统一身份认证设计方案(最终版).docxVIP

统一身份认证设计方案(最终版) 统一身份认证设计方案 日期：2016年2月 目录 1.1 系统总体设计 1.1.1 总体设计思想 本文介绍的是一个统一身份认证系统的设计方案。该系统的总体设计思想是将用户的身份信息集中管理，实现用户在不同应用系统中的一次认证即可访问多个应用系统。 1.1.2 平台总体介绍 该系统采用分布式架构，包括认证服务器、授权服务器和应用系统。认证服务器负责用户身份认证，授权服务器负责用户权限管理，应用系统通过接入认证和授权服务器实现用户身份认证和权限控制。 1.1.3 平台总体逻辑结构 该系统的逻辑结构包括用户管理、证书管理、授权管理和认证管理四个模块。用户管理模块负责集中管理用户信息，证书管理模块负责集中管理数字证书，授权管理模块负责集中管理用户权限，认证管理模块负责实现用户身份认证。 1.1.4 平台总体部署 该系统的部署包括认证服务器、授权服务器和应用系统的部署。认证服务器和授权服务器部署在专用服务器上，应用系统可以通过接入认证和授权服务器实现用户身份认证和权限控制。 1.2 平台功能说明 该系统的功能包括用户管理、证书管理、授权管理和认证管理四个方面。用户管理模块负责集中管理用户信息，证书管理模块负责集中管理数字证书，授权管理模块负责集中管理用户权限，认证管理模块负责实现用户身份认证。 1.3 集中用户管理 1.3.1 管理服务对象 该模块管理的服务对象是系统中的用户信息。 1.3.2 用户身份信息设计 用户类型 该系统支持内部用户和外部用户两种类型。内部用户是指公司内部员工，外部用户是指公司外部合作伙伴。 身份信息模型 该系统的身份信息模型包括用户基本信息、用户账号信息、用户角色信息和用户权限信息。 身份信息的存储 该系统的身份信息存储在认证服务器的数据库中。 1.3.3 用户生命周期管理 该系统支持用户的新增、修改、删除和禁用等操作，实现用户的生命周期管理。 1.3.4 用户身份信息的维护 该系统支持用户身份信息的维护，包括密码修改、账号解锁等操作。 1.4 集中证书管理 1.4.1 集中证书管理功能特点 该模块负责集中管理数字证书，实现数字证书的统一管理和分发。 1.5 集中授权管理 1.5.1 集中授权应用背景 该模块负责集中管理用户权限，实现用户权限的统一管理和控制。 1.5.2 集中授权管理对象 该模块管理的对象是用户角色和用户权限。 1.5.3 集中授权的工作原理 该模块实现了基于角色的访问控制（RBAC）模型，通过将用户和角色进行关联，实现用户权限的控制。 1.5.4 集中授权模式 该模块支持基于角色的授权模式和基于资源的授权模式。 1.5.5 细粒度授权 该模块支持细粒度授权，实现对资源的精细控制。 1.5.6 角色的继承 该模块支持角色的继承，实现角色的复用和继承。 1.6 集中认证管理 1.6.1 集中认证管理特点 该模块负责用户身份认证，实现用户在不同应用系统中的一次认证即可访问多个应用系统。 1.6.2 身份认证方式 该模块支持多种身份认证方式，包括用户名/口令认证、数字证书认证、Windows域认证和通行码认证等。 用户名/口令认证 该模块支持基于用户名和口令的身份认证方式。 数字证书认证 该模块支持基于数字证书的身份认证方式。 Windows域认证 该模块支持基于Windows域的身份认证方式。 通行码认证 该模块支持基于通行码的身份认证方式。 认证方式与安全等级 该模块支持不同安全等级的身份认证方式，实现不同安全级别的访问控制。 1.6.3 身份认证相关协议 该模块支持多种身份认证相关协议，包括SSL协议、Windows域和SAML协议等。 SSL协议 该模块支持基于SSL协议的身份认证方式。 Windows域 该模块支持基于Windows域的身份认证方式。 SAML协议 该模块支持基于SAML协议的身份认证方式。 1.6.4 集中认证系统主要功能 该模块实现了用户身份认证、单点登录和身份认证日志记录等功能。 1.6.5 单点登录 该模块支持单点登录功能，实现用户在不同应用系统中的一次认证即可访问多个应用系统。 1.1 系统总体设计 为了加强对业务系统和办公系统的安全管控，提高信息化安全管理水平，我们设计了基于 PKI/CA 技术为基础架构的统一身份认证服务平台。 1.1.1 总体设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案： 在内部建设基于 PKI/CA 技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目