《2022年sso_统一身份认证及访问控制解决方案.docx》由会员分享,可在线阅读,更多相关《2022年sso_统一身份认证及访问控制解决方案.docx(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、sso_统一身份认证及访问掌握解决方案sso_统一身份认证及访问掌握解决方案编辑整理:敬重的读者朋友们:这里是编辑中心,本文档内容是由我和我的同事细心编辑整理后公布的,公布之前我们对文中内容进展认真校对,但是难免会有疏漏的地方,但是任然期望sso_统一身份认证及访问掌握解决方案的内容能够给您的工作和学习带来便利。同时也真诚的期望收到您的建议和反响,这将是我们进步的源泉,前进的动力。本文可编辑可修改,假设觉得对您有帮助请保藏以便随时查阅,最终祝您生活开心 业绩进步,以下为 sso_统一身份认证及访问掌握解决方案的全部内容。统一身份认证及访问掌握技术方案1. 方案概述1.1. 工程背景随着信息化的
2、迅猛进展,政府、企业、机构等不断增加基于 Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统, OA 系统等。系统的业务性质, 一般都要求实现用户治理、身份认证、授权等必不行少的安全措施;而系统的涌现,在与已有系统的集成或融合上,特别是针对一样的 用户群,会带来以下的问题:1) 假设每个系统都开发各自的身份认证系统将造成资源的铺张,消耗开发本钱,并延缓开发进度;2) 多个身份认证系统会增加整个系统的治理工作本钱;3用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨;4) 无法实现统一认证和授权,多个身份认证系统使安全策略必需逐个
3、在不同的系统内进展设置,因而造成修改策略的进度可能跟不上策略的变化;5) 无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证, 并削减整个系统的本钱。单点登录系统的目的就是为这样的应用系统供给集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关“的目标,便利用户使用。1.2. 系统概述针对上述状况,企业单位期望为用户供给统一的信息资源认证访问入口,建立统一的、基于角色的和共性化的信息访问、集成平台的单点登录平台系统。该系统具备如下特点:单点登录:用户只需登录一次,即可通过单点登录系统SSO访问后
4、台的多个应用系统,无需重登录后台的各个应用系统。后台应用系统的用户名和 口令可以各不一样,并且实现单点登录时,后台应用系统无需任何修改。即插即用:通过简洁的配置,无须用户修改任何现有B/S、C/S 应用系统, 即可使用。解决了当前其他SSO 解决方案实施困难的难题。多样的身份认证机制:同时支持基于PKI/CA 数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。基于角色访问掌握:依据用户的角色和URL 实现访问掌握功能。基于Web 界面治理:系统全部治理功能都通过Web 方式实现。网络治理人员和系统治理员可以通过扫瞄器在任何地方进展远程访问治理.此外,可以使 用 S 安全地进展治理.全
5、面的日志审计:准确地记录用户的日志,可按日期、地址、用户、资源等信息对日志进展查询、统计和分析。审计结果通过Web 界面以图表的形式呈现 给治理员。双机热备:通过双机热备功能,提高系统的可用性,满足企业级用户的需求。集群:通过集群功能,为企业供给高效、牢靠的SSO 效劳。可实现分布式部署,供给敏捷的解决方案。传输加密:支持多种对称和非对称加密算法,保证用户信息在传输过程中不被窃取和篡改。防火墙:基于状态检测技术,支持NAT。主要用于加强SSO 本身的安全, 也适用于网络性能要求不高的场合,以削减投资.分布式安装:对物理上不在一个区域的网络应用效劳器可以进展分布式部署SSO 系统。后台用户数据库
6、支持:LDAP、Oracle、DB2、Win2k ADS、Sybase 等。可以无缝集成现有的应用系统的统一用户数据库作为SSO 应用软件系统的用户数据库.领先的C/S 单点登录解决方案:无需修改任何现有的应用系统效劳端和客户端即可实现C/S 单点登录系统2. 总体方案设计2.1. 业务功能架构通过实施单点登录功能,使用户只需一次登录就可以依据相关的规章去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此 根底上进一步实现用户在异构系统不同平台上建立不同应用效劳器的业务系统,高速协同办公和企业学问治理功能。单点登录系统能够与统一权限治理系统实现无缝结合,签发合法用户的权限票据,从而
7、能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。单点登录系统同时可以承受基于数字证书的加密和数字签名技术,对用户实行集中统一的治理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增安全扫瞄器完整信息加密通道身份认证效劳访问掌握效劳认证前置门户应用系统等应用系统数据库All DB单点登录效劳身份治理效劳系统用户专用客户端关键信息加密通道角色治理效劳信息加密通道数据库DB智能卡治理效劳数字证书安全审记效劳数据库LDAPCA 安全认证中心根底设施数字证书网上受理效劳OCSPCRLCAPMI加系统安全性、降低治理本钱方面有突出作用,不仅躲避密码安全风险,还简化用户认证的相
8、关应用操作。系统构造图说明:CA 安全根底设施可以承受自建方式,也可以选择第三方CA。具体包含以下主要功能模块: 身份认证中心 存储企业用户名目,完成对用户身份、角色等信息的统一治理; 授权和访问治理系统 用户的授权、角色安排; 访问策略的定制和治理; 用户授权信息的自动同步; 用户访问的实时监控、安全审计; 身份认证效劳 身份认证前置为应用系统供给安全认证效劳接口,中转认证和访问恳求; 身份认证效劳完成对用户身份的认证和角色的转换; 访问掌握效劳 应用系统插件从应用系统猎取单点登录所需的用户信息; 用户单点登录过程中,生成访问业务系统的恳求,对敏感信息加密签名; CA 中心及数字证书网上受理
9、系统 用户身份认证和单点登录过程中所需证书的签发; 用户身份认证凭证USB 智能密钥的制作;2.2. 技术实现方案2.2.1. 技术原理基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问掌握代理中间件,和防护系统的认证效劳器通信,利用系统供给的安全保障和信息效劳,共享安全优势。系统交互图其原理如下:1) 每个信息资源配置一个访问代理,并为不同的代理安排不同的数字证书, 用来保证和系统效劳之间的安全通信。2) 用户登录中心后,依据用户供给的数字证书确认用户的身份.3) 访问一个具体的信息资源时,系统效劳用访问代理对应的数字证书,把用户的身份信息机
10、密后以数字信封的形式传递给相应的信息资源效劳器。4 信息资源效劳器在承受到数字信封后,通过访问代理,进展解密验证,得到用户身份。依据用户身份,进展内部权限的认证。2.2.2. 统一身份认证2.2.2.1. 用户认证统一身份治理及访问掌握系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户IDpassport)是唯一的,由其作为平台用户的统一标识。如以下图所示:1、在通过平台统一认证后,可以从登录认证结果中猎取平台用户证书的序列号或平台用户ID;(2)、再由其映射不同应用系统的用户账户;3、最终用映射后的账户访问相应的应用系统;当增加
11、一个应用系统时,只需要增加平台用户证书序列号或平台用户 ID 与该应用系统账户的一个映射关系即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户穿插和用户账户不同的问题.单点登录过程均通过安全通道来保证数据传输的安全。2.2.2.2. 系统接入应用系统接入平台的架构如以下图所示:系统供给两种应用系统接入方式,以快速实现单点登录:1反向代理Reverse Proxy方式应用系统无需开发、无需改动。对于不能作改动或没有原厂商协作的应用系统, 可以使用该方式接入统一用户治理平台。反向代理技术:实现方式为松耦合,承受反向代理模块和单点登录SSO)认证效劳进展交互验证用户信息,完
12、成应用系统单点登录.(2)Plug-in 方式Plug-in:实现方式为紧耦合,承受集成插件的方式与单点登录(SSO认证效劳进展交互验证用户信息,完成应用系统单点登录。紧耦合方式供给多种API,通过简洁调用即可实现单点登录SSO。2.2.3. 统一权限治理统一身份治理及访问掌握系统的典型授权治理模型如以下图所示:用户授权的根底是对用户的统一治理,对于在用户信息库中注册的用户,通过自动授权或手工授权方式,为用户安排角色、对应用系统的访问权限、应用系统操作权限,完成对用户的授权.假设用户在用户信息库中被删除,则其相应的授权信息也将被删除。完整的用户授权流程如下:1、用户信息统一治理,包括了用户的注
13、册、用户信息变更、用户注销;2、权限治理系统自动猎取增或注销用户信息,并依据设置自动安排(或删除默认权限和用户角色;3、用户治理员可以基于角色调整用户授权适用于用户权限批量处理)或直接调整单个用户的授权;4、授权信息记录到用户属性证书或用户信息库关系型数据库、LDAP 名目效劳)中;5、用户登录到应用系统,由身份认证系统检验用户的权限信息并返回给应用系统,满足应用系统的权限要求可以进展操作,否则拒绝操作;6、用户的授权信息和操作信息均被记录到日志中,可以形成完整的用户授权表、用户访问统计表。2.2.4. 安全通道供给的安全通道是利用数字签名进展身份认证,承受数字信封进展信息加密的基于 SSL
14、协议的安全通道产品,实现了效劳器端和客户端嵌入式的数据安全隔离机制。客户端效劳器TCP/IP图:使用前客户端TCP/IP 客户端安全插件SSLSSLSSL 加密效劳器前置(Proxy)TCP/IP服务器图:使用后安全通道的主要用途是在两个通信应用程序之间供给私密性和牢靠性,这个过程通过 3 个元素来完成:1握手协议:这个协议负责协商用于客户机和效劳器之间会话的加密参数。当一个 SSL 客户机和效劳器第一次开头通信时,它们在一个协议版本上达成全都, 选择加密算法和认证方式,并使用公钥技术来生成共享密钥。(2记录协议:这个协议用于交换应用数据.应用程序消息被分割成可治理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输.承受方承受数据并对它解密,校验MAC,解压并重组合,把结果供给应应用程序协议.3警告协议:这个协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候终止。