TRS身份服务器软件产品说明书.doc

产品描述 随着互联网的普及和发展，组织利用Internet在客户、雇员、合作伙伴与供货商之间提供服务和共享信息。为了控制成本和减少开放的管理安全风险，组织需要一套完整的安全管理方案来确保安全的访问。因此身份管理作为安全管理的核心组件正逐步成为组织整体解决方案的必备组件。健全而可靠的身份管理系统不仅提升用户访问体验和系统安全性，而且能够有效的加快应用系统的部署、降低管理和维护的成本。 TRS身份服务器(TRS Identity Server，以下简称TRS IDS)帮助管理访问组织Web应用的安全策略，用于满足TRS应用及第三方基于Web的应用对身份管理的需求。TRS IDS主要解决用户供应、用户认证和单点登录的问题，不涉及应用系统的权限管理。TRS IDS提供基于关系数据库的用户供应和认证策略，同时支持LDAP/CA等第三方认证系统的用户供应和认证策略。在采用第三方认证系统时，TRS Identity Server通过标准协议（LDAP、OCSP等）和第三方认证系统交互实现用户的供应和认证。在此基础之上，TRS Identity Server还提供单点登录（Single Sign-On）等增强功能。从应用的角度来说，TRS Identity Server是对LDAP/CA的有益补充，特别是在加强安全和保护已有投资方面。 TRS身份服务器（TRS Identity Server）涉及的名词有： 服务器（TRS Identity Server）：指负责进行身份管理的身份服务器主体； 应用系统（基于Web的应用）：指解决组织业务需要的计算机信息产品，比如TRS内容协作平台（TRSWCM）； 协作应用：符合TRS Identity Server集成框架，能够利用TRS Identity Server进行身份管理的应用系统； 代理：指部署于应用系统处，通过特定协议和服务器进行交互的软件模块； 身份供应：指提供用户的创建、修改、管理、授权、使用和注销等功能； 身份认证：指验证用户的身份信息，确认用户身份有效性的过程； 单点登录：指在多个应用系统间，通过一次有效登录实现跨应用的访问； SAML框架：用户能够通过因特网进行安全证书移动使用SAML标准作为安全认证和共享资料的中间语言，能够在之间实现单点登录产品功能 TRS Identity Server提供的功能描述如下： 功能 定义 主要功能 用户管理 用户的添加、删除和更新等管理功能。 管理员添加创建新用户的模式； 用户注册创建新用户的模式； 管理员修改用户非密码信息； 修改用户的基本信息； 删除用户； 批准/拒绝用户； 暂停/启用用户； 多种条件检索用户； 限定用户唯一登录 用户与CA证书绑定 设置用户的组织； LDAP、CA和RDBMS等多种用户存储； 设置用户的委托管理身份； 显示当前用户访问协作应用的状况； 支持用户基本信息的定制； 用户信息的签名； 用户密码不可逆加密； 组织管理 组织的添加、删除和更新等管理功能。 添加的创建新组织模式； 修改组织的基本信息； 删除组织，只有非空组织允许删除； 基于组织的用户管理； 创建有层次关系的组织； 根据组织名检索组织； 设置组织的委托管理用户； 支持组织基本信息的定制； 协作应用管理 协作应用的添加、删除和更新等管理功能。 管理员添加的创建新协作应用模式； 修改协作应用的基本信息； 删除协作应用； 设置协作应用的委托管理用户； 根据协作应用名检索协作应用； 暂停/启用协作应用； 显示当前协作应用的用户访问状况； 协作应用集成基本配置校验 批量导入未与协作应用建立映射的用户 限定用户唯一登录 多种协作应用登录方式设置 登录管理 显示当前用户登录协作应用的信息。 显示当前用户登录协作应用的状况； 强制失效当前有效的用户登录； 根据用户名查找用户的登录状况； 根据协作应用名查找用户的登录状况； 日志管理 记录、显示、查找、备份、导出等管理功能。 根据操作类型显示日志； 验证日志的有效性和完整性； 多种条件组合查找日志； 设置日志查找的时间范围； 备份指定条件的日志； 导出指定条件的日志； 自动记录所有操作的执行情况，包括未知身份的用户登录操作； 映射管理 设置用户与协作应用之间的映射关系 管理员添加用户与应用的映射关系； 设置用户在协作应用对应的特殊身份； 用户登录协作应用的IP限定； 多种条件组合查找映射关系； 用户认证 根据身份信息验证用户的有效性。 支持用户名和密码方式的认证方式； 支持CA证书的认证方式； 支持JAAS规范的认证方式扩展； 支持加密通过的身份信息传输； 单点登录 根据已有认证信息自动完成协作应用的登录 支持跨域的协作应用单点登录； 跨平台的协作应用单点登录； 支持TRS Identity Server集