用系统接入平台的架构如下图所示:
UID系统提供两种应用系统接入方式,以快速实现单点登录:
(1)反向代理(Reverse Proxy)方式
应用系统无需开发、无需改动。对于不能作改动或没有原厂商配合的应用系统,可以使用该方式接入统一用户管理平台。
反向代理技术:实现方式为松耦合,采用反向代理模块和UID的单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
(2)Plug-in 方式
Plug-in:实现方式为紧耦合,采用集成插件的方式与UID的单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
紧耦合方式提供多种API,通过简单调用即可实现单点登录(SSO)。
对于J2EE环境,提供JAR包
对于ASP/.Net环境,提供COM组件
对于Domino环境,提供DSAPI
对于有原厂商配合开发的应用系统,可以使用该方式高效地接入UID系统中。
3.4.3 C/S应用系统接入
对于C/S应用系统的接入,实现方式是用户在登录系统门户后,点击相应的C/S应用系统图标,然后启用Windows的消息机制,将认证的请求发送到C/S应用服务器进行认证。认证通过后,在用户端启用相应的客户端程序。
3.4.4 单点登录特点
UID系统单点登录功能特点如下:
提供多种环境的接口包,应用系统开发工作量小;
提供多种接入方式,系统实施灵活,接入周期较短;
认证过程中采用多种安全加密技术,保证认证信息的安全性;
单点登录功能稳定可靠,为多应用系统提供良好的登录认证服务。
3.5 安全通道
UID提供的安全通道是利用数字签名进行身份认证,采用数字信封进行信息加密的基于SSL协议的安全通道产品,实现了服务器端和客户端嵌入式的数据安全隔离机制。
使用前
使用后
安全通道的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过3个元素来完成:
(1)握手协议:这个协议负责协商用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
(2)记录协议:这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。
(3)警告协议:这个协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候终止。
3.6 业务系统访问权限的控制
UID用户是一个大的用户集合,通过系统认证的用户并不一定能访问所有接入UID中心的业务系统。系统用户对业务系统的访问权限通过用户分组和访问控制策略进行控制。例如:
按照用户所属单位或部门划分组,该组可访问相应单位部门的业务系统;
按照用户角色划分组,例如:财务人员分组可以访问财务相关的业务系统;
同时,中心用户与业务系统映射表中设置用户访问权限标识,可针对单个用户访问某个业务的权限进行停用/启用。
1. 概述
EETrust统一身份管理及访问控制系统(UID System)是通过构建企业级用户目录管理,实现不同用户群体之间统一认证,将大量分散的信息和系统进行整合和互联,形成整体企业的信息中心和应用中心。UID System系统使企业员工通过单一的入口安全地访问企业内部全部信息与应用,为员工集中获取企业内部信息提供渠道,为员工集中处理企业内部IT系统应用提供统一窗口。
2. 面向服务(SOA)的体系结构
2.1 系统架构
系统采用先进的面向服务的体系架构,基于PKI理论体系,提供身份认证、单点登录、访问授权、策略管理等相关产品,这些产品以服务的形式展现在UID系统中,用户能方便的使用这些服务,形成企业一站式信息服务平台。
在各功能模块的实现和划分上,充分考虑各个功能之间的最少耦合性,对外提供的服务接口设计中,严格按照面向服务思想进行设计,在内部具体实现中,采用CORBA、DCOM、J2EE体系结构,保证各个模块的跨平台特性。
UID面向服务关系图
根据上图,应用程序使用服务时,通过UID提供的服务定位器,配置相关服务接口实现,各服务之间通过服务代理,可以组合成新的服务供服务定位器调用。各服务之间相对独立,任何一个安全功能的调整和增减,不会造成应用程序调用的修改和重复开发。
2.2 功能模块
2.2.1 结构图
说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。
具体包含以下主要功能模块:
认证中心(AuthDB)
存储企业用户目录,完成对用户身份、角色等信息的统一管理;
授权和访问管理系统(AAMS)
用户的授权、角色分配;
访问策略的定制和管理;
用户授权信息的自动同步;
用户访问的实时监控、安全审计;
身份认证服务(AuthService、AuthAgent)
身份认证前置(AuthAgent)为应用系统提供安全认证服务接口,中转认证和访问请求;
身份认证服务(AuthService)完成对用户身份的认证和角色的转换;
访问控制服务(AccsService、UIDPlugIn)
应用系统插件(UIDPlugIn)从应用系统获取单点登录所需的用户信息;
用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密签名;
CA中心及数字证书网上受理系统
用户身份认证和单点登录过程中所需证书的签发;
用户身份认证凭证(USB智能密钥)的制作;
2.2.2 系统(门户)互访模块调用关系图
说明:
1、黑色箭头描述了员工通过A系统访问B系统的模块调用逻辑关系;
2、红箭头描述了员工通过B系统访问A系统的模块调用逻辑关系;
2.2.3 角色管理和认证
为了实现门户及相关系统的统一认证,建设统一的身份管理中心,身份管理中心集中对用户身份进行管理。目前存在以下几种身份管理情况:
1、 统一采用密钥棒(CA证书)进行身份管理;
2、 完全采用用户名+口令进行身份管理;
3、 部分用户采用密钥,部分用户采用用户名+口令。
第一种情况,有统一的身份标识,只须授权就能实现各自门户和系统的统一认证。
第二种情况,可以在本地系统依然采用用户名+口令认证认证,在互访其它系统时,将所有这些用户绑定到一个或几个特定权限的证书角色上,实现系统之间互访。
第三重情况,可以采用两个登录入口,用户名+口令的走一个入口,有证书的走另一个入口,两个入口不能同时被一个用户使用,即有证书的不能用用户名+口令登录认证。在进行统一认证时,有证书的用户在授权后,可以直接进行系统间访问,没有证书的用户,在通过用户名+口令认证后,绑定到特定的角色证书上实现统一认证。
2.3 统一身份凭证管理
统一身份凭证是UID实现SSO的基础,在结构上采用统一存储,分散管理。身份凭证在UID系统中主要选用数字证书+用户信息,用户名+口令+用户信息作为身份凭证的补充。当用户业务系统众多时,无论访问哪个系统,都采用统一的认证凭证,用户不需要记住各系统对应的用户名和口令。
图:UID身份管理逻辑图
1、证书受理采用集中受理模式,所有员工的数字证书通过网上受理中心统一提交到CA中心签发;
2、所有员工证书统一存放在CA中心LDAP数据库中;
3、建立企业认证体系,由总认证中心和分认证中心组成;
4、总认证中心的证书库直接采用网上受理系统的证书库,总认证中心可负责所有员工的统一认证;
5、分认证中心的证书库采用同步定时分发机制,从总LDAP数据库中获取证书信息;
6、各业务系统或门户需要认证时,采用就近原则,到离业务系统最近的认证中心进行认证;若认证失败,可以直接到总认证中心进行认证;
7、所有认证中心采用负载均衡技术,保证认证效率和速度;
2.4 信息资源接入UID逻辑关系图
UID整合各种信息资源,通过标准XML语言,方便的将信息资源进行接入和使用。
图:UID资源接入逻辑图
3. 技术原理
3.1 数字证书身份认证原理
3.1.1 身份认证原理
数字证书身份认证系统,采用CA数字证书和数字签名等技术进行身份识别,将代表用户身份的数字证书和相应的私钥存储在密码钥匙(USB接口的智能卡)中,私钥不出卡,保证了唯一性和安全性。认证时,由密码钥匙完成数字签名和加密,敏感信息以密文形式在网络中传输,具有更高的安全性,从而解决了网络环境中的用户身份认证问题。
系统简单易用,将数字证书这一“复杂”的工具隐藏在系统后台,使用者不需要了解安全知识就能方便使用;同时,系统支持第三方CA(例如CTCA),可为政府、军队和企业提供集成的安全认证解决方案。
系统总体结构
系统各组成部分的主要功能:
客户端的SecureKey硬件:利用UID系统能提供的智能密码钥匙服务,完成客户端的数字签名和加解密工作,它是用户数字证书和私钥的载体。
客户端软件:是UID提供的浏览器安全插件,和浏览器无缝结合,完成对SecureKey的驱动和访问。
身份认证系统服务器:是整个认证系统的核心部分,控制所有远程用户对网络和应用系统的访问,提供全面的认证、授权和审计服务。
安全认证服务器拥有完善的自身数据安全保护功能,所有用户数据经加密后存储在数据库中,并具有安全、完备的数据库管理、备份功能;安全认证服务器拥有功能强大的图形化管理界面,提供用户管理、网络服务器管理、审计管理等全部系统管理功能。安全认证服务器有五部件组成:系统认证模块、用户管理模块、授权管理模块、审计管理模块、数据库。
系统认证模块
通过数字证书的校验和对用户数字签名的验证,实现对用户身份的识别。
用户管理模块
具有强大的图形管理界面,完成SecureKey的制作、删除、恢复;完成SecureKey用户的基本信息查询。
授权管理模块
完成对用户的授权管理,控制用户对系统资源的访问权限。
审计管理模块
完成日志的查询、对用户的行为进行审计。
数据库
存储用户信息、Key信息、管理员信息、系统设置、运行日志等系统信息, 其中关键信息(如用户密钥)以加密方式存储。
3.2 统一用户管理
统一用户管理平台的统一用户管理功能主要分为两部分:一部分是用户信息的导入;一部分是用户信息的同步。
(一)用户信息导入
平台用户信息可以采用手动或自动方式获取,对于少量用户信息的获取,可以采用手工输入的方式,对于大批量的用户信息获取则应采用自动方式。批量用户信息导入采用预先定义的接口,从事先选定好的用户信息最全的应用系统中或人力资源系统中或AD、LDAP中导入用户信息。
根据预先定义好的接口,可以实现用户信息字段的自动匹配,用户信息自动分类,用户角色信息匹配,用户权限信息自动分配等功能,方便对用户单点登录的授权和应用系统操作权限授权。
用户信息导入流程:
(1)、针对用户实际情况,选择人力资源系统或用户信息最全面的应用系统作为用户信息导入源;
(2)、按照事先定义好的Web接口,向平台导入用户信息;
(3)、平台会根据事先定义好的字段设置,将用户信息完整的建立起来,管理员可在此基础上对用户进行分组或自动分组,便于进行单点登录授权。
(二)用户信息同步
用户信息同步方式可分为两种:以外部信息为主,由系统自动同步到各个应用系统的模式和以系统为主自动同步到各个应用系统的模式。以外部信息为主的模式适用于用户已经建立了人力资源或类似系统的情况,用户仍然使用人力资源系统统一管理所有用户信息,但信息的同步由平台自动完成;以平台为主的模式适用于用户的各个应用系统分散管理用户信息的情况,在这种模式下所有的用户信息由平台管理,信息的增删改自动同步到各个应用系统。
用户信息同步流程:
以外部信息为主模式
(1)、根据事先定义好的Web接口,外部信息系统(通常为人力资源系统)在进行用户信息调整时(增加、删除用户和修改用户信息),自动通过Web接口将信息发送到系统中;
(2)、系统根据发送过来的用户调整信息,相应的在本地数据库或目录服务中调整用户信息,如果用户信息中还有证书信息,则平台将同时完成用户信息与用户证书信息的关联信息调整;
(3)、系统将调整后的用户信息通过Web接口自动同步到各个应用系统,由各个应用完成用户信息的调整。
以系统为主模式
(1)、管理员通过管理界面在系统中进行用户信息调整时(增加、删除用户和修改用户信息),系统自动通过Web接口将调整后的用户信息发送到各个应用系统中;
(2)、各个应用系统根据发送过来的用户调整信息,相应的在本地数据库或目录服务中调整用户信息。
(三)用户信息统一管理的特点
同步的实时性——在平台上增删改用户时,平台立即同步,使应用系统即时响应用户信息的调整;
容错机制强——当用户或管理员在平台上对用户信息进行编辑时,如系统发生故障和错误,平台系统会有一个自动提示并给应用系统管理员发送邮件;
接口灵活——针对不同的应用系统类型,平台提供相应的Web接口,并且接口规范定义清晰,可灵活扩展。
安全性——对用户信息传输和储存采用签名和加密等安全措施。
3.3 统一权限管理
3.3.1 基本原理
用户授权的基础是对用户的统一管理,对于在用户信息库中新注册的用户,通过自动授权或手工授权方式,为用户分配角色、对应用系统的访问权限、应用系统操作权限,完成对用户的授权。如果用户在用户信息库中被删除,则其相应的授权信息也将被删除。
完整的用户授权流程如下:
1、用户信息统一管理,包括了用户的注册、用户信息变更、用户注销;
2、权限管理系统自动获取新增(或注销)用户信息,并根据设置自动分配(或删除)默认权限和用户角色;
3、用户管理员可以基于角色调整用户授权(适用于用户权限批量处理)或直接调整单个用户的授权;
4、授权信息记录到用户属性证书或用户信息库(关系型数据库、LDAP目录服务)中;
5、用户登录到应用系统,由身份认证系统检验用户的权限信息并返回给应用系统,满足应用系统的权限要求可以进行操作,否则拒绝操作;
6、用户的授权信息和操作信息均被记录到日志中,可以形成完整的用户授权表、用户访问统计表。
3.3.2 授权管理
统一身份管理及访问控制系统(UID)的典型授权管理模型如下图所示:
3.4 单点登录原理
基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。
其原理如下:
1) 每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保证和系统服务之间的安全通信。
2) 用户登录中心后,根据用户提供的数字证书确认用户的身份。
3) 访问一个具体的信息资源时,系统服务用访问代理对应的数字证书,把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器。
4) 信息资源服务器在接受到数字信封后,通过访问代理,进行解密验证,得到用户身份。根据用户身份,进行内部权限的认证。
3.4.1 唯一身份凭证
统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户的统一标识。如下图所示:
(1)、在通过平台统一认证后,可以从登录认证结果中获取平台用户证书的序列号或平台用户ID;
(2)、再由其映射不同应用系统的用户账户;
(3)、最后用映射后的账户访问相应的应用系统;
当增加一个应用系统时,只需要增加平台用户证书序列号或平台用户ID与该应用系统账户的一个映射关系即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账户不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。
3.4.2 B/S应用系统接入
B/S结构应用系统用户均采用浏览器登录和访问应用系统,因此采用统一认证门户,在统一认证门户登录认证成功后,再访问具体B/S应用应用系统。B/S应用系统接入平台的架构如下图所示:
UID系统提供两种应用系统接入方式,以快速实现单点登录:
(1)反向代理(Reverse Proxy)方式
应用系统无需开发、无需改动。对于不能作改动或没有原厂商配合的应用系统,可以使用该方式接入统一用户管理平台。
反向代理技术:实现方式为松耦合,采用反向代理模块和UID的单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
(2)Plug-in 方式
Plug-in:实现方式为紧耦合,采用集成插件的方式与UID的单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
紧耦合方式提供多种API,通过简单调用即可实现单点登录(SSO)。
对于J2EE环境,提供JAR包
对于ASP/.Net环境,提供COM组件
对于Domino环境,提供DSAPI
对于有原厂商配合开发的应用系统,可以使用该方式高效地接入UID系统中。
3.4.3 C/S应用系统接入
对于C/S应用系统的接入,实现方式是用户在登录系统门户后,点击相应的C/S应用系统图标,然后启用Windows的消息机制,将认证的请求发送到C/S应用服务器进行认证。认证通过后,在用户端启用相应的客户端程序。
3.4.4 单点登录特点
UID系统单点登录功能特点如下:
提供多种环境的接口包,应用系统开发工作量小;
提供多种接入方式,系统实施灵活,接入周期较短;
认证过程中采用多种安全加密技术,保证认证信息的安全性;
单点登录功能稳定可靠,为多应用系统提供良好的登录认证服务。
3.5 安全通道
UID提供的安全通道是利用数字签名进行身份认证,采用数字信封进行信息加密的基于SSL协议的安全通道产品,实现了服务器端和客户端嵌入式的数据安全隔离机制。
使用前
使用后
安全通道的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过3个元素来完成:
(1)握手协议:这个协议负责协商用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
(2)记录协议:这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。
(3)警告协议:这个协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候终止。
3.6 业务系统访问权限的控制
UID用户是一个大的用户集合,通过系统认证的用户并不一定能访问所有接入UID中心的业务系统。系统用户对业务系统的访问权限通过用户分组和访问控制策略进行控制。例如:
按照用户所属单位或部门划分组,该组可访问相应单位部门的业务系统;
按照用户角色划分组,例如:财务人员分组可以访问财务相关的业务系统;
同时,中心用户与业务系统映射表中设置用户访问权限标识,可针对单个用户访问某个业务的权限进行停用/启用。
347
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
