《统一身份认证管理平台介绍.docx》由会员分享,可在线阅读,更多相关《统一身份认证管理平台介绍.docx(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、统一身份认证管理平台产品白皮书5平台部署方案平台支持两种部署方式:集中部署、分布式部署。可以根据企业实际应用情 况选择部 署方式。如图6-1:应系图64V4.0平台部署方案图集中式部署:所谓集中式部署就是企业在同一个平台、同一个环境下部署 系统。分布式部署:所谓的分布式部署就是集团企业中总部和下级子公司分别部署系统,总部可以操作和控制下级系统。6附件7.1.术语表术语解释Unified Trust System,统一信任管理平台SAMLSecurity Assertion Markup Language,安全断言标记语言,它是一个基于 XML的标准,用于在不同的安全域(security dom
2、ain)之间交换认证和授权数据SSOSingle Sign On,单点登录,SSO是在多个应用系统中,用户只需要登录一次 就 可以访问所有相互信任的应用系统。PKIPubic Key Infrastructure,是一种遵循标准的利用公钥加密技术为电子商务 的 开展提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服 务进行安全通信CACertification Authority,即认证中心,是一个可信的签发公钥证书的机构, 在 本系统中,特指按照ITU-TX.509V3国际标准建立的认证框架系统。RARegistration Authority ,注册机关。负责接受用户证书请求,
3、审核用户身份 ,协助CA颁发数字证书。LDAPLightweight Directory Access Protocol,轻型目录访问协议。广泛应用于证书 信息发布、CRL信息发布、CA政策以及与信息发布t目关的各个方面。AD域AD即为Active Directory活动目录;AD域特指Windows的域活动目录。SSLSecure Socket Layer安全套接层协议,主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性, 主 要适用于点对点之间的信息传输,常用Web Server方式。NTLM特指Windows系统中身份认证方式,详细内谷
4、请浏览Mircrosoft网站中的NTLM身份验证关键字Kerberos特指Windows系统中域内主要的安全身份验证协议。相关详细内容请参考Microsoft网站中的“Kerberos V5身份验证”关键字内容。数字证 书含有被标识者的公钥和身份信息,并与其私钥有对应关系的公开发布的电 子数据文件。CA认证系统以PKI技术为基础,提供数字证书服务的在线运营服务系统,通过CA认 证系统进行策略的制定、管理用户的数字证书等。CRL指CA证书中的“用户吊销列表”或者称为“证书黑名单”4A是指 Account (账户)、Authentication (认证)、Authorization (授权)、
5、Audit(审计)的首字母缩写。CAS特指耶鲁大学开发的开源单点登录系统的简称,即CAS.Net Passport也叫做Windows Live ID,是一个由微软公司发展用于管理在线认证的系统, 它 是一个“统一登录”服务,其允许用户使用一个账户登录到很多站点。IBM LTPALTPA 是由 Lightweight Third-Party Authentication 首字母缩写;特指 IBM 的企业提供的轻量级第三方认证机制。72技术标准和技术规范采用了下述标准和规范:1)权限策略交换标准:SAML2)安全断言标记语言:OASIS (结构化信息标准促进组织)标准3)权限管理标准:RBAC
6、(Role Based Access Control)4)基于角色的访问控制:ANSI/INCITS 359-2004标准5)目录访问协议:LDAP v2/v36)轻型目录访问协议:RFC 1777 V2版和RFC 2251标准7)安全传输标准:SSL8)安全套接字层:RFC2246标准9)公钥密码标准:X.509随着信息化的不断深入,企业的IT环境越来越复杂。众多IT系统的建设, 一方面为企业带了先进高效的管理方法和工作平台,帮助企业更好的实现业务目 标;另一方面也为用户日常工作,IT系统管理和业务系统安全带来了很多的问 题和风险信息孤岛难以打破实体身份难以管理共享安全难以保障 应用效益难以
7、体现管理水平难以提升北京天安捷信科技有限公司,在深刻理解企业应用系统整合需求的基础上,针对信息化管理现状,以业务需求为导向,自主开发出统一信任管理平台(), 为企业提供基于可信身份的统一信任管理解决方案。统一信任管理平台可为企业 实现:1)业务资源整合 在多个不同业务系统之间搭建一座桥梁,相互之间关联到一个统一平台上,强化不同业务系统间的协同工作;系统访问将变得更加透明、便捷。该平台的建 立为实现业务系统的综合管理、高效整合提供了可行性和便利性;2)统一身份管理提供了有效、安全的身份管理机制,为企业完成各系统间的用户信息整合,实现用户生命周期的集中统一管理;同时基于PKI/CA体系为所有用户提
8、供数字 证书服务,使对企业应用系统的访问更加安全、可靠;3)安全策略集中统一的安全策略提高了系统的管理效率,通过统一的策略管理和基于角色的 访问控制技术、各种高强度认证方式,提升了用户的认证体验和企业的管理效率;1技术架构SiteMeshcssHTMLJavaScriptJSPJqueryWebworksServletServletquartzJAV语言axisSpring MVChibernateJDBC图21V4.O技术架构图平台的技术优势采用JAVA开发,适应市场中主流的应用服务器。如tomcat、websphere weblogic、jboss glassfish 等 前端采用java
9、script这种解释性脚本语言,兼容大部分浏览器采用springmvc框架,使得开发简洁,利于扩展 采用hibernate框架,系统可以运行在市场各大主流数据库下。2系统架构应用层应用层霜同步接口层nW数据父互引擎IXM耐射用户管理授权管理1认证管理证书管理消息管理流程管理应用管理数据同步管, 理系统管理SSO门户工作流引擎 (WorkFlow)消息引擎数据订阅引擎数据库引擎LDAP/DB/XML,.安全审计层 务 rj又 0H-图3-1V4.0系统架构图系统整体功能架构主要由应用层、策略层、服务层、数据层和数据接口层 组成,以上层次结构的设计主要功能如下: 应用层用户主要分为系统用户和最终用
10、户两类,应用层主要面向最终用户 提供服务,在整体架构设计中,能够独立作为应用面向最终用户提供服 务 的主要就是SSO单点登录系统,最终用户通过访问SSO单点登录系统完成 后台所有策略管理配置的实现机制效果。 策略层在产品定位和实现机制上主要是作为应用集成类产品,自身系统功能并不能体现出最终管理效果,其后台管理功能所实现的机制主要是对前 台应用和用户的策略进行定义和配置,只有通过与前台应用之间策略交互 和同步的机制下,才可以发挥其配置和管理效用,所以在此定位为策略层。 服务层功能的设计和实现基本上都采用松散耦合的方式,所有核心功能的 实现基本上都作为独立的服务存在,上层调用会根据业务的实际需求进
11、行灵 活的组合搭配实现,在对产品的维护和定制上有较好的扩展性和兼容性,其 中各项服务功能既可以保持独立,也相互兼容。 数据层在与应用相互集成的过程中,是必须要涉及到大量的底层数据交互 和操作,数据层的主要实现机制和功能就是面向众多数据库系统提供底层服 务。 数据同步接口层在实现与各类应用进行集成和策略交互的过程中,需要面向众多不同 平台、不同架构和不同数据结构的应用系统和数据库,所以在面向以上平台 时需要提供兼容性强且灵活便捷,能够快速集成整合的实现机制,目前在上 主要考虑通过应用接口层(webservice)和数据层两种方式来设计,其中数 据层又可以提供基于触发器、changelog和全库扫
12、描的方式来进行数据变化的 感知和交互。3平台总体介绍平台特点1 .高度集成,易于扩展平台集成了证书注册服务(RA)和电子密钥管理,平台不仅支持证 书认证方式,更实现了在统一的平台上对证书、用户、应用资源的管理。2 .安全可靠,开放兼容在使用数字证书安全认证方式下,可支持多信任体系并存;平台可兼 容用户已有的信任体系。3 .部署简单,实施快捷实施简单、方便,不对用户原有系统做修改;客户端无需安装插件;平 平台从系统架构和设计角度,预留了极大的融合性,为您应用系统集成提供 零成本。4 .功能齐备,方式灵活平台集成了用户管理、身份认证及管理、细粒度的授权、安全审计、单点 登陆、证书管理等功能;为应用
13、系统提供了多种身份认证、应用授权、账户 与证书捆绑等能力,为应用系统提供了非常可靠的安全保证机制。5 .权威认证,符合法范系统设计开发充分考虑信息安全等级保护管理办法 等相关法律法规要求,满足企业业务审计的合规性要求;支持权威第三方电子认证服务机构的数字证书, 确保业务操作关键环节具有法律效力。4.1. 平台介绍是基于CA的综合统一身份管理平台,以资源整合为目标,以PKI技术 为基础,结合国内外先进的产品架构设计理念,实现集中的用户管理、证书管 理、认证管理、授权管理、数据同步管理、消息管理、流程管理、应用管理、系 统管理等功能模块,以及各数据引擎(数据库引擎、消息引擎、数据映射引擎、 工作流
14、引擎、数据订阅引擎),为多业务系统提供用户身份、系统资源、权限策 略等统一、安全、有效的配置和服务。如图4-2所示:统一信任管理平台用户用户(主/从账户)生命周期管理咨询、修改、删除)组织机构管理(创建、查询、修改、删除)用户状态管理(初始化.开通.挂起.恢复.停用、归档) 用户流程管理(HR卵动/平台驱动)用户策略管理(授权、认证、证书、消息、资授权角色管理(创建、查询、修改、删除)组管理(创建、查询、修改、删除)角色策略管理f田户.田 山田组策略管理/ “1 di 4品 之用认证管理认证服务管理(证书、U令、2明态U令、通行码” .)认证策略管理 (用户、应用)认证源管理认证策略同步证书管
15、理证书申请证书下载证书更新证书吊销数据同步管同步接口管理同步策略管理同步订阅管理同步状本管理源、应用)用户自助服务管理消息消息流程管理应用管理系统管理消息接口定义流程接口定义添加/修改/删除/查询应用消息内容管理消息策略管埋(时间、用户、角色、组、部门)消息状态管理(成功、失败)业务层,nnw子数据库引擎I流程策略管理(用户、时间、事件)应用策略管理(用户、认证、授权)管理员管理(创建、查询、变更、删管延霞状态管理(开通、挂起、恢复、停用流程状态管理(批准、待批准、拒绝)应用状态管理(有效、挂起、无效)分布式配置管理(卜下匆,/沅科东纬管理数据源管理/系统资源管理/系统备份/RA管理业务层角-
16、frW- service业务层应service业务层组原子 service.业务层系统原子消息引擎工作流引数据订阅引擎映射服务数据同步分布式机制审计接口擎服务引擎介 统一身份认证平台的模块(一级权限)统一身份认证平台的功能(二级权限)统一身份认证平台的服务/引擎图4-2 V4.0总体架构图4平台功能说明1)用户管理集中用户管理主要是完成各系统间用户信息的整合,所有的用 户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和 读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一 认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性
17、。实现 用户生命周期的集中统一管理,简化用户账号的管理复杂度,降低系统用户管理 的安全风险。2)授权管理授权管理对组/角色进行资源的合理分配。集中授权的过程, 就是集中对用户(组/角色)通过何种方式(证书/口令)使用某种资源(应用/功能)的权限的 分配过程。通过集中授权的管理模式,有效地屏蔽了传统授权中存在的弊端,提 高了管理效率,为企业营造一个安全、可信、便捷的办公环境。3)认证管理认证管理为企业的IT系统提供统一的身份认证,是企业安全门户入口,只 有安全的认证机制才可以保证企业大门不被非法人员进入;在整个认证系统中其 服务的对象包括企业接入统一认证平台的所有业务系统、管理系统和应用系统等;
18、 统一认证系统能够提供快速、高效和安全的服务,应用系统接入改造小,系统具 有灵活的扩展性、高可用性。4)证书管理集成证书注册服务(RA)和电子密钥(USB-Key)管理功能,实现对用户 证书生命周期(申请、审批、核发、更新、吊销等)的管理功能,支持第三方电 子认证服务。5)数据同步管理数据同步管理主要管理同步接口,将应用系统中的数据信 息同步到平台系统中,以及同步状态的管理。6)消息管理消息管理主要是定义、管理消息接口,管理消息内容,为平台 用户提供消息服务,以及消息状态的管理。主要负责发送消息给用户,现在支持的方式有:邮 件发送,短信发送。7)流程管理流程管理主要是定义流程接口,监测各功能节
19、点基本操作的生命周期,以及 当前操作的状态。8)应用管理 应用的基本管理(添加、删除、查询、更新)、应用状态、为 应用授予权限等管理。9)系统管理系统管理模块是能正常运行的保障。包括:数据源管理、信任源管理、RA管理、消息管理、管理员管理、管理员权限管理、数据同步管理、组织结构 管理、全局角色管理、统一身份认证管理、系统备份与恢复管理、数据同步和数 据清理等。10)数据库引擎提供操作各大关系型数据库(MySQL、SQLSERVER. Oracle、DB2等)和LDAP/AD 等的数据库基础操作服务,可作为独立的服务提供。11)消息引擎 发送消息给用户。(邮件、短消息等等),可作为独立的服务 提供。12)数据映射引擎提供数据字段映射、值映射功能,可作为独立的服务提 供。13)工作流引擎可根据业务流程进行匹配性设计,即插即用,无缝集成,可作 为独立的服务提供。14)数据订阅引擎 外部应用可以通过数据订阅引擎服务,灵活的设定同步时 间、同步内容和同步方式等策略,数据订阅引擎会调用数据同步接口完成数据的同步交互操作, 可作为独立的服务提供。