统一认证系统设计方案.docVIP

广东地税“大集中”系统投标书第三卷：GDLT-CS系统设计及实施方案 PAGE 十二-6 PAGE 2 基础支撑平台 统一身份认证平台 概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能： 为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示： 一次登录认证、自由访问授权范围内的服务 单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。 同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。 系统技术规范 单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点： 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点登录服务； 联盟的应用系统无需大量改造，不需要用户信息大集中，不影响系统原有业务逻辑与性能； 以用户为中心，保护用户信息安全和隐私； 支持多种、多等级的、安全的用户登录认证方式等。 支持的认证技术 联盟化单点登录原理与场景图示： 同域单点登录 跨域单点登录 单点登录系统功能 单点登录 支持单点登录、单点登出 支持平台安全域下用户的“一点认证，全网通行”和“一点登出，整体退出”。 支持多个IDP/SP间的联合互信 支持符合Liberty Alliance的SP或IDP间的联合互信, 可根据SP的信任程度决定是否联盟。 支持联盟信息的管理 支持IDP联盟信息的管理或配置功能。 不影响正常的业务逻辑与性能。 支持Liberty ID-FF v1.2规范 系统提供一个完整的联合互信平台以支持最新的Liberty Alliance联合互信标准Liberty ID-FF 1.2规范； 支持Liberty规范中的所有功能，包括单点登录、整体退出、账号联盟和解盟、注册名重新注册(Account Linking)、联合互信等功能； 系统本身提供了一个完整的Liberty Alliance联合互信平台，以部署在各个需要通过联合互信标准集成的SP方，以加快IDP和各SP的集成； 提供扩展的站点转送功能，为客户提供更符合实际应用的功能； 一个IDP服务器可以同时支持一个或多个SP服务器； 一个SP服务器可以同时支持一个或多个IDP服务器； 系统提供标准的Java的认证、单点登录和Liberty Alliance联合互信的SDK以支持方便和灵活的应用集成； 支持多种、多级别认证方式 支持多种认证方式，已经支持的就包括LDAP认证、JDBC认证、SecurID认证等； 系统具有标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证； 支持分布式认证的部署方式：即将认证界面部署在任何一个Web应用服务器上，而实现多种认证支持的统一认证服务器部署在内网中，以保证认证的安全性和扩展性； 系统本身支持session的互信机制； 系统支持多级别认证方式：用户名/密码认证、数字证书认证、动态口令认证，等等。通过适配器