现代服务业服务交互支撑平台.docVIP

现代服务业服务交互支撑平台 SAAS 应用的身份集成及访问 平台开发组 修订记录 修订日期 版本号 变更记录 修订描述 修订人 2007 1.0 文件初稿建立 付伟 目录 TOC \o 1-3 \h \z \u 1 引言 4 1.1 编写目的 4 1.2 背景 4 1.3 术语定义 4 1.4 参考资料 5 2 功能说明 6 2.1 功能概述 6 2.2 技术路线 8 2.3 数据报文 8 2.3.1 命名标识符 8 2.3.2 用户访问点位置 8 2.3.3 用户属性信息 9 2.3.4 票据的加密传输 9 2.3.5 签发者数字签名 9 2.3.6 票据的生存期 9 2.3.7 票据报文格式信息 9 3 SAAS 应用的集成要求 12 3.1 SAAS应用的集成步骤 12 3.1.1 票据接收 12 3.1.2 票据验证 13 3.1.3 获取用户身份标识 13 3.1.4 用户系统访问 13 3.2 SAAS应用信息注册 13 引言 编写目的 本文档详细的阐述了基于SAAS 模式的应用系统在接入平台过程中的用户认证系统改造及用户访问单点登录过程。目的是为了指导以后各阶段的开发，测试等工作，并作为SAAS 模式的应用系统和服务交互支撑平台进行整合的参考规范。 本文档适用于： 完成项目开发的编码人员。 完成项目的测试人员。 SAAS 应用服务提供者。 平台相关模块开发人员。 背景 术语定义 SAAS　　SaaS是Software-as-a-service（软件即服务）的简称，是一 　　种按用户的需求定制的软件服务模式。 安全票据　用来识别用户身份的一种技术手段。 SAML Security Assertion Markup Language安全身份断言语言。 CA Certificate Authority 证书认证机构 HTTPS Secure Hypertext Transfer Protocol 安全超文本传输协议 LDAP Lightweight Directory Access Protocol SP: 本文档中指SAAS 服务提供者 IDP：身份提供者，在本文档中指平台身份管理服务。 参考资料 / 　/specs/index.php#samlv1.1  功能说明 功能概述 为使平台上的注册用户可方便的访问经注册的SAAS应用，允许用户在平台上认证一次后就可对SAAS应用进行直接访问，服务交互支撑平台采用安全票据技术对用户的身份信息进行识别与访问控制，平台与SAAS 系统间采用基于SAML 协议的认证过程，平台作为身份提供者(idp) ,SAAS系统作为身份接收者。平台使用经过验证的用户邮件地址作为用户的唯一命名标识符（也可采用身份证号等信息），作为各系统间识别用户的标识。 本部分定义了平台用户访问SAAS 应用的单点登录过程、安全票据交互的数据报文格式及SAAS应用接收票据、验证票据、使用票据的过程，并详细阐述了交互过程中的数据保密、签发不可否认及防止票据伪造的技术手段等内容。 用户直接访问SAAS服务的认证过程： 用户访问SAAS 应用 SAAS 应用将请求重定向到平台身份认证服务 平台验证用户身份，并记录用户登录状态，同时签发用户安全票据 用户携带安全票据访问SAAS应用 SAAS 应用验证用户票据合法性 用户访问SAAS应用功能 流程如下图所示: 图：直接访问SAAS服务 用户从平台访问SAAS服务的过程 用户登录服务交互支撑平台。 用户通过平台的链接地址,访问SAAS服务。 平台验证用户身份信息，并签发SAAS访问安全票据。 用户携带安全票据访问SAAS应用。 SAAS 应用验证用户票据合法性 用户访问SAAS应用功能 图：从平台访问SAAS服务 技术路线 充分结合并利用国富安pki ,数字证书，签名，加密等基础技术，定义一套开放，兼容，安全的身份信息集成格式规范。同时也充分考虑了与SAAS应用间集成的可行性与功能的可扩充性。 数据报文 命名标识符 平台默认使用用户的邮件地址信息作为用户的命名标识符，SAAS系统与平台间使用命名标识符识别用户身份。从可扩展性考虑，也可采用身份证号等信息作为标识符。 用户访问点位置 平台在签发票据中必须包含用户ip地址信息，记录用户的访问点位置，防止票据被中途截获的安全威胁。 用户属性信息 从扩展性考虑，平台同时支持将姓名、联系方式等信息作为用户属性统一编码传输。 票据的加密传输 利用rsa ,3des