统一身份认证设计专项方案最终版.docVIP

统一身份认证设计方案

日期：2月

目录

TOC\o1-4\h\z1.1系统总体设计 5

1.1.1总体设计思想 5

1.1.2平台总体介绍 6

1.1.3平台总体逻辑结构 7

1.1.4平台总体布署 8

1.2平台功效说明 8

1.3集中用户管理 9

1.3.1管理服务对象 10

1.3.2用户身份信息设计 11

用户类型 11

身份信息模型 11

身份信息存放 12

1.3.3用户生命周期管理 12

1.3.4用户身份信息维护 13

1.4集中证书管理 14

1.4.1集中证书管理功效特点 14

1.5集中授权管理 16

1.5.1集中授权应用背景 16

1.5.2集中授权管理对象 17

1.5.3集中授权工作原理 18

1.5.4集中授权模式 19

1.5.5细粒度授权 19

1.5.6角色继承 20

1.6集中认证管理 21

1.6.1集中认证管理特点 22

1.6.2身份认证方法 22

用户名/口令认证 23

数字证书认证 23

Windows域认证 24

通行码认证 24

认证方法和安全等级 24

1.6.3身份认证相关协议 25

SSL协议 25

Windows域 25

SAML协议 26

1.6.4集中认证系统关键功效 28

1.6.5单点登录 29

单点登录技术 29

单点登录实现步骤 31

1.7集中审计管理 35

系统总体设计

为了加强对业务系统和办公系统安全管控，提升信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构统一身份认证服务平台。

总体设计思想

为实现构建针对人员帐户管理层面和应用层面、全方面完善安全管控需要，我们将根据以下设计思想为设计并实施统一身份认证服务平台处理方案：

在内部建设基于PKI/CA技术为基础架构统一身份认证服务平台，经过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出职员帐户统一、系统资源整合、应用数据共享和全方面集中管控关键目标。

提供现有统一门户系统，经过集成单点登录模块和调用统一身份认证平台服务，实现针对不一样用户登录，能够展示不一样内容。能够依据用户关注点不一样来为用户提供定制桌面功效。

建立统一身份认证服务平台，经过使用唯一身份标识数字证书即可登录全部应用系统，含有良好扩展性和可集成性。

提供基于LDAP目录服务统一账户管理平台，经过LDAP中主、从账户映射关系，进行应用系统级访问控制和用户生命周期维护管理功效。

用户证书保留在USBKEY中，确保证书和私钥安全，并满足移动办公安全需求。

平台总体介绍

以PKI/CA技术为关键，结合中国外优异产品架构设计，实现集中用户管理、证书管理、认证管理、授权管理和审计等功效，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效配置和服务。

图所表示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功效以下：

集中用户管理系统：完成各系统用户信息整合，实现用户生命周期集中统一管理，并建立和各应用系统同时机制，简化用户及其账号管理复杂度，降低系统管理安全风险。

集中证书管理系统：集成证书注册服务（RA）和电子密钥（USB-Key）管理功效，实现用户证书申请、审批、核发、更新、吊销等生命周期管理功效，支持第三方电子认证服务。

集中认证管理系统：实现多业务系统统一认证，支持数字证书、动态口令、静态口令等多个认证方法；为企业提供单点登录服务，用户只需要登录一次就能够访问全部相互信任应用系统。

集中授权管理系统：依据企业安全策略，采取基于角色访问控制技术，实现支持多应用系统集中、灵活访问控制和授权管理功效，提升管理效率。

集中审计管理系统：提供全方位用户管理、证书管理、认证管理和授权管理审计信息，支持应用系统、用户登录、管理操作等审计管理。

平台总体逻辑结构

总体逻辑结构图以下所表示：

图所表示，平台以PKI基础服务、加解密服务、SAML协议等国际成熟技术为基础，架构统一信任管理平台管理系统，经过WEB过滤器、安全代理服务器等技术简单、快捷实现各应用系统集成，在确保系统安全性前提下，愈加好实现业务系统整合和内容整合。

平台总体布署

集中布署方法：全部模块布署在同一台服务器上，为企业提供统一信任管理服务。

布署方法关键是采取专有定制硬件服务设备，将集中帐户管理、集中授权管理、集中认证管理和集中审计管理等功效服务模块统一