下载文档原格式
统一用户身份认证管理平台什么是统一用户身份认证管理平台统一用户身份认证管理平台是一种基于现代化的技术手段来实现用户身份认证的统一平台。
它能够将各种身份认证方式整合在一起,让用户可以使用同一个账号密码来登录所有的系统和服务。
它可以有效地增强用户信息的安全性和可控性,降低用户登录的管理难度,促进各种系统之间的协同工作。
统一用户身份认证管理平台的意义管理企业和机构中各种不同的系统和应用,往往需要各自单独的账号及密码。
这种繁琐复杂的用户身份验证方式,往往使许多系统的使用者感到困扰。
此外,各种网站的账号密码通常是相同的,如果遇到系统的安全漏洞,所有账号密码都将面临被泄露的风险。
此时,统一用户身份认证管理平台可以将各系统的账号管理统一起来,大大方便了用户的登录,同时也提高了用户信息安全性。
统一用户身份认证管理平台的工作原理统一用户身份认证管理平台的工作原理可以分为两个部分:身份认证和授权。
身份认证是指通过验证用户输入的账号和密码等信息,确定用户的身份是否合法。
授权是指根据认证结果,决定用户是否具有使用系统资源的权限。
具体实现时,统一用户身份认证管理平台一般采用一种密钥管理方式,将用户的认证信息和授权信息加密后进行管理,并在需要校验用户身份的时候进行解密校验。
统一用户身份认证管理平台的应用统一用户身份认证管理平台的应用非常广泛,几乎所有需要用户身份管理的应用都可以使用此类平台。
以下是一些常见的应用场景。
企业内部应用企业内部应用指的是企业内部各个部门使用的各类管理软件,如财务管理、人事管理、客户关系管理、企业资源规划等软件。
这些软件常常需要许多不同的用户登录,以使用不同的功能,采用统一用户身份认证管理平台可以将这些不同的用户信息进行整合,让用户通过一个登录页面就能访问这些不同的应用。
互联网应用互联网应用是指向公众开放的各种网站和网络服务。
由于这些网站面向公众,必须考虑到用户账号密码的安全性。
采用统一用户身份认证管理平台可以降低用户因使用相同账号密码而造成的风险,也可以让用户在几乎所有网站中使用同一个账号密码,从而方便管理。
数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................................................................................... - 1 -1.1 产品简介................................................................................................................... - 1 -1.2 应用范围................................................................................................................... - 1 -2 产品功能结构....................................................................................................................... - 2 -3 产品功能............................................................................................................................... - 2 -3.1 认证服务................................................................................................................... - 2 -3.1.1 用户集中管理............................................................................................... - 2 -3.1.2 认证服务....................................................................................................... - 3 -3.2 授权服务................................................................................................................... - 3 -3.2.1 基于角色的权限控制................................................................................... - 3 -3.2.2 授权服务....................................................................................................... - 4 -3.3 授权、认证接口....................................................................................................... - 4 -3.4 审计服务................................................................................................................... - 4 -3.5 信息发布服务........................................................................................................... - 5 -3.6 集成服务................................................................................................................... - 5 -3.6.1 应用系统管理............................................................................................... - 5 -3.6.2 应用系统功能管理....................................................................................... - 6 -3.6.3 应用系统操作管理....................................................................................... - 6 -1产品概述1.1产品简介随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:➢用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。
统一身份认证平台功能描述文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-数字校园系列软件产品统一身份认证平台功能白皮书目录1产品概述1.1产品简介随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。
各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工作重复,增加学校管理工作成本。
新开发的系统不可避免的需要用户和权限管理,每一个新开发的系统都需要针对用户和权限进行新开发,既增加了学校开发投入成本,又增加了日常维护工作量针对学生、教职工应用的各种系统,不能有效的统一管理用户信息,导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账号,为学校日后的工作带来隐患。
缺乏统一的审计管理,出现问题,难以及时发现问题原因。
缺乏统一的授权管理,出现权限控制不严,造成信息泄露。
统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围2产品功能结构统一身份认证平台功能结构图3产品功能3.1认证服务3.1.1用户集中管理统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。
通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。
为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。
用户管理3.1.2认证服务认证服务是统一身份认证平台的核心服务,通过认证服务,可以实现如下功能:为用户提供单点登录功能,实现“一次登录、处处登录”。
基础支撑层统一身份认证(SSO)统一身份认证解决用户在不同的应用之间需要多次登录的问题。
目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。
统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。
1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。
2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。
3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。
4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。
单点登录认证的流程如下图所示:单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。
统一身份认证系统架构如下图所示。
统一系统授权统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。
用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。
统一系统授权支撑平台的授权模型如下图所示。
在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求块统一系统授权支撑平台的系统结构如下图所示统一系统审计统一系统审计平台通过实时监控网络活动, 分析用户和系统的行为、审计系统、评估敏感系统和数据的完整性、对异常行为进行统计、跟踪识别违反安全法则的行为,使系统管理员可以有效地监控、评估系统。
数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................. - 1 -1.1 产品简介....................................................... - 1 -1.2 应用范围....................................................... - 2 -2 产品功能结构......................................................... - 2 -3 产品功能............................................................. - 3 -3.1 认证服务....................................................... - 3 -3.1.1 用户集中管理............................................. - 3 -3.1.2 认证服务................................................. - 3 -3.2 授权服务....................................................... - 4 -3.2.1 基于角色的权限控制....................................... - 4 -3.2.2 授权服务................................................. - 4 -3.3 授权、认证接口................................................. - 4 -3.4 审计服务....................................................... - 5 -3.5 信息发布服务................................................... - 5 -3.6 集成服务....................................................... - 6 -3.6.1 应用系统管理............................................. - 6 - 3.6.2 应用系统功能管理......................................... - 6 - 3.6.3 应用系统操作管理......................................... - 7 -1产品概述1.1产品简介随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:➢用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。
Single sign-on Authentication审计(Aud i t )通过构建完整可信的用户资源信息库,整合现有应用系统的用户库,集中实现用户信息、凭证和组织机构的统一管理 具体包括: 包括统一的数字身份管理 组织架构的全局视图俯瞰 账户生命周期管理 基于角色的管理员账户管理2、统一身份认证管理为系统内各类用户提供身份信息注册、凭证发布、用户资料管理、销毁和登录认证功能。
系统可同时支持口令方式、数 字证书、动态口令认证、指纹认证、人像等多种身份认证模式。
3、统一授权管理采用基于角色和基于业务权限的授权模型,在统一平台上实现各个应用系统的 调用权限”细粒度的资源权限控制,解决 用户能访问哪些系统”的问题。
4、 单点登录采用基于数字签名的安全票据技术,实现方便、快捷、安全的单点登录。
5、 信息共享与同步建立统一的权威机构数据、用户数据、用户授权数据等资源库并作为所有应用系统的数据源,通过数据同步接口,实现 多个应用系统间的用户信息资源共享。
统一认证管理系统UAMS随着信息化的不断发展,政府、企业等单位逐步建立了众多信息系统,并随着业务不断拓展还需要建设类似系统。
用户 要在不同的独立系统上完成业务工作, IT 管理员也需要分别管理独立的应用系统和分散的资源,定制不同的用户信息和安全 策略,带来极大的管理压力。
北京 CA 的统一认证管理系统(UAMS, Unified-Authentication-Management-System) 以 PKI/CA 为基础,通过统一用户 管理、统一认证方式、单点登录,多点漫游、共享的信息服务及安全审计,有效解决多应用系统运行所带来的使用不便、维 护困难问题,降低安全隐患,提高各系统的管理效率。
UAMS 产品功能 BJCA 统一认证管理系统由 用户管理、 认证管理、 授权管理、和单点登录模块组成:用户管理AccountAuthorizationUAMS F单点汗录认证管理1、统一用户管理应用级访问控制权限”粗粒度和系统功能6、安全审计管理提供完善的安全审计和管理功能。
