单点登录系统技术指标和功能要求
单点登录系统必须满足的技术功能指标及其他需求如下:
1.帐号管理
帐号管理应提供完善的帐号生命周期管理能力,用于从系统同步更新人员帐号信息;维护和现有应用系统帐号的同步更新;导入并映射现有应用系统帐号;设置相应的同步策略和密码安全策略等等。
1.1主帐号管理
主帐号管理模块应该实现功能:
1.提供主帐号的组织管理,建立相应树状目录用于合理组织主帐号;
2.提供主帐号的组管理,建立相应的帐号组,用于对帐号集合进行集中维护;
3.提供对主帐号生命周期管理,包括建立、复制、修改、迁移、冻结、删除等功
能;
4.提供主帐号属性管理,用于对主帐号的多种属性进行管理,包括帐号认证方式、
时效性和其他属性的管理;
5.主帐号密码的存放应该充分考虑安全性要求,存放和传输过程都应加密。
1.2从帐号管理
从帐号管理模块应该实现以下功能:
1.提供对从帐号生命周期管理,包括同步、修改、冻结、删除等功能;
2.提供对从帐号属性管理,包括从帐号的密码等内容;
3.应实现程序帐号对应的收集和管理;
4.从帐号密码的存放应该充分考虑安全性要求,存放和传输过程都应该加密。
1.3帐号同步管理
帐号同步管理模块应该实现以下功能:
1.主帐号数据来源于人力资源系统,提供主帐号和人力资源系统定期自动同步人
员信息(包括增、删、改);
2.提供单点登录系统从帐号密码同步到系统和邮件系统的功能(即单点登录系统
的相应从帐号密码更改后,可以同步到系统和邮件系统确保两边密码一致);
3.提供相应的接入同步接口和相应规范,便于应用系统可以把帐号和密码同步到
单点登录系统。
1.4密码策略管理
密码策略管理模块应该实现以下功能:
1.提供对主从帐号密码强度的管理,在单点登录系统里能够针对主从帐号密码
的强度进行管理,包括密码安全设置及修改、组成规则及校验策略等;
2.提供对主从帐号密码有效期的管理,在单点登录系统里能够对主从帐号密码
有效期进行管理,要具备密码有效期验证、提醒以及过期或输错次数锁定、
管理员激活等功能。
2.认证管理
认证管理应提供完善的认证管理能力,提供各种不同强度的认证方式并能选择使用,提供应用系统的单点登录功能。同时,认证管理模块可以自身提供强认证服务,也可以根据需要将认证请求转发给其他外部强认证组件(如)来完成认证功能。
2.1单点登录功能
单点登录功能模块应该实现以下功能:
1.支持建设范围内所有结构应用系统的单点登录,技术实现方式支持常用单点
登录模式,包括用户帐号密码代填(不要安装浏览器插件)、、票据()改造
等技术方式;
2.提供统一的单点登录平台且必须按以下两种集成方案之一和现有内部网站
完美集成在一起,提高用户使用单点登录系统的便利性,且不改变用户原有
使用习惯。具体的两种集成方案为,第一种方案是单点登录系统嵌入到现有
内部网站中,替代内部网站现有的登录框,并在内部网站主页面增加一块版
面用于单点登录系统登录后可访问应用系统列表嵌入,此种方案完成的效果
是内部员工输入内部网站网址打开内部网站主页,在登录框内输入单点登录
系统用户名口令登录,登录后在单点登录系统版面内会列出该用户可访问的
应用系统列表,用户点击相应应用系统链接无需用户名密码直接打开新页面
进入该应用系统。第二种方案是单点登录系统完全替换现有内部网站系统,
把现有内部网站系统的所有功能模块都移植到单点登录系统上完成,同时加
入单点登录认证框和登录后的应用系统资源列表。为了提升用户体验,要求
单点登录系统开发完成后的新内部网站要在界面和操作上和现有内部网站
保持一致。此种方案完成后的效果是内部员工输入内部网站网址打开新内部
网站(由于和现有内部网站界面完全一致,用户使用上觉察不到差别),在
单点登录框内输入用户名口令,登录后在主页的单点登录系统版面内会列出
该用户可访问的应用系统列表,用户点击相应应用系统链接无需用户名密码
直接打开新页面进入该应用系统。同时,对于内部网站管理员而言,他必须
可以使用新内部网站系统的各功能模块对内部网站内容进行发布、修改、删
除、备份、归档等管理维护操作,功能模块和使用习惯要和现有内部网站系
统保持一致。
2.2强认证功能
单点登录系统必须支持以下强认证方式:
1.静态口令(使用静态口令必须加入验证码);
2.动态口令卡;
3.证书或软件证书(可扩展支持即可);
4.一次性密钥(手机软件或短信一次性密钥,可扩展支持即可)。
2.3认证组合功能
认证过程应该支持多种手段组合使用,具体包括:
1.选择使用:指单点登录系统可以配置选择使用的认证方式,确保在一种认证
失效的时候可以有一种认证方式在紧急情况下使用。
3.授权管理
授权管理实体(即资源)主要指应用资源(系统、邮件系统、域名审核系统等)。单点登录系统必须支持实体级授权,即主帐号代表的自然人可以访问哪些应用资源的授权;要求单点登录系统可扩展支持到实体内授权,指应用系统内部包括基于角色的授权和细粒度权限授权。
3.1资源管理
资源管理应实现以下功能:
1.提供资源集中登记功能,并提供对资源的增、删、改等操作;
2.提供对资源进行分组管理的功能;
3.资源应可以按照树状结构进行组织,如按照业务系统组织或者按照地域组
织;
4.提供普通用户登录后的资源展示页功能。
3.2角色管理
单点登录系统主要采用基于角色对应用资源进行集中授权管理,角色对应着应用资源的权限。角色管理应实现以下功能:
1.提供角色的创建、变更、删除等操作;
2.提供对角色进行分组管理的功能。
3.3资源授权
资源授权主要实现帐号通过角色或角色组对应用资源的授权功能,帐号、角色和资源需支持以下关系:
1.一个自然人对应一个主帐号;
2.一个主帐号对应多个角色组或者多个从帐号;
3.一个角色组对应多个资源上的多个角色;
4.一个从帐号可以对应一个资源上的角色;
5.一个角色对应资源上的多个权限。
3.4访问控制策略
1.访问控制策略主要是根据特定的访问控制要素控制主帐号(自然人)能否访
问相应的应用资源。控制要素主要包括时间、地址、组织结构、职务等。4.日志审计
日志审计主要用于安全审查和追踪依据;通过审计分析单点登录系统的日志,及时发现一些安全隐患,并对其进行追踪、提供相应依据。
4.1日志管理
日志管理模块应该实现以下功能:
1.应记录所有单点登录系统自身运行日志、所有通过单点登录平台访问应用资
源的日志、管理单点登录系统的所有日志及用户自服务的所有日志;
2.支持手动备份日志和定期自动备份日志;
3.支持日志通过方式输出到其他日志收集平台。
4.2审计分析
单点登录系统必须提供对日志数据的简单审计分析能力。单点登录系统应提供审计分析规则管理接口,管理人员可自定义分析规则,由单点登录系统完成对审计数据的分析处理。对审计数据的分析包括:
1.主从帐号关联:审计平台应能够通过主从帐号的映射关系,将审计信息中从
帐号关联到主帐号,从而实现审计数据和自然人的对应。
2.分类:对审计信息进行分类处理,审计信息类型至少包括但不限于以下几种,
帐号管理、认证、授权、登录登出;
3.过滤:根据定义的过滤规则,对审计信息进行过滤,便于分析和展现,过滤
的属性至少包括但不限于以下几种,源、目的地址、时间、主、从帐号、资
源名称。
4.3查询和报表
查询与报表模块应该实现以下功能:
1.应提供强大的日志信息查询功能,管理人员可根据日志信息的各种属性进行
查询;
2.应提供强大的报表功能,可根据管理人员的定义生成各类报表,包括但不限
于日志信息查询结果输出报表、基于自然人登录、应用系统资源的报表、
帐号变更报表、基于各应用系统的自然人登录报表等;
3.报表支持常用格式输出(、、等),支持输出中文报表。
5.系统管理
系统管理提供了对单点登录系统自身各功能模块的集中管理功能,提供针对应用资源和组织结构分类的分级分层管理员管理功能,提供针对普通用户使用的自服务功能。
5.1系统自管理
系统自管理模块主要是对单点登录系统的各个功能模块及接口实现集中管理,其功能主要包括:
1.支持协议的展现方式进行系统自管理;
2.提供对单点登录系统自身各个模块的管理功能;
3.提供对单点登录系统自身运行的相关管理功能。
5.2用户自服务
用户自服务应该实现以下功能:
1.提供用户对个人常用信息的更改、主从帐号密码变更等功能;
2.提供用户相关的主从帐号及应用资源展示功能;
3.提供遗忘密码的重置或找回的功能;
5.3分级管理
分级管理模块主要是实现管理员分级管理功能:
1.超级管理员可以按应用资源分类创建各应用管理员,由各应用管理员登录单
点登录系统管理本应用相关的单点登录授权及访问。
6.接入接口、接入规范和开发方面要求
为便于单点登录系统建成后新应用系统的研发和接入,本次项目建设需满足:
1.根据应用系统情况,必须提供完整的单点登录认证接入及同步接口和完整的认
证接入和同步规范,确保以后新上应用系统可按此接口和规范接入单点登录系
统;
2.要求提供的接口易于实现,便于系统对接和二次开发;
3.合同签订后个月内搭建原型测试系统供研发进行测试接入;
7.其他要求
1.单点登录系统运行的系统平台:开放式硬件平台如服务器或刀片服务器,操
作系统支持或操作系统;
2.单点登录系统后台数据库:标准目录服务和通用数据库;
3.性能:适用于当前的网络和应用系统环境,性能上满足当前以及未来~年内的
需要,厂商需提供能说明性能的成功案例不少于个,并出示案例证明文件;
4.可扩展性:为满足更高性能要求,单点登录系统要具备良好的升级扩展能力和
扩展性价比;
5.单点登录系统自身支持常用浏览器以上、、、等;
6.单点登录系统自身具备较强的安全性,可抵抗注入、跨站、攻击等常用的应用
攻击,系统内部敏感信息必须要加密存储;
7.单点登录系统自身支持热备、负载方式部署且支持实时数据同步,确保业务连
续性;
8.需提供应急方案,确保单点登录系统故障时可以应急登录;
9.单点登录系统界面及报表支持中文;
10.必须满足信息安全管理体系《信息系统建设安全管理规定》中“系统建设安
全功能要求”重要系统要求,见附件;
11.投标厂商要为国内外知名安全厂商,自身具有深厚的安全技术实力和软件研发
实力,投标产品应具有国内相应的安全产品资质;
12.具有很好的性价比、良好的本地技术支持和售后服务。
8.项目服务要求
1.该项目允许定制开发,投标方应具备二次开发服务能力,以满足甲方提出的二
次开发需求。请投标厂商提供定制开发的费用并计入总价,否则认为无定制。
请投标厂商提供二次开发能力的说明文件和开发流程。
2.承诺不需要定制开发已经满足的招标指标,经测试后发现不满足,甲方可以无
条件废标。
9.项目建设与项目管理要求
1.执行本项目的主要人员,必须具备大型网络安全项目的设计和实施经验。
2.项目建设要通过分阶段开发、试用、发现问题、修改问题再开发推进项目,确
保建设过程中最终用户就能参与试用,提出问题,改进问题,进而提升用户体
验。
3.投标人必须提供本项目经理个人信息,项目经理必须有三年的网络安全项目管
理经验并必须由专职人员担任。
4.投标人必须提供完整的建设实施方案:包括详细需求调研,详细设计方案,建
设实施方案。
5.项目管理要求,要提供一套详细的项目进度管理文档,便于项目进度、费用和
质量管理。
10.系统安装、调试、验收要求
10.1交货、安装和调试
1.中标人所有为本项目使用和安装的软硬件产品为具有合法版权或使用权的
正版、无质量瑕疵;若经发现有盗版软件或不合格产品,则无条件退货。
2.中标人必须为所提供的产品负责,保证招标人在使用产品或其任何一部分
时,不受第三方提出的侵犯其专利权、商标权和工业设计权的起诉。
3.中标人必须为本项目提供专门的系统安装、调试所需的人员。安装、调试等
工作必须由投标人资深工程师带领进行。
4.中标人负责对机房进行现场勘察,必须要对买方的机房和网络环境进行了
解,深入掌握其技术特点,以保证所提供的产品的安装,测试和运行的正常
进行。
5.中标交货、安装和调试必须遵守招标人的相关规定,未经批准不得自行安装、
调试设备。
10.2验收和服务
1.投标人具有提供本地售后服务的机构和技术人员。
2.软硬件系统整体开发需要经历到货、安装调试、试运行、验收几个阶段。
3.系统安装调试完毕,实现所有功能后,进行初验。初验后,进入三个月试运
行。三个月试运行系统运行正常进行最终验收。
4.投标人必须提供详细可行的工作计划和时间表。
5.售后服务和质保要求
()提供年原厂质保期及年*小时应急服务(须包括未来外部系统对接单点登录系统时的服务支持),要求小时到现场(包括备件)服务,售后保修期自项目终验日开始计算。
()提供年内系统免费升级服务。
11.培训和文档要求
11.1培训要求
1.投标人应保证提供最有经验的教员,使买方人员在培训后能够独立地对系统
进行管理、维护,而不需投标人的人员在场指导。
2.培训应包括使用培训(针对项目日常维护人员)、系统管理培训(针对项目
技术管理人员)和高级管理培训(针对项目高级管理人员)。
3.培训内容应包括所提供系统的结构、性能、维护、定制和升级等各个方面,
并提供全套培训教材和培训课程计划表。
4.培训教材应使用标准中文;为进行有效的技术交流,所有培训教员必须具备
熟练的中文会话和书写能力。
5.培训课程应安排在整个项目计划的合适时间段内。
6.投标人应详细开列各种培训费用,对于合同中确定的培训地点、时间等项目
否则视为免费提供。如果投标人提出变更,应提出书面通知,并承担变更中
发生的全部费用。
11.2文档要求
1.投标人在投标文件中需列出其提供的技术资料的详细清单。
2.投标人负责编写本项目有关的建设、运行维护和安全管理方案。
3.项目文档必须有专人负责管理和归档。
单点登录和单一登录的区别? 1.单点登录: 单点登录是登录之后所有该域名的网站都可以不用登录了把包括子域名。 单点登录是从一个系统登录以后,其他地方不用登录。。。 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务 单点登录的机制也一样,如下图所示,当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录(1);根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该返回给用户一个认证的凭据--ticket(2);用户再访问别的应用的时候(3,5)就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行效验,检查ticket的合法性(4,6)。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。 [重点是Ticket,参考中国电信,重点还有认证中心] 从上面的视图可以看出,要实现SSO,需要以下主要的功能: ?所有应用系统共享一个身份认证系统。 统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行效验,判断其有效性。 ?所有应用系统能够识别和提取ticket信息 要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系
第20卷哈尔滨师范大学自然科学学报 Vol.20,No.12004 第1期 NATURAL SCIENCES JOURNAL OF HARBIN NORMAL UNIVERSITY 一个Web 应用单点登录系统的设计和实现 陈重威 (上海市静安区业余大学) 摘要 作者在分析借鉴三种Web 单点登录产品和技术的基础上,设计并实现了一个Web 单点登录系统,该系统适用于企业内部Intranet 应用环境,可以跨多个In ternet 域,可以支持常见的几种操作系统和Web 应用服务器.本文介绍了此系统的设计思路和关键技术,并给出了部分关键代码. 关键词:Web;HTTP;单点登录;身份验证 收稿日期:2003-12-28 陈重威,(1948-),男,上海静安区业余大学计算机系副教授,主要研究方向:计算机网络、数据库 0 引言 经过多年的建设,我国企业中建立起来了一些基于Web 的应用系统,这些系统运行在多种操作系统和应用服务器上面,由不同的技术人员在不同的时期采用不同的技术建立,采用多种相互独立的用户管理、身份验证系统.在当前企业有限的经费预算条件下,如何使用户可以只登录企业信息系统一次就可以访问到企业中多种Web 应用一直是一种挑战.本文在分析三种具有代表性的Web 应用单点登录系统的基础上,针对中小型企业对Web 应用单点登录的要求、其Intranet 环境的特点,给出一个适应于中小型企业Intranet 内常见Web 应用的单点登录系统的设计框架及基于J2EE 的系统实现要点. 1 用户要求和现有产品 1 1 用户环境和要求 企业中基于Web 的应用系统种类繁多,有基于微软Internet Information Server 的运行在Windows 平台上的信息系统,有基于J2EE 应用服务器平台 的业务系统,有基于Lotus Domino 的办公自动化 系统,也有SAP 、ORAC LE 那样的ERP 系统或者财 务系统,这些系统各有各的用户数据库(关系型数据库、Domino 文档数据库、LDAP 服务器等).企业员工在不同应用系统中有不同的帐户!!!用户名和口令,他们需要牢记这些帐户.企业员工特别希望只登录一次就可以透明地访问其他各种应用系统,不再需要在各种应用系统的登录页面中多次输入不同的用户名和口令. 从用户的角度看,Web 应用单点登录系统的使用方法如下: 1 用户访问Web 单点登录系统,服务器返回登录页面,提示用户输入用户名和口令等认证信息; 2 用户登录系统,登录系统返回一个该用户有权访问的应用的列表; 3 自此以后,用户访问其他应用的时候,在用户看来,他不必进行身份验证就可以访问其他Web 应用了; 4 当用户退出一个应用系统,而没有退出?单点登录系统#,他仍然可以访问其他没有退出登录的应用系统.
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
统一认证与单点登录系统产品需求规格说明书 北京邮电大学
版本历史
目录 0文档介绍 (5) 0.1 文档目的 (5) 0.2 文档范围 (5) 0.3 读者对象 (5) 0.4 参考文档 (5) 0.5 术语与缩写解释 (5) 1产品介绍 (7) 2产品面向的用户群体 (7) 3产品应当遵循的标准或规范 (7) 4产品范围 (7) 5产品中的角色 (7) 6产品的功能性需求 (8) 6.0 功能性需求分类 (8) 6.0.1产品形态 (8) 6.1 外部系统管理 (9) 6.1.1外部系统注册 (9) 6.1.2外部系统集成配置 (11) 6.2 用户管理 (11) 6.2.1用户管理控制台 (11) 6.2.2用户自助服务 (13) 6.2.3统一用户管理 (13) 6.3 组织结构管理 (14) 6.4 权限管理 (15) 6.4.1统一角色管理 (18) 6.5 单点登录 (18) 6.5.1基于Httpheader单点登录 (19) 6.5.2基于表单代填的方式单点登录 (20) 6.5.3基于CAS单点登录 (20) 6.5.4总结 (23) 7产品的非功能性需求 (24) 7.1.1性能需求 (24) 7.1.2接口需求 (24) 8附录B:需求确认 (25)
0文档介绍 0.1文档目的 此文档用于描述统一认证与单点登录系统的产品需求,用于指导设计与开发人员进行系统设计与实现。 0.2文档范围 本文档将对系统的所有功能性需求进行消息的描述,同时约定非功能性以及如何与第三方系统进行交互。 0.3读者对象 本文档主要面向一下读者: 1.系统设计人员 2.系统开发与测试人员 3.系统监管人员 4.产品甲方管理人员 0.4参考文档 《凯文斯信息技术有限公司单点登录及统一用户技术方案V1.0》 0.5术语与缩写解释
xxxx集团 单点登录技术方案
目录 1. xxxx集团系统建设现状 (4) 1.1. Web应用系统 (4) 1.2. C/S应用系统 (4) 1.3. SSL VPN系统 (4) 2. xxxx集团单点登录系统需求 (5) 2.1. 一站式登录需求 (5) 3. SSO(单点登录)技术简介 (6) 3.1. 修改应用程序SSO方案 (6) 3.2. 即插即用SSO方案 (7) 3.3. 两种SSO方案比较 (7) 3.4. 惠普SSO (7) 3.4.1. 惠普SSO开发背景 (7) 3.4.2. 惠普SSO的功能 (8) 3.4.3. 惠普SSO的特点 (9) 3.4.4. 惠普SSO结构 (10) 4. xxxx集团单点登录技术方案 (11) 4.1. 应用系统中部署惠普SSO单点登录 (11) 4.1.1. 解决全局的单点登录 (12) 4.1.2. 应用系统的整合 (12) 4.1.3. 用户如何过渡到使用单点登录 (13) 4.1.4. 管理员部署业务系统单点登录功能 (14) 4.1.5. 建立高扩展、高容错单点登录环境 (15) 4.1.6. 建立稳定、安全、高速网络环境 (15) 4.2. 定制工作 (16) 4.2.1. SSL VPN结合 (16)
4.2.2. 密码同步 (16) 5. 项目实施进度 (17) 5.1. 基本安装配置 (17) 5.2. 配置认证脚本 (17) 5.3. 总体进度 (17) 6. 硬件清单 (19) 7. 软件清单 (20)
1.xxxx集团系统建设现状 xxxx集团有限责任公司(以下简称集团公司)管理和运营省内11个民用机场,以及20多个关联企业(全资子公司、控股企业、参股企业)。现有的信息系统主要有生产运营系统和管理信息系统,其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等,管理信息系统主要有财务系统、OA 系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。 各信息系统都有独立的用户组织体系,采用“用户名+密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题:1、终端用户需要记住多个用户名和密码;2、终端用户需要登录不同的信息系统以获取信息;3、系统管理员难以应付对用户的管理;4、难以实施系统使用安全方面的管理措施。 1.1.Web应用系统 xxxx集团现有的Web应用系统包括:办公自动化系统(OA)、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、或者购买的商业软件。每个应用系统都有自己的用户管理机制和用户认证机制,彼此独立。每个应用系统用户名、口令可能各不相同。 1.2.C/S应用系统 xxxx集团目前的C/S应用只有一个:财务系统,金蝶K3财务系统。 1.3.SSL VPN系统 xxxx集团有一套SSL VPN系统,集团局域网之外的用户(包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等)是通过SSL VPN 系统进入集团局域网的,通过SSL VPN系统进入集团局域网访问的系统包括:OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网站等。用户经过SSL VPN系统进入集团局域网需要经过身份认证。
单点登录系统(SSO)详细设计说明书 1、引言 1.1编写目的 为了单点登录系统(SSO系统)的可行性,完整性,并能按照预期的设想实现该系统,特编写需求说明书。 同时,说明书也发挥与策划和设计人员更好地沟通的作用。 1.2背景 a.鉴于集团运营的多个独立网站(称为成员站点),每个网站都具有自己的身份验证机制,这样势必造成:生活中的一位用户,如果要以会员的身份访问网站,需要在每个网站上注册,并且通过身份验证后,才能以会员的身份访问网站;即使用户以同样的用户名与密码在每个网站上注册时,虽然可以在避免用户名与密码的忘记和混淆方面有一定的作用,但是用户在某一段时间访问多个成员站点或在成员站点间跳转时,还是需要用户登录后,才能以会员的身份访问网站。这样不仅给用户带来了不便,而且成员网站为登录付出了性能的代价; b.如果所有的成员网站,能够实现单点登录,不仅在用户体验方面有所提高,而且真正体现了集团多个网站的兄弟性。通过这种有机结合,能更好地体现公司大平台,大渠道的理念。同时,这样做也利于成员网站的相互促进与相互宣传。 正是出于上面的两点,单点登录系统的开发是必须的,是迫在眉睫的。1.3定义 单点登录系统提供所有成员网站的“单一登录”入口。本系统的实质是含有身份验证状态的变量, 在各个成员网站间共用。单点登录系统,包括认证服务器(称Passport服务器),成员网站服务器。 会员:用户通过Passport服务器注册成功后,就具有了会员身份。 单一登录:会员第一次访问某个成员网站时,需要提供用户名与密码,一旦通过Passport服务器的身份验证, 该会员在一定的时间内,访问任何成员网站都不需要再次登录。 Cookie验证票:含有身份验证状态的变量。由Passport服务器生成,票含有用户名,签发日期时间, 过期日期时间和用户其它数据。
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
数字校园系列软件产品 单点登录管理系统 功能白皮书
1产品概述 1.1产品简介 单点登录系统主要是为了方便学校管理层、教师及学生对数字化校园各个应用系统的访问而设计的一个系统。对于已经建设和将要建设的数字化校园应用系统,不同的用户身份和使用口令,不但给数字化校园系统带来安全隐患,也给使用者带来记忆负担。 单点登录系统通过对数字化校园系统平台及应用系统的登陆参数进行管理和配置,然后将单点登录Portlet插件部署到门户页面中,让用户点击单点登录插件中的应用系统列表就可以登录到各应用系统中,既保证了账户的安全又极大缩减了管理人员的管理工作量。 单点登录系统实现了与统一信息门户平台的无缝对接,通过单点登录插件使单点登录系统能够在统一信息门户平台上进行展示。通过统一信息门户平台集成的单点登录插件,单击相应的应用系统列表实现对各个应用系统的访问。 1.2应用范围
1.3界面展示 2产品结构2.1系统结构图
2.2应用模型 系统采用MVC多层设计模式,实现业务逻辑与表现层的隔离,业务逻辑与数据访问的隔离。本系统与第三方的系统集成采用WebService方式和iFram两种方式,方便第三方系统的集成。 图单点登录管理系统层次结构图 3产品介绍 3.1应用系统管理 3.1.1应用系统列表显示 实现对现有应用系统的列表显示,单击功能列表里的“应用系统管理”功能
进行显示。 3.1.2应用系统添加 实现对应用系统的添加功能,将即将上线的数字化校园应用系统添加到单点登录管理系统中,实现单点登录功能。
对单点登录管理系统现有应用系统配置信息进行修改。 3.1.4应用系统删除 对已经添加到单点登录管理系统的应用系统进行删除操作。
单点登录SSO系统 解决方案 ***有限公司 20
文档信息版本历史
目录 1.概述 (5) 1.1.背景 (5) 1.2.目标 (5) 1.3.阅读对象 (5) 1.4.术语和缩略语 (5) 2.SSO概述 (6) 2.1.SSO规范 (6) 2.1.1.名称解释 (6) 3.SSO接口规范 (7) 3.1.SSO接口图 (7) 3.2.SSO接口清单 (7) 3.3.单点登录接口 (8) 3.3.1.登录 (8) 3.3.2.登录状态检查 (10) 3.3.3.用户信息获取 (11) 3.3.4.登录状态查询 (12) 3.3.5.单点登录使用场景 (12) 3.4.组织数据WS同步 (13) 3.4.1.接口说明 (13) 3.4.2.使用场景 (13) 3.4.3.字段说明 (13) 3.4.4.业务规则和逻辑 (14)
3.5.用户数据WS同步 (15) 3.5.1.接口说明 (15) 3.5.2.使用场景 (15) 3.5.3.字段说明 (15) 3.5.4.业务规则和逻辑 (16) 4.实施建议 (17) 4.1.SSO实施(基本认证) (17) 4.1.1.接入流程 (17) 4.1.2.接入准备 (18) 4.1.3.接收数据 (18) 4.1.4.登录状态检查方法 (18) 4.1.5.登录/检查登录状态成功—主体代码(Success URL)编写 (18) 4.1.6.登录失败处理 (19) 4.1.7.状态检查未登录处理 (19) 4.2.组织和用户接收 (19) 4.2.1.开发框架 (19) 4.2.2.开发过程 (19) 5.附录 (20) 5.1.SSO E RROR C ODE (20) 5.2.SSO T OKEN XML (20) 5.3.SSO用户信息 (20) 5.4.SSO获取用户信息失败的状态码 (20)
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS 统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS 完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能:
UTrust SSO单点登录和门户建设技术方案建议书 北京神州融信信息技术有限公司 https://www.doczj.com/doc/b310852446.html,
目录 1.企业应用系统现状 (2) 2.企业单点登录(SSO)需求分析 (3) 3.SSO(SINGLE SIGN ON)单点登录技术 (4) 3.1.后置代理 (5) 3.2.即插即用 (5) 3.3.两种SSO技术比较 (5) 4.UTRUST SSO单点登录系统描述 (6) 4.1.UT RUST SSO系统概述 (6) 4.2.UT RUST SSO系统架构 (7) 4.3.UT RUST SSO系统工作流程 (8) 4.4.UT RUST SSO系统特点 (9) 5.企业门户和单点登录系统建设方案建议 (10) 5.1.UT RUST单点登录解决方案建议 (11) 5.1.1.原系统的整合 (11) 5.1.2.新系统的集成 (12) 5.1.3.统一身份认证 (12) 5.1.4.统一资源授权 (13) 5.1.5.统一安全审计 (13) 5.1.6.统一安全管理 (13) 5.2.统一身份管理 (14) 5.2.1.采用基于标准的统一身份管理架构 (14) 5.2.2.数据集中管理................................................................................... 错误!未定义书签。 5.2.3.委托管理和自注册管理 (16) 5.3.UT RUST SSO门户集成解决方案 (16) 5.3.1.简单门户 (16) 5.3.2.与办公系统集成门户 (17) 5.3.3.与专业Portal系统整合 (18) 5.4.与W INDOWS域结合实现单点登录 (18) 5.5.UT RUST SSO外网接入解决方案 .......................................................... 错误!未定义书签。 5.6.UT RUST 系统的部署 (19) 6.安装环境配置 (21) 7.系统实施建议 (22)
1 什么是单点登陆 单点登录(Single Sign On),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务。例如财务系统为财务人员提供财务的管理、计算和报表服务;人事系统为人事部门提供全公司人员的维护服务;各种业务系统为公司内部不同的业务提供不同的服务等等。这些系统的目的都是让计算机来进行复杂繁琐的计算工作,来替代人力的手工劳动,提高工作效率和质量。这些不同的系统往往是在不同的时期建设起来的,运行在不同的平台上;也许是由不同厂商开发,使用了各种不同的技术和标准。如果举例说国内一著名的IT公司(名字隐去),内部共有60多个业务系统,这些系统包括两个不同版本的SAP的ERP系统,12个不同类型和版本的数据库系统,8个不同类型和版本的操作系统,以及使用了3种不同的防火墙技术,还有数十种互相不能兼容的协议和标准,你相信吗?不要怀疑,这种情况其实非常普遍。每一个应用系统在运行了数年以后,都会成为不可替换的企业IT架构的一部分,如下图所示。 随着企业的发展,业务系统的数量在不断的增加,老的系统却不能轻易的替换,这会带来很多的开销。其一是管理上的开销,需要维护的系统越来越多。很多系统的数据是相互冗余和重复的,数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大,例如公司的计费系
统和财务系统,财务系统和人事系统之间都不可避免的有着密切的关系。 为了降低管理的消耗,最大限度的重用已有投资的系统,很多企业都在进行着企业应用集成(EAI)。企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换平台”,在应用层面上的“业务流程整合”,和用户界面上的“通用企业门户”等等。事实上,还用一个层面上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。 通常来说,每个单独的系统都会有自己的安全体系和身份认证系统。整合以前,进入每个系统都需要进行登录,这样的局面不仅给管理上带来了很大的困难,在安全方面也埋下了重大的隐患。下面是一些著名的调查公司显示的统计数据: ?用户每天平均16分钟花在身份验证任务上- 资料来源:IDS ?频繁的IT用户平均有21个密码- 资料来源:NTA Monitor Password Survey ?49%的人写下了其密码,而67%的人很少改变它们 ?每79秒出现一起身份被窃事件- 资料来源:National Small Business Travel Assoc ?全球欺骗损失每年约12B - 资料来源:Comm Fraud Control Assoc ?到2007年,身份管理市场将成倍增长至$4.5B - 资料来源:IDS 使用“单点登录”整合后,只需要登录一次就可以进入多个系统,而不需要重新登录,这不仅仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。请看下面的统计数据: ?提高IT效率:对于每1000个受管用户,每用户可节省$70K ?帮助台呼叫减少至少1/3,对于10K员工的公司,每年可以节省每用户$75,或者合计$648K ?生产力提高:每个新员工可节省$1K,每个老员工可节省$350 - 资料来源:Giga ?ROI回报:7.5到13个月- 资料来源:Gartner 另外,使用“单点登录”还是SOA时代的需求之一。在面向服务的架构中,服务和服务之间,程序和程序之间的通讯大量存在,服务之间的安全认证是SOA应用的难点之一,应此建立“单点登录” 的系统体系能够大大简化SOA的安全问题,提高服务之间的合作效率。
单点登录技术方案
xxxx集团 单点登录技术方案
目录 1. xxxx集团系统建设现状........................................... 错误!未定义书签。 1.1. Web应用系统 ................................................. 错误!未定义书签。 1.2. C/S应用系统 ................................................... 错误!未定义书签。 1.3. SSL VPN系统.................................................... 错误!未定义书签。 2. xxxx集团单点登录系统需求 ................................... 错误!未定义书签。 2.1. 一站式登录需求.............................................. 错误!未定义书签。 3. SSO(单点登录)技术简介..................................... 错误!未定义书签。 3.1. 修改应用程序SSO方案.................................. 错误!未定义书签。 3.2. 即插即用SSO方案.......................................... 错误!未定义书签。 3.3. 两种SSO方案比较.......................................... 错误!未定义书签。 3.4. 惠普SSO .......................................................... 错误!未定义书签。 3.4.1. 惠普SSO开发背景 ................................. 错误!未定义书签。 3.4.2. 惠普SSO的功能 ..................................... 错误!未定义书签。 3.4.3. 惠普SSO的特点 ..................................... 错误!未定义书签。 3.4.4. 惠普SSO结构 ......................................... 错误!未定义书签。 4. xxxx集团单点登录技术方案 ................................... 错误!未定义书签。 4.1. 应用系统中部署惠普SSO单点登录 .............. 错误!未定义书签。 4.1.1. 解决全局的单点登录.............................. 错误!未定义书签。 4.1.2. 应用系统的整合 ..................................... 错误!未定义书签。 4.1.3. 用户如何过渡到使用单点登录 .............. 错误!未定义书签。 4.1.4. 管理员部署业务系统单点登录功能 ...... 错误!未定义书签。
某公司号簿平台单点登录系统设计与实现 第一章:绪论 1.1课题背景及意义 “电话导航”是中国联通语音综合信息服务的强势品牌,涵盖通信导航、信息导航、交易导航三层次内涵,在北方以114、116114作为接入号码,在南方以116114作为接入号码。“电话导航”通过整合内外部信息资源,以优质的服务理念向社会公众提供全面、精确、专业的综合信息服务;为政企客户、商务客户搭建高效、快捷的信息公布平台;2008年电话导航定位在“专家”的形象,也确实是使受众感受到116114是我们生活中的专家,不管有我们有哪些方面的关心都能够求助那个专家,并得到最专业的资讯。
电话导航每提供一项业务都需要一项专门的业务支持,这些业务支持是通过导航的业务系统来完成。每多提供一些业务就增加一些业务治理的操作,这些业务治理操作差不多上有各业务子系统提供,假如提供统一登录模块实现治理员、用户一次登录系统完成所有业务治理和配置任务关于电话导航平台这类综合业务是一个特不重要的情况,同时随着业务的不断增加如何实现业务系统的快速接入,接入后如何以统一标准的方式提供服务。 单点登录系统为电话导航平台提供一个统一标准的认证平台,所有业务系统、门户、治理系统只要是按照这种标准方式进行登录处理都能够实现一次登录治理所有有权限治理的业务功能。关于终端使用者来讲认为只是使用电话导航功能,而不是使用电话导航的A功能、电话导航B功能,完全不存在区不。 1.2国内外研究现状对比分析 1.3目标及研究内容 依照Web应用请求应答服务的方式和无状态特点,如何实现跨系统的状态保持是本论文研究的要紧内容。
研究目标: 1)单点登录不同系统之间相互切换 2)系统访问操纵 3)系统单点故障屏蔽 4)压力情况下的安全与稳定 1.4论文的组织结构 第二章:需求分析 2.1业务现状 “电话导航”是中国联通语音综合信息服务的强势品牌,涵盖通信导航、信息导航、交易导航三层次内涵,在北方以114、116114作为接入号码,在南方以116114作为接入号码。“电话导航”通过整合内外部信息资源,以优质的服务理念向社会公众提供全面、精确、专业的综合信息服务;为政企客户、商务客户搭建高效、快捷的信息公布平台;并以开放、共赢的原则欢迎商业合作伙伴加入到电话导航产业链中来。2008年电话导航定位在“专家”的形象,也确实是使受众感受到116114是我们生活中的专家,不管有我们有哪些方面的关心都能够求助那个专家,并得到最专业的资讯。
286二 ○一二年第十五期 华章 M a g n i f i c e n t W r i t i n g 王炳举,武 静,郑州大学西亚斯国际学院。 作者简介:基于门户单点登录系统的设计与实现 王炳举,武静 (郑州大学西亚斯国际学院,河南新郑451150) [摘要]本文根据单点登录的特点,实现了一种简单的单点登录方案,阐述了单点登录方案设计、登录流程、数据 库设计等技术细节,并对方案进行了评估分析。 [关键词]单点登录;凭证加密1、单点登录简介单点登录(Single Sign On ),简称为SSO ,是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要进行一次登录就可以访问所有建立了相互信任关系的应用系统。它的目标是方便用户,简化管理,提供统一的一站式服务。 使用单点登录主要有以下几个方面的好处:1.1统一管理、维护用户公共信息、提供多种接口标准,保证其他应用系统通过直接访问或同步复制的方式,从统一用户中心获取一致的用户信息。 1.2方便管理,减少管理员管理多个应用系统用户的压力,管理员只需要维护好统一用户中心的用户信息即可,其他应用系统可按一定的规则从统一用户中心同步用户信息。 1.3为终端用户提供便捷的一站式服务,用户只需要记住一个用户名及密码即可访问其有权限的所有应用系统,也可以减少因用户忘记密码而为管理员增加的工作量。 1.4具有良好的兼容性、可扩展性,一方面能兼容新开发的业务系统也能支撑现有的应用系统的访问;另一方面,系统中用户信息的属性可以扩充,以适应未来业务的变化。 1.5提高开发人员的效率。SSO 为开发人员提供了一个通用的身份验证框架。实际上,如果SSO 机制是独立的,那么开发人员就完全不需要为身份验证操心。他们可以假设,只要对应用程序的请求附带一个用户名,身份验证就已经完成了。 2、单点登录系统设计 本文作者负责一所高校信息门户开发及维护,由于目前所用的门户系统没有单点登录服务,但又经常需要跟其他应用系统之间进行单点登录,因此设计此方案,大致的思路如下: 2.1设计思路。我校的信息门户使用活动目录进行用户管理,通过LDAP 协议进行统一身份验证,因此本方案也使用AD 作为统一用户中心,在门户上建立单点登录服务用于跟其他应用系统之间的单点登录。 用户首先登录门户,SSO 服务获取到用户信息后将用户有权访问的资源列表展现给用户,用户点击到某个应用的链接后自动登录到相应的应用程序;用户点击的链接不包含任何敏感信息,只有应用服务器ID ;SSO 服务会根据应用服务器ID 自动根据凭证生效时间、过期时间、用户ID 、Key (SSO 服务器与应用服务器之间约定的加密字符串)等信息自动生成凭证并将凭证提供给应用服务器验证,当应用服务器收到登录请求后会首先验证用户的合法性,然后到SSO 服务器验证凭证的合法性,验证成功后允许用户登录,且该过程必须要在既定的时间内完成。 该过程中每个应用与SSO 服务器之间约定共同的Key (密匙),根据密匙、用户ID 、用户IP 、凭证生成时间及失效时间根据一定的规则使用Hash 算法生成凭证,因此相同用户在不同时间登录某个应用时生成的凭证是不相同的。 服务器之间通过SSL 协议加密信息传输,用户通过使用https 的方式访问。 SSO 服务器根据单点登录类型判断应用系统中的用户信息与统一用户中心的用户信息是一致的还是需要进行用户映射,如果需要进行用户映射且用户是第一次登录,则将用户重定向到用户映射页面要求用户填写相关信息后进行登录。 SSO 服务器应具有的功能:(1)可以添加多个应用,添加应用时可添加应用服务器名称、 通信密匙、应用服务器单点登录地址等信息。 (2)可将所有应用以合适的方式展现给用户,并能获取用户登录ID ,并根据应用服务器ID 、通信密匙按照一定的加密算法生成凭证信息及凭证信息的Hash 值。 (3)提供用于验证应用服务期凭证的WebService ,该Web-Service 应检查凭证的时效性(是否为过期凭证)及正确性,防止凭证被篡改,同时将校验的结果反馈给应用服务器。 应用服务器功能: (4)应用服务期只需要校验SSO 服务器提供的用户ID 及凭证的有效性即可。 2.2单点登录流程。 2.2.1用户首先登录门户,并打开单点登录(SSO )应用列表,点击相应的应用系统链接。 2.2.2SSO 服务器根据APPID 找到对应的应用、与应用服务器约定的key ,在SSO 服务器上生成一条包含APPID 、用户ID 、用户IP 、凭证生效时间、凭证失效时间、凭证信息的Hash 值等的记录。凭证信息根据APPID 、用户ID 、用户IP 、凭证生效时间、凭证失效时间及与应用服务期之间约定的key 按照一定的规则生成。 2.2.3SSO 服务器根据步骤2中的信息采用Hash 加密算法生成的凭证信息,并将用户ID 及凭证传递到应用服务器。 2.2.4应用服务器根据SSO 服务器传递过来的用户ID ,校验该用户的有效性,同时调用SSO 服务器提供的WebService 校验凭证的有效性及时效性,如果校验成功,则允许用户登录。 2.2.5如果用户登录的应用系统与统一用户中心使用不同的用户信息,则用户第一次登录时需要首先进行用户映射,第二次登录时执行步骤1到步骤4。 2.2.6用户登录其他应用系统时重新执行以上过程。 从以上流程可以看出,本文设计的单点登录方案跟其他单点登录方案有所不同,用户无论登录那个应用系统均需由SSO 服务器代替用户自动登录。 2.3具体数据表设计。首先我们需要一张表用于存放各种应用服务器的相关信息,包含应用服务器名称、应用服务器单点登录地址等信息,数据表字段及设计说明如下: 除了上面数据表之外我们还需要一张表用于存放用户登录时自动生成的信息,同时这张表中的数据也作为应用服务器向SSO 服务器验证时用。 如果统一用户中心与应用系统使用两套不(下转第288页)
统一用户认证和单点登录解决方案 总队版的互联网服务平台想要通过网站上的链接直接连接到公司开发的增值平台,并且希望从总队版互联网服务平台登录的用户链接到公司的增值平台后不需要二次登录,针对这一需求我们可以采用同一用户认证和单点登录的方式来实现,下面介绍了统一用户的基本原理和单点登录的一些解决方案。 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。例如,用户X 需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能: 1.用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如身份证,区分和标识了不同的个体。 2.UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。 3.应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。4.应用系统保留用户管理功能,如用户分组、用户授权等功能。 5.UUMS应具有完善的日志功能,详细记录各应用系统对UUMS的操作。
用户单点登录解决方案
————————————————————————————————作者:————————————————————————————————日期: 2
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。多大飞 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能: