数字校园中的统一认证用户管理典型案例.ppt

数字校园中的统一认证用户管理典型案例 北京大学图书馆崔海媛 数字校园中的统一认证用户管理典型案例 崔海媛 2008年11月20日 北京大学图书馆系统部 目录 实施情况 系统结构 关键技术 实现方案 应用效果 未来发展 实施情况 2004年6月开始启用校园一卡通。 校园卡特点 非接触式IC卡 写有个人信息及相关消费资料 校园卡功能 图书借阅 餐饮消费 上网交费 宿舍门禁 就医挂号 早操考勤等功能。 替代：饭卡、电话卡 、图书证、工作证和学生证等。 校园卡优势 使用者方便 统一身份认证和用户管理 图书馆实施情况 统一认证系统实现用户统一管理 相关系统与一卡通中心系统数据同步 用户单点登录，应用多个系统服务。 门禁系统 Unicorn系统 馆际互借系统 多媒体检索 电子阅览室 短信服务注册 ……. 系统结构 统一认证系统由业务管理界面、认证管理、授权管理、代理认证、联合认证、对外接口以及底层ＬＤＡＰ数据库构成 系统结构 关键技术-开发和运行环境 统一用户认证与管理系统 关键技术 利用LDAP协议实现目录服务数据库的存取访问； 采用JAVA线程支持多用户并发访问； 采用SAML规范，实现基于xml的安全信息的交换，用以在不同的安全域中传输身份验证和授权凭证； 采用应用程序代理Agent技术实现应用系统的整合 关键技术 支持OASIS SAML v1.1标准 支持自由组织联盟工程标准（Liberty Alliance Project） 单一目录数据库支持50万个以上数据 支持二级或三级认证架构，支持两个认证中心的联合认证 支持对门户系统、统一检索系统、馆际互借系统、学位论文系统、特色库系统、参考咨询系统、unicorn等系统的统一认证集成 实现方案-系统技术难点 1、统一用户管理带来的用户权限分配 统一认证需要解决多个应用系统以及众多不同类型的用户的权限分配。即要考虑到管理的方便性，也要考虑到分配权限的灵活性。如何在这两者之间达到最佳的结合点，成为一个重要的问题。 2、不同应用系统集成方案 统一认证需要整合的系统很多，如何在确保原有系统运行的情况下和新应用更改最少的前提下，增加新的调用接口，使新应用通过统一认证很容易地集成起来，同时可以对用户信息进行统一管理。 3、代理认证问题 不是所有的应用系统用户都有权或者能力改造，比如购买的第三方数据商的资源，通过门户的时候，有没有可能实现直接访问而不需要再次输入那个应用系统的用户名/口令？ 实现方案-技术难点解决方案 1、解决用户权限分配问题策略 策略 = 用户/用户组 + 角色（应用系统角色/认证中心角色） 统一认证中的用户权限分为四个级别： 应用系统权限 应用系统角色 用户可以灵活分组： 单个用户 支持静态和动态用户组 支持机构和多级认证中心 实现方案-技术难点解决方案 2、采用统一认证Agent技术 支持不同的WEB应用（JSP，ASP、PHP） 支持多种Web Server 本地应用系统只需要调用Agent即可 Agent有Java版、COM/ActiveX版，支持绝大部分的WEB应用。 3、采用代理认证技术 让用户把自己能够访问的WEB应用系统的用户名/口令绑定到统一认证的用户帐户， 通过统一认证登录，用户直接访问相关应用系统。 不需要对原始应用系统做任何改动，不影响应用系统任何功能及使用。 实现方案-整合示意图 应用效果 认证系统提供认证接口程序、代理认证 其他系统利用接口程序与认证系统实现统一用户管理 用户单点登录，使用多系统服务（查询、续借、预约、馆际互借、参考咨询等） 统一认证系统实时同步相关系统用户信息。 应用效果 用户统一管理，数据的及时同步 借还书实时校验校认证系统数据，保证了用户数据的安全。 门禁系统五分钟同步校认证数据，为合法读者及时利用图书馆提供了方便。 用户名、密码多个系统统一管理，安全、方便、统一。 单点登录，提供多种应用系统服务：读者在北大图书馆门户登录后，即可应用所有服务，方便用户，也保证了多个系统的用户一致。 通过数据规范和标准接口规范，为新系统的加入提供了开放接口 应用效果之用户认证 多个系统直接调用认证用户 门禁系统 馆际互借系统 多媒体系统 电子阅览室管理 短信平台 …… 应用效果-自动化系统 用户数据定时同步 实时同步密码 单点登录，查询借阅状态、完成续借、预约 应用效果-馆际互借申请 未来发展 完善认证系统 支持和第三方认证系统的对接 完善应用系统代理Agent ，加强安全性，如和认证中心之间的证书信任机制，可以自定义的数据加密方式等 集成更多的应用系统 用户管理更集中、方便 与一卡通中心合作发卡、罚款处理等 谢谢！ * * 图书馆