术语和定义
1)IAM:Identity Access Manager,统一身份认证系统
2)IDM:Identity Manager,身份管理
3)SSO:Single Sign On,单点登录
4)AD:Active Directory,指Windows网络中的目录服务
5)Webservice:由企业发布的完成其特定商务需求的在线应用服务,通过WebService,企业级应用程序可以用标准的方法把功能和数据“暴露”出来,供其它应用程序使用
6)Api:Application Programminng Interface应用程序编程接口的简称
7)OTP:One time Password的简称,动态口令
8)Kerberos:微软所提供的基于AD域的PC桌面单点认证协议
9)LDAP:轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。基于X.500标准
10)OAuth2.0(开放授权)是一种国际通用的授权方式,是一个开放标准,用户授权后,第三方应用无需获取用户的用户名和密码就可以访问该用户在某一网站上存储的私密的资源
11)主帐号:即为登录统一身份认证系统的帐号
12)从帐号:即应用系统的登录帐号
单点登录接入方式
1、接入方式
统一身份认证系统与应用系统集成单点登录,主要提供如下几种方式的单点登录接入方式:
1)Form-Based表单代填方式;
2)Oauth2.0开放认证方式;
3)Saml2.0协议认证方式;
4)应用系统自身API
Form-based表单代填
即用户名和密码自动代填触发第三方应用系统的代填,支持web端和cs客户端
一般为第三方应用系统不支持任何协议和改造,只能使用用户名和密码登陆的方式,此种方式需要客户端安装IAM插件,插件为运行在本地的服务。
Oauth2.0开放认证协议
OAuth(开放授权)是一个开放标准。允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息。而这种授权无需将用户提供用户名和密码提供给该第三方网站。OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。适用于应用系统支持定制开发,且登录模块代码逻辑可改造。
Saml2.0认证
Saml2.0是一种国际标准协议,SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)以实现联邦认证。
主要用于成熟的自身能够作为saml2.0认证中服务提供者角色的应用系统。
应用系统自身单点认证方式
应用系统提供单点方式SSO,IAM主动调用发起认证