- 1、本文档共23页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
国网统一身份管理系统单点登录和身份同步接入规范
项目名称 国网统一身份管理系统
文档类别 接口规范
文档编号
版 本
密 级
二〇〇九年七月八日一、国网统一身份管理系统介绍 3
1.1 系统概述 3
1.2 单点登录流程 4
1.3 单点登录接入方式 5
二、国网应用系统单点登录集成 6
2.1国网应用系统集成分类 6
2.2应用系统权限管理模式 7
2.3单点登录集成要求 9
2.4 单点登录集成流程 12
三、身份同步规范 15
3.1用户身份数据流 15
3.2帐号管理流程 16
3.2.1帐号创建流程 16
3.2.2帐号更新流程 16
3.2.3帐号删除/禁用流程 16
3.3帐号的身份同步 17
3.4数据库改造 17
一、国网统一身份管理系统介绍
1.1 系统概述
由上图可见国家电网统一身份管理系统由单点登录和目录管理两部分构成。其中单点登录采用的是Novell的单点登录产品Access Manager,其单点登录通过Access Manager访问网关、单点登录认证管理模块、认证目录三部分协作实现。统一身份管理系统中的目录包含三类:认证目录、资源目录和身份目录。
认证目录是专用于Novell Access Manager做用户认证使用的目录,目录中包含所有登录总部门户的用户。用户核心属性是用户名、密码以及单点登录到应用系统的帐号和密码。
资源目录是国网总部部门数据以及应用权限数据的权威数据源。在该目录下管理用户所属的组织机构信息、各应用系统的信息、各应用系统的分组角色信息等。组织机构信息、应用系统信息、分组角色信息等可供各应用系统认证管理模块做权限管理。资源目录中的用户核心属性是用户名、OU。
身份目录是国网用户的权威数据源。所有国网总部的用户都从身份目录中开始创建、修改、删除。该目录下的用户具有最全面的用户信息,它实时向认证目录和资源目录中同步用户信息。
1.2 单点登录流程
对于Novell Access Manager产品实现的应用系统单点登录,其流程如下:
1、用户访问某个应用系统的单点登录url;
2、Novell访问网关截获该访问请求,展示统一的单点登录页面;
3、用户在统一的单点登录页面中输入统一的认证用户名和密码(即在认证目录中的用户名和密码);
4、单点登录认证管理模块获取用户的录入信息,并与认证目录中的用户名和密码进行匹配验证,如果验证失败则返回:用户登录失败;
5、验证通过后,单点登录认证管理模块将用户请求的应用系统url与内部的访问控制管理策略匹配,如果发现用户排除在允许访问的策略之外则返回:用户对指定资源的访问遭到拒绝;
6、用户验证通过后,同时也被内部策略允许访问指定的资源,则单点登录认证管理模块从该用户的映射信息中提取出当前用户在指定应用系统的认证信息,提交给应用系统的认证管理模块;
7、应用系统的认证管理模块验证接收到的用户映射信息,不通过则返回给单点登录认证管理模块,然后由单点登录认证管理模块自动删除认证目录中记录的错误映射信息,并要求用户填写正确的映射信息;
8、应用系统的认证管理模块验证用户映射信息通过,则向用户展示已登录信息,表示用户通过统一的认证入口单点登录到指定的应用系统中;
9、如果用户在已登录的应用系统中链接访问其他应用系统,由于用户已经通过统一的认证入口,因此用户对其他应用系统的访问将依照第5步开始单点登录到任意授权访问的应用系统中。
由以上过程可知,单点登录过程要跨越两个认证过程:统一的认证入口和应用系统的认证管理模块。在认证完成后,有两处可以控制用户的访问权限,分别是通过统一认证管理模块和应用系统认证管理模块来控制,其中应用系统认证管理模块可以进一步使用分组和角色的方式来管理用户的访问权限。统一认证管理模块只能在访问控制策略中根据认证目录中的用户属性来控制哪些用户被允许或者被拒绝访问哪些Web资源(即应用系统url集合)。
1.3 单点登录接入方式
根据Novell单点登录产品的特性,目前支持两种方式的单点登录接入方式:FormFill自动填表方式和身份注入。这两种方式都可以实现在统一认证完毕后,把特定信息(用户LDAP属性信息或者与应用系统用户的映射信息)传递给应用系统自身的认证模块来实现单点登录。
1.3.1 FormFill自动填表
通过表单进行登录的应用系统在登录时均有一个登录页面,可以对该登录页面上需要提交的表单项设置自动填表策略。
例如,在某个登录页面中,用于实现登录的表单的名称为:login,需要提交的用于表示用户名的变量名为:username,用于表示用户密码的变量名为password,那么填表策略就可以设置如下:
该策略工作的方式:当用户访问到
您可能关注的文档
- 给排i水管道安装质量要求.docx
- 给排个水设计指导书.doc
- 给排数水工程施工技术课程标准.doc
- 给排水x初步设计说明.doc
- 给排水中级职称复功习材料.doc
- 给排水电气施工组织设数计.doc
- 给排水维修保养规x程.doc
- 给排水设v计过程实例讲解——新手必读(二).doc
- 给排水隐蔽工文程验收记录.doc
- 给水排w水工程毕业论文选题.doc
- 人教新目标版英语九年级 中考模拟学情评估(三)(含答案).pdf
- 上海市风华中学2024-2025学年高三上学期9月阶段测试英语试题(无答案).pdf
- 统编版2024-2025学年语文六年级上册期末检测卷(有答案).pdf
- 人教新目标版英语九年级第二学期全册学情评估(含答案).pdf
- 内蒙古自治区巴彦淖尔市杭锦后旗第六中学2024-2025学年八年级上学期阶段性测试历史试题(解析版).pdf
- 湖南省娄底市涟源市部分学校2024-2025学年高一上学期9月月考语文试题 Word版无答案.pdf
- 湖南省衡阳市常宁市2023-2024学年七年级上学期期末考试英语试题.pdf
- 湖南省娄底市涟源市部分学校2024-2025学年高一上学期9月月考语文试题 Word版含解析.pdf
- 江苏省泰州市姜堰区城西实验学校2024-2025学年部编版九年级上学期月考历史试卷(原卷版).pdf
- 内蒙古伊金霍洛旗2022-2023学年七年级上学期期末考试英语试题.pdf
最近下载
- 老年人误吸的预防护理课件.pptx
- 初中历史八年级下课件:第4课新中国工业化的起步和人民代表大会制度的确立.pptx
- 私募股权投资基金运作与管理-配套课件.ppt
- 2022小学体育新课标试卷及答案(共二套).doc VIP
- 4、新中国工业化的起步和人民代表大会制度的确立.docx VIP
- GB T 23776-2018_茶叶感官审评方法_高清版_可检索.pdf
- 中国民间故事阅读交流课教学设计.docx VIP
- 体量与力量——雕塑的美感 课件-2023-2024学年高中美术人美版(2019)美术鉴赏.pptx VIP
- 2022年牛津英语上海中考常考高频同义词组转换(含习题).docx
- 市场调查报告(模板).xls VIP
文档评论(0)