统一身份认证简单说明与优秀设计

统一身份认证设计方案目录1.1 系统总体设计 (4)1.1.1 总体设计思想 (4)1.1.2 平台总体介绍 (4)1.1.3 平台总体逻辑结构 (6)1.1.4 平台总体部署 (6)1.2 平台功能说明 (7)1.3 集中用户管理 (7)1.3.1 管理服务对象 (8)1.3.2 用户身份信息设计 (9)1.3.2.1 用户类型 (9)1.3.2.2 身份信息模型 (10)1.3.2.3 身份信息的存储 (11)1.3.3 用户生命周期管理 (11)1.3.4 用户身份信息的维护 (12)1.4 集中证书管理 (12)1.4.1 集中证书管理功能特点 (12)1.5 集中授权管理 (14)1.5.1 集中授权应用背景 (14)1.5.2 集中授权管理对象 (15)1.5.3 集中授权的工作原理 (16)1.5.4 集中授权模式 (16)1.5.5 细粒度授权 (17)1.5.6 角色的继承 (17)1.6 集中认证管理 (19)1.6.1 集中认证管理特点 (19)1.6.2 身份认证方式 (20)1.6.2.1 用户名/口令认证 (20)1.6.2.2 数字证书认证 (20)1.6.2.3 Windows域认证 (21)1.6.2.4 通行码认证 (21)1.6.2.5 认证方式与安全等级 (22)1.6.3 身份认证相关协议 (22)1.6.3.1 SSL协议 (22)1.6.3.2 Windows 域 (22)1.6.3.3 SAML协议 (23)1.6.4 集中认证系统主要功能 (25)1.6.5 单点登录 (25)1.6.5.1 单点登录技术 (25)1.6.5.2 单点登录实现流程 (28)1.7 集中审计管理 (31)1.1 系统总体设计为了加强对业务系统和办公系统的安全管控，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。

1.1.1 总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案：在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。

统一身份认证（CAS）简洁说明和设计方案（转）1. 单点登录概述所谓单点登录（SSO），只当企业用户同时访问多个不同（类型的）应用时，他们只须要供应自身的用户凭证信息（比如用户名/密码）一次，仅仅一次。

SSO解决方案（比如，CAS）负责统一认证用户，假如须要，SSO也可以完成用户的授权处理。

可以看出，当企业用户在不同的应用间切换时，他们不用再重复地输入自身的用户凭证了。

在实施SSO后，所用的认证操作都将交给SSO认证中心。

现有的SSO解决方案特殊多，比如微软的MSN Passport便是典型的SSO解决方案，各Java EE容器都供应了自身的专有SSO实力。

2. CAS的总体架构1. CAS简介CAS（中心认证服务）是建立在特殊开放的协议之上的企业级SSO解决方案。

诞生于2001年，在2002年发布了CAS2.0协议，这一新的协议供应了Proxy（代理）实力，此时的CAS2.0支持多层SSO实力。

到2005年，CAS成为了JA-SIG旗下的重要子项目。

由于CAS2.0版本的可扩展实力不是特殊完备，而且他的架构设计也不是很卓越，为了使得CAS能够适用于更多场合，JA-SIG打算开发出同时遵循CAS1.0和CAS2.0协议的CAS3.X版本。

现在的CAS3全面拥抱Spring技术，比如Spring DI容器和AOP技术、Spring Web MVC、Spring Web Flow、Spring Ldap Template等。

通常，CAS3由两部分内容构成：CAS3服务器和CAS客户端。

由于CAS2.0协议借助于XML数据结构和客户进行交互，因此开发者可以运用各种语言编写的CAS3客户和服务器进行通信。

CAS3服务器接受纯Java开发而成，它要求目标运行环境实现了Servlet2.4+规范、供应Java SE 1.4+支持。

假如宿主CAS3服务器的目标Java EE容器仅仅实现了Servlet2.3-规范，则在对CAS3服务器进行少量的改造后，CAS3也能运行其中。

统一身份认证设计方案日期：2016年2月目录1。

1 系统总体设计31。

1。

1 总体设计思想31。

1。

2 平台总体介绍41。

1。

3 平台总体逻辑结构51。

1。

4 平台总体部署51。

2 平台功能说明51.3 集中用户管理51.3.1 管理服务对象61。

3。

2 用户身份信息设计71。

3。

2。

1 用户类型71。

3。

2。

2 身份信息模型71。

3.2。

3 身份信息的存储81.3.3 用户生命周期管理81。

3.4 用户身份信息的维护81.4 集中证书管理91。

4。

1 集中证书管理功能特点91。

5 集中授权管理111.5.1 集中授权应用背景111.5。

2 集中授权管理对象121.5。

3 集中授权的工作原理131。

5.4 集中授权模式131。

5.5 细粒度授权141。

5.6 角色的继承151。

6 集中认证管理161.6。

1 集中认证管理特点161。

6。

2 身份认证方式171.6.2.1 用户名/口令认证171。

6。

2。

2 数字证书认证181。

6.2.3 Windows域认证181。

6.2。

4 通行码认证191。

6.2。

5 认证方式与安全等级191。

6。

3 身份认证相关协议191。

6。

3。

1 SSL协议191。

6。

3.2 Windows 域201.6。

3.3 SAML协议211.6.4 集中认证系统主要功能221.6。

5 单点登录231.6.5.1 单点登录技术231。

6.5.2 单点登录实现流程25 1。

7 集中审计管理27为了加强对业务系统和办公系统的安全管控,提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。

1.1.1 总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。

统一身份认证设计方案(最终版)统一身份认证设计方案日期：2016年2月目录1.1 系统总体设计 (5)1.1.1 总体设计思想51.1.2 平台总体介绍61.1.3 平台总体逻辑结构71.1.4 平台总体部署8 1.2 平台功能说明 (8)1.3 集中用户管理 (9)1.3.1 管理服务对象101.3.2 用户身份信息设计111.3.2.1 用户类型111.3.2.2 身份信息模型121.3.2.3 身份信息的存储131.3.3 用户生命周期管理131.3.4 用户身份信息的维护14 1.4 集中证书管理 (15)1.4.1 集中证书管理功能特点15 1.5 集中授权管理 (17)1.5.1 集中授权应用背景171.5.2 集中授权管理对象181.5.3 集中授权的工作原理191.5.4 集中授权模式191.5.5 细粒度授权201.5.6 角色的继承21 1.6 集中认证管理 (22)1.6.1 集中认证管理特点221.6.2 身份认证方式231.6.2.1 用户名/口令认证241.6.2.2 数字证书认证241.6.2.3 Windows域认证241.6.2.4 通行码认证251.6.2.5 认证方式与安全等级251.6.3 身份认证相关协议251.6.3.1 SSL协议261.6.3.2 Windows 域261.6.3.3 SAML协议271.6.4 集中认证系统主要功能291.6.5 单点登录291.6.5.1 单点登录技术301.6.5.2 单点登录实现流程32 1.7 集中审计管理 (36)为了加强对业务系统和办公系统的安全管控，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。

1.1.1 总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案：在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。

统一身份认证（）简单说明与设计方案（转）1. 单点登录概述所谓单点登录（），只当企业用户同时访问多个不同（类型的）应用时，他们只需要提供自身的用户凭证信息（比如用户名/密码）一次，仅仅一次。

解决方案（比如，）负责统一认证用户，如果需要，也可以完成用户的授权处理。

可以看出，当企业用户在不同的应用间切换时，他们不用再重复地输入自身的用户凭证了。

在实施后，所用的认证操作都将交给认证中心。

现有的解决方案非常多，比如微软的便是典型的解决方案，各容器都提供了自身的专有能力。

2. 的总体架构1. 简介（中央认证服务）是建立在非常开放的协议之上的企业级解决方案。

诞生于2001年，在2002年发布了2.0协议，这一新的协议提供了（代理）能力，此时的2.0支持多层能力。

到2005年，成为了旗下的重要子项目。

由于2.0版本的可扩展能力不是非常完美，而且他的架构设计也不是很卓越，为了使得能够适用于更多场合，打算开发出同时遵循1.0和2.0协议的3版本。

现在的3全面拥抱技术，比如容器和技术、、、等。

通常，3由两部分内容构成：3服务器和客户端。

由于2.0协议借助于数据结构与客户进行交互，因此开发者可以使用各种语言编写的3客户与服务器进行通信。

3服务器采用纯开发而成，它要求目标运行环境实现了2.4+规范、提供 1.4+支持。

如果宿主3服务器的目标容器仅仅实现了2.3-规范，则在对3服务器进行少量的改造后，3也能运行其中。

运行时，3服务器仅仅是一个简单的应用，使用者只需要将直接丢到目标容器后，即完成了3的部署。

2. 词汇概念( ) 受权的票据证明( ) 密钥发放中心() 服务票据，由的发放。

任何一台都需要拥有一张有效的才能访问域内部的应用() 。

如果能正确接收，说明在之间的信任关系已经被正确建立起来，通常为一张数字加密的证书() 票据授权票据，由的发放。

即获取这样一张票据后，以后申请各种其他服务票据() 便不必再向提交身份认证信息( 准确术语是) 。

统一身份认证设计方案(最终版)统一身份认证设计方案日期：2016年2月目录1.1 系统总体设计1.1.1 总体设计思想本文介绍的是一个统一身份认证系统的设计方案。

该系统的总体设计思想是将用户的身份信息集中管理，实现用户在不同应用系统中的一次认证即可访问多个应用系统。

1.1.2 平台总体介绍该系统采用分布式架构，包括认证服务器、授权服务器和应用系统。

认证服务器负责用户身份认证，授权服务器负责用户权限管理，应用系统通过接入认证和授权服务器实现用户身份认证和权限控制。

1.1.3 平台总体逻辑结构该系统的逻辑结构包括用户管理、证书管理、授权管理和认证管理四个模块。

用户管理模块负责集中管理用户信息，证书管理模块负责集中管理数字证书，授权管理模块负责集中管理用户权限，认证管理模块负责实现用户身份认证。

1.1.4 平台总体部署该系统的部署包括认证服务器、授权服务器和应用系统的部署。

认证服务器和授权服务器部署在专用服务器上，应用系统可以通过接入认证和授权服务器实现用户身份认证和权限控制。

1.2 平台功能说明该系统的功能包括用户管理、证书管理、授权管理和认证管理四个方面。

用户管理模块负责集中管理用户信息，证书管理模块负责集中管理数字证书，授权管理模块负责集中管理用户权限，认证管理模块负责实现用户身份认证。

1.3 集中用户管理1.3.1 管理服务对象该模块管理的服务对象是系统中的用户信息。

1.3.2 用户身份信息设计1.3.2.1 用户类型该系统支持内部用户和外部用户两种类型。

内部用户是指公司内部员工，外部用户是指公司外部合作伙伴。

1.3.2.2 身份信息模型该系统的身份信息模型包括用户基本信息、用户账号信息、用户角色信息和用户权限信息。

1.3.2.3 身份信息的存储该系统的身份信息存储在认证服务器的数据库中。

1.3.3 用户生命周期管理该系统支持用户的新增、修改、删除和禁用等操作，实现用户的生命周期管理。

1.3.4 用户身份信息的维护该系统支持用户身份信息的维护，包括密码修改、账号解锁等操作。

统一身份认证设计方案日期：2016年2月1.3集中用户管理..............1.3.1管理服务对象1.3.2用户身份信息设计1.3.2.1用户类型1.3.2.2身份信息模型1.3.2.3身份信息的存储1.3.3用户生命周期管理1.3.4用户身份信息的维护1.4集中证书管理1.4.1集中证书管理功能特点1.5集中授权管理1.5.1集中授权应用背景1.5.2集中授权管理对象1.5.3集中授权的工作原理1.5.4集中授权模式1.5.5细粒度授权1.5.6角色的继承1.6集中认证管理1.6.1集中认证管理特点1.6.2身份认证方式1.6.2.1用户名/口令认证1.6.2.2数字证书认证1.6.2.3 Windows 域认证1.6.2.4通行码认证1.6.2.5认证方式与安全等级1.6.3身份认证相关协议1.6.3.1 SSL 协议1.6.3.2 Windows 域1.6.3.3 SAML 协议1.6.4集中认证系统主要功能9101111111212131414 1616171819192021222223232424242525252628291.1.1总体设计思想5 1.1.2平台总体介绍6 1.1.3平台总体逻辑结构7 1.1.4平台总体部署8 1.1系统总体设计 (5)1.2平台功能说明 (8)165.2单点登录实现流程31 1.7集中审计管理 (35)1.1系统总体设计为了加强对业务系统和办公系统的安全管控，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。

1.1.1总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案：在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。

统一身份认证设计方案日期:2016年2月目录1。

1 系统总体设计 (4)1。

1.1 总体设计思想41.1.2 平台总体介绍51。

1.3 平台总体逻辑结构6 1。

1.4 平台总体部署6 1。

2 平台功能说明 (6)1.3 集中用户管理 (6)1.3.1 管理服务对象71。

3。

2 用户身份信息设计81.3.2。

1 用户类型81.3。

2。

2 身份信息模型81。

3。

2。

3 身份信息的存储91.3.3 用户生命周期管理91.3。

4 用户身份信息的维护9 1.4 集中证书管理 (10)1。

4。

1 集中证书管理功能特点10 1。

5 集中授权管理 (12)1。

5.1 集中授权应用背景12 1。

5.2 集中授权管理对象13 1。

5.3 集中授权的工作原理151.5.4 集中授权模式151。

5.5 细粒度授权16 1。

5.6 角色的继承16 1.6 集中认证管理 (18)1.6。

1 集中认证管理特点181。

6.2 身份认证方式191.6.2。

1 用户名/口令认证191.6。

2.2 数字证书认证201。

6.2。

3 Windows域认证20 1。

6。

2.4 通行码认证201.6.2。

5 认证方式与安全等级211.6。

3 身份认证相关协议211.6.3。

1 SSL协议211。

6.3.2 Windows 域22 1。

6.3.3 SAML协议231.6.4 集中认证系统主要功能241.6。

5 单点登录251.6。

5.1 单点登录技术251.6.5。

2 单点登录实现流程27 1.7 集中审计管理 (29)为了加强对业务系统和办公系统的安全管控,提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。

1.1.1 总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案：在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标.提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。

身份认证管理系统（IDM）设计1 系统运行平台1.1 体系架构系统平台的搭建采纳分层的架构模式，将系统在横向维度上切分成几个局部，每个局部负责相比照较单一的职责，然后通过上层对下层的依靠和调用组成一个完整的系统。

通过统一用户身份认证治理系统平台的定义，为其他子系统供应统一的用户治理、机构治理、身份认证、权限治理、用户工作平台等功能，其他子系统将没有私有的用户群、权限治理等。

系统供应的功能包括：用户治理、组织机构治理、单点登录、权限治理(用户权限、数据权限)、对外接口、数据备份、用户工作平台等。

2 系统建立目标通过本系统的建立，主要到达以下的目标：系统供应统一的用户治理、组织机构治理、身份认证、权限治理及用户工作台功能;统一的用户系统进展统一帐号创立、修改和删除，这使快速推出新的业务成为可能。

公司将拥有一个供应用户全面集中治理的治理层，而不为每个新的应用程序或效劳建立分布的用户治理层。

公司各应用的用户通过一个全局唯一的用户标识及存储于效劳器中的静态口令或其他方式，到认证效劳器进展验证，如验证通过即可登录到公司信息门户中访问集成的各种应用;可以在系统中维护用户信息;能够依据其在公司的组织机构中的身份定制角色，依据角色安排不同的权限。

3 系统主要模块本系统主要包含以下 5 大功能模块。

①系统设置模块：供应用户治理和组织架构治理功能。

②安全域模块：供应安全域治理和安全策略治理功能。

③系统治理模块：供应资源类型定义、模块定义、角色治理、角色约束定义、用户权限治理、单次授权等功能。

④系统工具：供应特别用户查询、导入导出工具、用户工作台、用户个人信息修改、用户注册审批、职能托付等功能。

⑤系统日志模块：供应历史日志删除、当前登录用户、历史登录状况、用户操作日志等功能。

3.1 系统设置模块①用户治理：主要用来记录用户相关信息，如：用户名、密码等，权限等是被分别出去的。

供应用户的根本信息的生命周期治理，包括创立、修改、删除、冻结、激活等功能。

统一身份认证案例某公司首次推出统一身份认证系统，以下是一个可能的案例：背景：某公司拥有多个在线平台和应用程序，包括电子商务平台、社交媒体应用和在线银行等。

为了提供更加便捷和安全的用户体验，公司决定推出一个统一身份认证系统，允许用户在所有平台和应用上使用同一个账户登录。

实施步骤：1.开发：公司组织开发团队设计和开发统一身份认证系统。

系统需要支持用户注册、登录、密码找回、账户绑定等功能，同时提供良好的用户界面和易于集成的API接口。

2.测试：在开发完成后，团队对统一身份认证系统进行测试。

测试包括功能测试、性能测试和安全测试，以确保系统能够正常运行和满足业务需求。

3.上线：经过测试后，公司将统一身份认证系统上线。

系统可以通过公司的官方网站或移动应用程序进行访问。

用户可以通过注册一个新账户或通过已有的社交媒体账户进行登录。

4.用户注册：用户在访问任何需要登录的平台或应用时，需要先进行账户注册。

注册过程中，用户需要提供基本的个人信息和一个唯一的用户名和密码。

5.登录：注册完成后，用户可以使用他们的用户名和密码登录任何平台或应用。

用户的登录信息将通过统一身份认证系统进行验证，以确保身份的准确性和安全性。

6.密码找回：如果用户忘记了密码，他们可以通过提供注册时使用的邮箱或手机号码，通过统一身份认证系统进行密码找回。

7.账户绑定：对于已经存在的用户，他们可以将其他平台或应用的账户绑定到他们的统一身份认证账户上。

这样，他们就可以使用同一个账户登录不同的平台和应用。

效果：推出统一身份认证系统后，用户可以更加方便地访问和使用公司的不同平台和应用，无需多次输入用户名和密码。

而且，公司可以通过统一身份认证系统更好地管理用户账户和数据安全，减少账号被盗用等安全问题的发生。

lessoner@ 统一身份认证系统系统介绍统一用户管理系统基于Web Service技术，提供超大型用户统一管理、统一认证、异构系统与平台单点登录、统一安全控制与审计以及统一计费与支付功能的系统平台。

通过该系统，可以圆满解决政府信息孤岛问题、企业应用认证集成以及电信和互联网服务收费等问题，真正实现：一点认证、全网通行；一点管理，全网安全。

系统架构系统功能统一用户管理系统提供超大型用户统一集中管理，可管理千万级用户，系统支持多种用户帐号配置、用户字段自定义配置、用户分类分组、多种用户接口（AD， LDAP， Membership等）、用户权限安全等方面的管理。

统一认证服务系统提供集中统一的，支持PKI、用户名/密码、B/S和C/S等多种身份认证方式，并结合系统强大的加密与安全技术，实现高效、安全的认证服务。

统一授权管理系统结合资源管理对用户的访问提供统一授权服务（PMI），用户身份到应用授权的映射功能，实现权限和证书的产生、管理、存储、分发和撤销等功能，并可以大大提高管理者的效率，降低管理者的工作量。

统一资源管理系统提供各种应用系统和各种需要保护的功能资源的统一管理功能，有效的控制和管理资源，提供资源的认证、资源的维护、资源的产品和服务以及资源的积分、计费与结算的管理，通过该模块，可以建立分布式的全球认证服务体系。

统一计费结算系统特别提供统一的用户积分、网络虚拟货币、网上银行支付以及其他多种电信支付方式的管理，同时，系统还提供灵活的计费结算方式，支持按次计费、包时段计费、组合套餐计费等多种方式，圆满的解决了网上用户购买商品、服务以及虚拟商品的功能，并结合系统提供的灵活的结算管理系统，提供准确、安全的费用结算、统计和分析功能。

统一安全审计系统提供对于用户管理和认证的全面安全管理，包括：用户安全体系、用户信息加密、SSL加密安全、访问日志分析、数据备份/恢复、网络安全防护、用户信息审计和自动用户清洗等一系列功能，全面解决系统的事前、事中和事后的安全问题。

校园网统一身份认证系统设计摘要：由于在校园网络环境下需要建立多个信息系统，为学校领导、各部门及全校教师、学生提供多种服务，这样就带来了一个突出的问题，众多用户面对多个系统要重复输入帐号、口令等信息，不仅烦琐，更重要的是容易出现口令丢失，一旦口令泄漏不仅会造成不可估量的损失。

关键词：LDAP；数字化校园；身份认证一建设目标数字化校园校内应用环境复杂，将面临不同的网络环境、硬件平台、操作系统、软件结构、开发语言、运行模式，统一身份认证系统必须能够开放的支持应用集成服务，所有安全服务，除了加密、解密服务以外，其它安全服务必须对应用开发人员透明。

建立统一的身份认证中心，集中进行身份认证，提高数字化校园应用系统的安全性。

平台设计满足以下要求：1）支持两种类型客户端的认证，Web浏览器和胖客户端应用程序；2）支持基于HTTP协议基本认证方式的用户名/密码（来源于多种用户存储方式）验证，为了能够保护使用HTTP协议传送密码，必须能够使用传输层安全技术（比如HTTPS），或者使网络层安全技术（比如IPSEC或者VPN等）来对密码提供保护；3）支持基于HTTPS协议的用户CA证书验证；4）支持主流Web服务器，包括系统：Apache、Microsoft IIS等；5）提供便捷的用户、用户组、角色管理功能模块，支持统一的权限管理。

二LDAP目录服务和统一身份认证系统LDAP最大的优势是：它是跨平台的和标准的协议，它可以应用在任何计算机平台上，很容易获得，而且它也很容易定制应用程序为它加上LDAP的支持。

其次，它有优秀的检索性能，LDAP在处理大量用户并发检索访问问题上优势明显，具有比关系数据库系统更快的响应速度。

第三，它有完善的安全机制，LDAP通过访问控制列表ACL设置对目录数据的读和写的权限，通过支持基于SSL（Secure Socket Layer）的安全机制完成对明文加密，能提供更安全的保障。

由于LDAP卓越的检索性能和跨平台支持的特性正符合统一认证系统中大量用户口令的存储和管理的要求，因此，在统一认证系统的设计中，目录服务数据库是整个统一认证系统的基础。

基础支撑平台第一章统一身份认证平台一、概述建设方案单点登录系统采用基于规范的单点登录系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。

为平台用户以下主要功能：为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。

用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。

提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。

系统遵循自由联盟规范的标准和规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。

单点登录场景如下图所示：一次登录认证、自由访问授权范围内的服务单点登录的应用，减轻了用户记住各种账号和密码的负担。

通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。

同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。

二、系统技术规范单点登录平台是基于国际联盟规范（简称“”）的联盟化单点登录统一认证平台。

规范是国际170多家政府结构、公司、大学组成的国际联盟组织针对单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。

通过使用统一而又公开的规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。

规范的联盟化单点登录（）系统有以下特点：(1). 可以将现有的多种应用系统联盟起来，同时保障系统的独立性，提供单点登录服务；(2). 联盟的应用系统无需大量改造，不需要用户信息大集中，不影响系统原有业务逻辑与性能；(3). 以用户为中心，保护用户信息安全和隐私；(4). 支持多种、多等级的、安全的用户登录认证方式等。