sso统一身份认证和访问控制解决实施方案.docxVIP

专业技术资料整理 专业技术资料整理 WORD WORD格式可编辑 统一身份认证及访问控制技术方案 方案概述 项目背景 随着信息化的迅猛发展，政府、企业、机构等不断增加基丁 Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统，OA系 统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少 的安全措施；而新系统的涌现，在与已有系统的集成或融合上， 特别是针对相同 的用户群，会带来以下的问题： 1） 如果每个系统都开发各自的身份认证系统将造成资源的浪费， 消耗开 发成本，并延缓开发进度； 2） 多个身份认证系统会增加整个系统的管理工作成本； 3） 用户需要记忆多个帐户和口令，使用极为不便，同时由丁用户口令遗 忘而导致的支持费用不断上涨； 4） 无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5） 无法统一分析用户的应用行为；因此，对丁有多个业务系统应用需求 的政府、企业或机构等，需要配置一套统一的身份认证系统， 以实现集中统一的 身份认证，并减少整个系统的成本。 单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证， 实 现“一点登录、多点漫游、即插即用、应用无关 ”的目标，方便用户使用。 系统概述 针对上述状况，企业单位希望为用户提供统一的信息资源认证访问入口， 建立统一的、基丁角色的和个性化的信息访问、集成平台的单点登录平台系统。 该系统具备如下特点： 单点登录：用户只需登录一次，即可通过单点登录系统（ SSO访问后 台的多个应用系统，无需重新登录后台的各个应用系统。 后台应用系统的用户名 和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。 即插即用：通过简单的配置，无须用户修改任何现有 B/S、C/S应用系 统，即可使用。解决了当前其他 SSOW决方案实施困难的难题。 多样的身份认证机制：同时支持基丁 PKI/CA数字证书和用户名/ 口令 身份认证方式，可单独使用也可组合使用。 基丁角色访问控制：根据用户的角色和 URL实现访问控制功能。 基丁 Wet#面管理：系统所有管理功能都通过 We防式实现。网络管 理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。 此外，可以 使用HTTPSS全地进行管理。 全面的日志审计：精确地记录用户的日志，可按日期、地址、用户、 资源等信息对日志进行查询、统计和分析。审计结果通过 Web#面以图表的形式 展现给管理员。 双机热备：通过双机热备功能，提高系统的可用性，满足企业级用户 的需求。 集群：通过集群功能，为企业提供高效、可靠的 ssc?务。可实现分 布式部署，提供灵活的解决方案。 传输加密：支持多种对称和非对称加密算法，保证用户信息在传输过 程中不被窃取和篡改。 防火墙：基丁状态检测技术，支持NAT主要用丁加强SSM身的安全, 也适用丁网络性能要求不高的场合，以减少投资。 分布式安装：对物理上不在一个区域的网络应用服务器可以进行分布 式部署SSOK统。 后台用户数据库支持：LDAR Oracle、DB2 Win2k ADS Sybase等。 可以无缝集成现有的应用系统的统一用户数据库作为 SSE用软件系统的用户 数据库。 领先的C/S单点登录解决方案：无需修改任何现有的应用系统服务端 和客户端即可实现C/S单点登录系统 总体方案设计 业务功能架构 通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访 问不同的应用系统，提高信息系统的易用性、安全性、稳定性；在此 基础上进 一步实现用户在异构系统（不同平台上建立不同应用服务器的业务系统） ，高速 协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合，签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统, 并完成符合其权 限的操作。 单点登录系统同时可以采用基丁数字证书的加密和数字签名技术，对用户 实行集中统一的管理和身份认证，并作为各应用系统的统一登录入口。单点登录 系统在增加系统安全性、降低管理成本方面有突出作用，不仅规避密码安全风险， 还简化用户认证的相关应用操作。 安全浏览器安全审记服务C应用系统数据库认证前置户用统门应系等系统用户数据库CA安全认证中心基础设施信息加密通道DB〉数字证书数据库—LDAP数字证书网上受理服务 安全浏览器 安全审记服务 C 应用系统 数据库 认证前置 户用统 门应系等 系统用户 数据库 CA安全认证中心基础设施 信息加密通道 DB 〉数字证书 数据库 — LDAP 数字证书网上 受理服务 系统结构图 说明：CA安全基础设施可以采用自建方式，也可以选择第三方 CA 具体包含以下主要功能模块：