统一身份认证及访问控制解决方案.pdfVIP

统一身份认证及访问控制 技术方案 1. 1. 方案概述 11.. 1.1.项目背景 1.1.项目背景 11..11..项项目目背背景景 随着信息化的迅猛发展，政府、企业、机构等不断增加基于 Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统， OA 系统等。系统的业务 性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而新 系统的涌现，在与已有系统的集成或融合上，特别是针对相同的 用户群，会带 来以下的问题： 1)如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开 发成本，并延缓开发进度； 2)多个身份认证系统会增加整个系统的管理工作成本； 3)用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗 忘而导致的支持费用不断上涨； 4)无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5)无法统一分析用户的应用行为；因此，对于有多个业务系统应用需求 的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的 身份认证， 并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实 现“一点登录、多点漫游、即插即用、应用无关的目标，方便用户使用。 1.2.系统概述 1.2.系统概述 11..22..系系统统概概述述 针对上述状况，企业单位希望为用户提供统一的信息资源认证访问入口， 建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。 该系统具备如下特点： • 单点登录：用户只需登录一次，即可通过单点登录系统（SSO）访问后 台的多个应用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名 和 口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。 • 即插即用：通过简单的配置，无须用户修改任何现有B/S、C/S 应用系 统，即可使用。解决了当前其他SSO 解决方案实施困难的难题。 • 多样的身份认证机制：同时支持基于PKI/CA 数字证书和用户名/口令身 份认证方式，可单独使用也可组合使用。 • 基于角色访问控制：根据用户的角色和URL 实现访问控制功能。 • 基于Web 界面管理：系统所有管理功能都通过Web 方式实现。网络管 理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外，可以 使 用HTTPS 安全地进行管理。 • 全面的日志审计：精确地记录用户的日志，可按日期、地址、用户、资 源等信息对日志进行查询、统计和分析。审计结果通过Web 界面以图表的形式 展现 给管理员。 • 双机热备：通过双机热备功能，提高系统的可用性，满足企业级用户的 需求。 • 集群：通过集群功能，为企业提供高效、可靠的SSO 服务。可实现分布 式部署，提供灵活的解决方案。 • 传输加密：支持多种对称和非对称加密算法，保证用户信息在传输过程 中不被窃取和篡改。 • 防火墙：基于状态检测技术，支持NAT。主要用于加强SSO 本身的安 全，也适用于网络性能要求不高的场合，以减少投资。 • 分布式安装：对物理上不在一个区域的网络应用服务器可以进行分布式 部署SSO 系统。 • LDAP Oracle DB2 Win2k ADS Sybase 后台用户数据库支持： 、 、 、 、 等。 可以无缝集成现有的应用系统的统一用户数据库作为SSO 应用软件系统的用户 数据库。 • C/S 领先的 单点登录解决方案：无需修改任何现有的应用系统服务端和 C/S 客户端即可实现 单点登录系统 2.