统一用户管理的基本原理及其详细介绍.pdfVIP

统一用户管理的基本原理及其详细介绍 一般来说， 每个应用系统都拥有独立的用户信息管理功能， 用户信息的格式、 命名与存储方 式也多种多样。 当用户需要使用多个应用系统时就会带来用户信息同步问题。 用户信息同步 会增加系统的复杂性，增加管理的成本。 例如， 用户 X 需要同时使用 A 系统与 B 系统， 就必须在 A 系统与 B 系统中都创建用户 X ，这样在 A 、B 任一系统中用户 X 的信息更改后就必须同步至另一系统。如果用户 X 需要 同时使用 10 个应用系统， 用户信息在任何一个系统中做出更改后就必须同步至其他 9 个系 统。用户同步时如果系统出现意外， 还要保证数据的完整性， 因而同步用户的程序可能会非 常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统 (UUMS) 。UUMS 统一存储所有 应用系统的用户信息，应用系统对用户的相关操作全部通过 UUMS 完成，而授权等操作则 由各应用系统完成，即统一存储、分布授权。 UUMS 应具备以下基本功能 : 1.用户信息规范命名、统一存储，用户 ID 全局惟一。用户 ID 犹如身份证，区分和标识 了不同的个体。 2.UUMS 向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等属性，各应用 系统可以选择本系统所需要的部分或全部属性。 3. 应用系统对用户基本信息的增加、修改、删除和查询等请求由 UUMS 处理。 4. 应用系统保留用户管理功能，如用户分组、用户授权等功能。 5.UUMS 应具有完善的日志功能，详细记录各应用系统对 UUMS 的操作。 统一用户认证是以 UUMS 为基础，对所有应用系统提供统一的认证方式和认证策略， 以识别用户身份的合法性。统一用户认证应支持以下几种认证方式 : 1. 匿名认证方式 : 用户不需要任何认证，可以匿名的方式登录系统。 2. 用户名 / 密码认证 : 这是最基本的认证方式。 3. PKI/CA 数字证书认证 : 通过数字证书的方式认证用户的身份。 4. IP 地址认证 : 用户只能从指定的 IP 地址或者 IP 地址段访问系统。 5. 时间段认证 : 用户只能在某个指定的时间段访问系统。 6. 访问次数认证 : 累计用户的访问次数，使用户的访问次数在一定的数值范围之内。 以上认证方式应采用模块化设计， 管理员可灵活地进行装载和卸载， 同时还可按照用户 的要求方便地扩展新的认证模块。 认证策略是指认证方式通过与、 或、 非等逻辑关系组合后的认证方式。 管理员可以根据 认证策略对认证方式进行增、删或组合， 以满足各种认证的要求。 比如，某集团用户多人共 用一个账户，用户通过用户名密码访问系统，访问必须限制在某个 IP 地址段上。该认证策 略可表示为 :用户名 /密码 与“ ”IP地址认证。 PKI/CA 数字证书认证虽不常用， 但却很有用， 通常应用在安全级别要求较高的环境中。 PKI(Public Key Infrastructure) 即公钥基础设施是利用公钥理论和数字证书来确保系统信息 安全的一种体系。 在公钥体制中，密钥成对生成，每对密钥由一个公钥和一个私钥组成，公钥公布于众， 私钥为所用者私有。 发送者利用接收者的公钥发送信息， 称为数字加密， 接收者利用自己的 私