下载文档原格式
统一身份认证系统技术方案各位小伙伴!今天咱来唠唠这个统一身份认证系统的技术方案,这玩意儿在如今的数字化世界里,那可就像是一把万能钥匙,能帮咱们解决不少麻烦事儿呢!一、为啥需要统一身份认证系统?想象一下啊,你在网上冲浪,访问各种不同的网站和应用程序。
每个地方都得注册一个账号,记一堆用户名和密码,这多烦人啊!有时候密码设得太复杂,自己都记不住;设得太简单,又怕被人破解。
而且,万一不小心把密码弄丢了,找回密码的过程那也是相当折腾。
有了统一身份认证系统,就好比你有了一个“数字身份证”,不管走到哪儿,只要拿出这个“身份证”,就能轻松证明自己的身份,不用再到处注册、登录啦!二、技术架构。
(一)认证服务器。
这就像是一个“门卫”,负责验证用户的身份。
当用户想要登录某个系统时,系统会把用户的登录信息发送给认证服务器。
认证服务器会检查用户名和密码是否匹配,还可能会通过短信验证码、指纹识别等多种方式来确认用户的身份。
只有通过了认证服务器的检查,用户才能顺利进入系统。
(二)用户数据库。
这里面存储着所有用户的信息,就像是一个“信息仓库”。
用户的用户名、密码、个人资料等都放在这里。
为了保证数据的安全,这个数据库得有很强的加密措施,防止用户信息被泄露。
(三)应用接口。
这是统一身份认证系统和各个应用程序之间的“桥梁”。
通过应用接口,认证系统可以把用户的身份信息传递给应用程序,让应用程序知道这个用户是谁,有没有权限访问相关的资源。
三、认证方式。
(一)用户名和密码。
这是最常见的认证方式啦,大家都很熟悉。
为了提高安全性,密码最好设置得复杂一点,包含字母、数字和特殊字符。
(二)多因素认证。
除了用户名和密码,还可以加上其他的认证因素,比如短信验证码、指纹识别、人脸识别等。
这样即使密码被泄露了,别人也很难冒充你的身份。
(三)单点登录。
这可是个很方便的功能哦!有了单点登录,用户只需要登录一次,就能访问多个关联的系统和应用程序。
就好比你拿着一张门票,就能进入多个场馆一样,不用每次都重新买票。
统一用户认证平台设计方案
统一用户认证平台设计背景及设计思路:
目前县区教育信息平台安装配备诸多的平台软件~用户在各种产品使用过程中需要在不同的平台软件分别注册用户和分别登录~给用户的产品使用带来了很大的不便~以至于影响平台软件的使用率,现据此情况建立统一的用户管理平台~用户使用所有接入平台的产品时~均可通过统一用户认证平台认证后直接使用~不需要分别进行认证。
此举既方便用户使用提供平台使用率~更有助于电教站等主管部门对用户进行统一管理。
统一用户认证平台部分:
1、用户注册系统
A、提供用户统一注册~注册后的用户可以根据权限使用平台注册
的产品。
B、根据产品用户动态的补齐基础信息。
2、用户认证系统
A、提供用户身份认证服务。
B、提供用户基础信息修改服务。
3、产品认证系统
A、通过标准协议~为接入认证平台的产品提供用户信息服务。
B、为接入统一用户认证平台的产品提供必须的基础数据。
4、用户管理系统
A、管理统一用户认证平台下的所有用户~包括用户的审核、删除
等。
B、为统一用户认证平台下的用户分配注册产品使用权限。
5、产品管理系统
A、对接入统一用户认证平台的产品进行管理。
接入产品部分:
1、关闭用户注册功能~使用统一用户认证平台用户注册服务。
2、关闭用户信息修改功能~使用统一用户认证平台用户用户基础
信息修改。
3、增加用户认证接口~与统一用户认证平台认证接口挂接~实现
用户认证。
附注:
1、接入产品与统一平台认证接口挂接部分见统一认证平台接口文档。
2、统一认证平台用户认证流程图。
统一身份认证设计方案统一身份认证是指一种能够让用户在不同的应用程序中使用同一组凭证进行身份验证的解决方案。
通过统一身份认证,用户只需要一次登录即可访问多个应用程序,避免了反复登录的繁琐过程,并提高了用户的使用体验。
以下是一种统一身份认证的设计方案。
1.用户注册与认证用户首次使用统一身份认证系统时,需要进行注册与认证。
用户需要提供基本信息,并选择一个唯一的用户名和密码用于后续身份验证。
为了保障用户隐私和数据安全,必须对用户的密码进行加密存储,并采用合适的加密算法和安全策略。
2.应用程序集成应用程序需要集成统一身份认证系统的接口,以便进行身份验证。
集成时,应用程序需要向统一身份认证系统注册,并获取一个应用程序标识符和相应的密钥用于身份认证请求的签名。
这样,统一身份认证系统可以验证请求的合法性,并确保只有经过授权的应用程序才能使用统一身份认证系统进行身份验证。
3.用户登录流程当用户在一个应用程序中进行登录时,应用程序将用户重定向到统一身份认证系统的登录页面。
用户在登录页面输入用户名和密码进行身份验证。
统一身份认证系统验证用户的凭证,如果凭证正确,则生成一个用户认证票据,并将票据返回给应用程序。
应用程序可以通过票据确认用户的身份,并进行相应的授权。
4.用户认证状态维护为了提高用户的使用体验,统一身份认证系统需要维护用户的认证状态。
一旦用户完成了一次身份验证,统一身份认证系统就会生成一个用户认证状态令牌,并将令牌与用户的身份信息进行关联。
用户在访问其他应用程序时,可以通过认证状态令牌实现免登录访问,减少了登录的繁琐操作。
5.单点登录统一身份认证系统支持单点登录功能,用户只需要在一个应用程序中进行一次登录即可访问其他已集成的应用程序。
在用户完成第一次登录后,统一身份认证系统会为用户生成一个单点登录令牌,并将令牌返回给应用程序。
在用户访问其他应用程序时,应用程序可以通过单点登录令牌向统一身份认证系统进行验证,从而实现自动登录。
统一身份认证系统技术方案统一身份认证系统(Unified Identity Authentication System,以下简称UIAS)是指通过一种集中式的数字认证服务,对各种不同的信息系统进行认证,从而实现用户只需要一个账号即可访问多个系统的服务。
本文将就UIAS技术方案展开分析。
一、架构设计1.UIAS系统架构UIAS系统由三个主要部分组成:认证中心、应用系统和用户设备。
UIAS系统构建基于统一身份认证标准CAS(Central Authentication Service)的思想,它是一种单点登录(Single Sign-On,以下简称SSO)的认证机制,用户只需要一次登录,即可在SSO认证管辖下的所有系统中进行访问。
2.UIAS系统流程设计UIAS系统工作流程大致分为如下步骤:步骤1:用户在访问系统时,会被重定向到UIAS认证中心页面;步骤2:用户在认证中心页面输入用户名和密码进行登录,UIAS认证中心验证用户身份信息;步骤3:UIAS认证中心生成票据给应用系统;步骤4:应用系统收到票据后,申请认证中心对其进行票据验证;步骤5:认证中心验证通过后,告知应用系统用户身份已经验证通过,应用系统根据票据提供服务。
二、实现技术1.标准协议UIAS系统依赖如下标准协议:(1)http协议:基于web服务进行通信;(2)xml协议:数据交换格式的统一标准;(3)SSL协议:建立安全通信链接。
2.用户认证机制(1)账号管理:用户在UIAS框架中,只需注册一次信息即可;(2)密钥加密:用户可在相关认证设备上生成自己的密钥,对数据进行加密,确保信息安全;(3)token方式验证:SSO认证机制使得用户采用token状态进行通信,提高系统安全性和效率。
3.用户身份验证技术(1)用户名和密码认证:基础的认证方式,用户输入用户名和密码即可进行访问;(2)多因素验证:此方式需要用户在输入用户名和密码的基础上,增加验证码、指纹、人脸等多种因素认证方式。
完整版)统一身份认证设计方案(最终版)统一身份认证设计方案日期:2016年2月目录1.1 系统总体设计1.1.1 总体设计思想本系统的总体设计思想是实现用户统一身份认证和授权管理,提供安全可靠的身份认证服务。
同时,该系统还要考虑到用户的便捷性和易用性。
1.1.2 平台总体介绍该平台是一个基于Web的身份认证和授权管理系统,采用B/S架构。
系统主要包括用户管理、证书管理、授权管理和认证管理四个模块。
1.1.3 平台总体逻辑结构该平台的总体逻辑结构分为客户端和服务器端两部分。
客户端包括浏览器和客户端应用程序,服务器端包括Web服务器、应用服务器和数据库服务器。
1.1.4 平台总体部署该平台可以在局域网内或互联网上进行部署。
部署时需要考虑服务器的性能和安全性。
1.2 平台功能说明该平台的主要功能包括用户管理、证书管理、授权管理和认证管理。
用户管理模块实现用户信息的录入、修改和删除等功能;证书管理模块实现数字证书的管理;授权管理模块实现对用户权限的管理和控制;认证管理模块实现用户身份认证功能。
1.3 集中用户管理1.3.1 管理服务对象该模块主要管理系统中的用户信息,包括用户的基本信息、身份信息和权限信息等。
1.3.2 用户身份信息设计1.3.2.1 用户类型系统中的用户分为内部用户和外部用户两种类型。
内部用户是指公司内部员工,外部用户是指公司的客户、供应商等。
1.3.2.2 身份信息模型身份信息模型包括用户的身份属性和身份认证方式。
用户的身份属性包括用户名、密码、证书等;身份认证方式包括口令认证、数字证书认证、Windows域认证和通行码认证等。
1.3.2.3 身份信息的存储用户的身份信息存储在数据库中,采用加密方式进行存储,保证用户信息的安全性。
1.3.3 用户生命周期管理用户生命周期管理主要包括用户注册、审核、激活和注销等过程。
在用户注销后,该用户的身份信息将被删除。
1.3.4 用户身份信息的维护用户身份信息的维护包括用户信息的修改、删除和查询等操作。
基础支撑层统一身份认证(SSO)统一身份认证解决用户在不同的应用之间需要多次登录的问题。
目前主要有两种方法,一种是建立在PKI,Kerbose和用户名/口令存储的基础上;一种是建立在cookie的基础上。
统一身份认证平台主要包括三大部分:统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库,具体方案如下图。
1、采用认证代理,加载到原有系统上,屏蔽或者绕过原有系统的认证。
2、认证代理对用户的认证在公共数据平台的认证服务器上进行,认证代理可以在认证服务器上取得用户的登录信息、权限信息等。
3、同时提供一个频道链接,用户登录后也可以直接访问系统,不需要二次认证。
4、对于认证代理无法提供的数据信息,可以通过访问Web Service接口来获得权限和数据信息。
单点登录认证的流程如下图所示:单点登录只解决用户登录和用户能否有进入某个应用的权限问题,而在每个业务系统的权限则由各自的业务系统进行控制,也就是二次鉴权的思想,这种方式减少了系统的复杂性。
统一身份认证系统架构如下图所示。
统一系统授权统一系统授权支撑平台环境中,应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册,将各应用系统的授权部分或全部地委托给支撑平台,从而实现统一权限管理,以及权限信息的共享,其注册原理如下图。
用户对各应用系统的访问权限存放在统一的权限信息库中。
用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一系统授权支撑平台返回的结果进行相应的处理,其原理如下图。
统一系统授权支撑平台的授权模型如下图所示。
在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性和可管理性的需求块统一系统授权支撑平台的系统结构如下图所示统一系统审计统一系统审计平台通过实时监控网络活动, 分析用户和系统的行为、审计系统、评估敏感系统和数据的完整性、对异常行为进行统计、跟踪识别违反安全法则的行为,使系统管理员可以有效地监控、评估系统。
统一身份认证系统的设计与实现随着互联网的快速发展和普及应用,人们对于网上服务的需求也越来越高。
无论是网上购物、在线银行还是社交媒体,这些服务都要求用户进行身份认证,以确保用户信息的安全性和服务的可信度。
为了解决这个问题,统一身份认证系统应运而生。
统一身份认证系统是一种集中管理和授权用户身份的系统,其核心目标是实现用户在多个应用中使用同一个身份标识进行认证和授权。
这样用户只需要一次认证,便可获得对多个应用的访问权限,提高了用户的便利性和服务的效率。
设计和实现一个好的统一身份认证系统涉及到多个方面的考虑和技术的应用。
下面将从以下几个方面介绍。
首先,安全性是统一身份认证系统设计的重中之重。
用户信息的安全性是用户选择使用该系统的最基本的保障。
设计者需要使用最先进的加密算法和安全协议来保护用户的个人信息,以防止用户信息被盗用或泄露。
其次,系统的可扩展性也是一个重要的考虑因素。
随着用户数量和业务规模的增长,系统需要能够处理大规模的身份认证请求。
可扩展性的设计可以包括将系统划分为多个分布式节点,采用负载均衡和故障恢复机制来提高系统的稳定性和可用性。
另外,用户体验也是统一身份认证系统设计的关键。
用户在登录和认证过程中,如果体验不好,可能会降低用户使用该系统的积极性。
因此,设计者需要考虑简化认证流程、增加多种认证方式和提供忘记密码等用户友好的功能。
除了以上方面,统一身份认证系统还需要和其他系统进行无缝集成。
这意味着系统需要支持各种不同的协议和接口,以实现与不同应用系统之间的数据交互和认证授权的传递。
例如,系统可以支持OAuth和SAML等标准协议,以适应不同应用的要求。
对于统一身份认证系统的实施,需要一定的技术支持。
开发团队应具备丰富的安全和身份认证技术的知识,熟悉常用的身份认证协议和加密算法。
同时,合理的项目管理和团队协作也是保证项目能够按时交付和高质量实现的重要因素。
总结起来,统一身份认证系统的设计与实现是一个复杂而又关键的任务。
统一认证与管理平台建设方案统一认证与管理平台(Unified Authentication and Management Platform,UAMP)是一种提供统一认证和统一管理服务的解决方案。
它通过集成用户身份认证、权限管理、访问控制、日志审计等功能,实现了企业内部各种应用和系统的统一用户管理和授权管理。
本文将介绍统一认证与管理平台建设的方案。
一、需求分析在企业内部,存在着许多不同的应用和系统,这些应用和系统可能来自不同的厂商、不同的部门,各自独立进行用户认证和权限控制。
这样的情况下,会导致很多问题,如用户需要记住多个不同的登录账号和密码,增加了用户的负担;权限管理分散,不易监控和管理;用户权限在不同系统间不同步,造成安全隐患等。
因此,建设统一认证与管理平台成为必要。
二、平台架构1.前端部分:包括用户访问界面和认证代理服务,用户通过统一的访问界面进行登录和访问权限申请,认证代理服务负责转发验证请求到后端。
2.后端部分:包括认证服务、权限管理服务、访问控制服务和日志审计服务等模块。
三、功能设计1.用户认证:统一认证与管理平台支持多种身份认证方式,如用户名密码、证书、双因素认证等。
用户只需提供一次认证,即可访问所有接入的应用和系统。
2.权限管理:平台提供了灵活的权限管理机制,支持基于角色的访问控制和访问策略的定义。
管理员可以定义角色,给角色赋予相应的权限,然后将用户分配到角色上。
3.访问控制:平台提供了细粒度的访问控制功能,可以精确控制用户对各个资源的访问权限,如文件、数据库、应用等。
4.日志审计:平台对用户的操作进行记录和审计,以便对安全事件进行溯源和追踪。
管理员可以查看用户的操作日志,及时发现并处理异常行为。
5.集成接口:平台提供了标准的接口,方便与各个应用和系统进行集成。
接入应用和系统只需根据接口规范进行相应的开发和配置即可。
四、实施步骤1.需求调研:与各业务部门进行沟通,了解各个应用和系统的用户认证和权限管理需求,明确建设目标和范围。
统一身份认证及统一登录系统建设方案1. 引言本文档旨在提出一种关于统一身份认证及统一登录系统建设方案的解决方案。
该方案旨在简化用户身份验证和登录过程,并提供统一的用户体验。
2. 目标该系统的主要目标如下:1. 提供一个统一的身份认证系统,使用户能够以相同的身份凭证登录各个应用程序。
2. 简化用户的登录流程,减少用户需要记住多个不同的用户名和密码的负担。
3. 增强系统的安全性,减少身份信息泄露的风险。
3. 方案概述该方案将基于单一的身份认证中心实现统一的身份认证和登录功能。
具体步骤如下:3.1 用户注册与身份验证用户首次访问系统时,需要进行注册并验证身份信息,以获得一个唯一的身份凭证。
用户可以通过填写个人信息、验证手机或邮箱等方式完成注册和身份验证。
3.2 身份凭证管理身份凭证将由身份认证中心统一管理。
用户在注册成功后,将获得一个唯一的身份凭证,用于登录各个应用程序。
3.3 统一登录界面各个应用程序将使用统一的登录界面,用户只需输入一次身份凭证,即可登录多个应用程序。
3.4 跨应用程序访问登录成功后,用户可以通过身份凭证跨应用程序访问其他已接入该统一身份认证系统的应用程序,无需重新登录。
3.5 安全性措施为保障系统的安全性,需要采取以下措施:- 使用安全加密算法对用户身份凭证进行加密存储,并采取防止恶意攻击的措施。
- 强制用户定期更改密码,增加密码复杂性要求。
- 增加用户登录失败次数限制及验证码等安全措施,防止暴力破解等攻击。
4. 实施计划为实施该统一身份认证及统一登录系统,需要按照以下步骤进行:1. 定义系统需求和功能规格。
2. 开发身份认证中心,并与各个应用程序进行集成。
3. 设计和开发统一登录界面,提供给各个应用程序使用。
4. 进行系统测试和安全审计,确保系统正常运行和安全稳定。
5. 发布系统并提供必要的培训和技术支持。
5. 总结通过实施统一身份认证及统一登录系统方案,可以提高用户体验、简化用户登录流程,并增强系统的安全性。
基础支撑平台第一章统一身份认证平台一、概述建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。
为平台用户以下主要功能:为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。
用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。
提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。
系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。
单点登录场景如下图所示:一次登录认证、自由访问授权范围内的服务单点登录的应用,减轻了用户记住各种账号和密码的负担。
通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。
同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。
二、系统技术规范单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。
Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。
通过使用统一而又公开的Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。
Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点:(1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点登录服务;(2). 联盟的应用系统无需大量改造,不需要用户信息大集中,不影响系统原有业务逻辑与性能;(3). 以用户为中心,保护用户信息安全和隐私;(4). 支持多种、多等级的、安全的用户登录认证方式等。
支持的认证技术联盟化单点登录原理与场景图示:同域单点登录跨域单点登录三、单点登录系统功能1. 单点登录(1).支持单点登录、单点登出(2).支持平台安全域下用户的“一点认证,全网通行”和“一点登出,整体退出”。
(3).支持多个IDP/SP间的联合互信(4).支持符合Liberty Alliance的SP或IDP间的联合互信, 可根据SP的信任程度决定是否联盟。
(5).支持联盟信息的管理(6).支持IDP联盟信息的管理或配置功能。
(7).不影响正常的业务逻辑与性能。
2. 支持Liberty ID-FF v1.2规范(1). 系统提供一个完整的联合互信平台以支持最新的Liberty Alliance联合互信标准Liberty ID-FF 1.2规范;(2). 支持Liberty规范中的所有功能,包括单点登录、整体退出、账号联盟和解盟、注册名重新注册(Account Linking)、联合互信等功能;(3). 系统本身提供了一个完整的Liberty Alliance联合互信平台,以部署在各个需要通过联合互信标准集成的SP方,以加快IDP和各SP的集成;(4). 提供扩展的站点转送功能,为客户提供更符合实际应用的功能;(5). 一个IDP服务器可以同时支持一个或多个SP服务器;(6). 一个SP服务器可以同时支持一个或多个IDP服务器;(7). 系统提供标准的Java的认证、单点登录和Liberty Alliance联合互信的SDK以支持方便和灵活的应用集成;3. 支持多种、多级别认证方式(1). 支持多种认证方式,已经支持的就包括LDAP认证、JDBC认证、SecurID认证等;(2). 系统具有标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证;(3). 支持分布式认证的部署方式:即将认证界面部署在任何一个Web应用服务器上,而实现多种认证支持的统一认证服务器部署在内网中,以保证认证的安全性和扩展性;(4). 系统本身支持session的互信机制;(5). 系统支持多级别认证方式:用户名/密码认证、数字证书认证、动态口令认证,等等。
通过适配器的扩展,可以支持更多的认证方式;(6). 支持多种应用场景的认证请求(7). 门户认证:支持接收自服务门户的认证(个人用户门户、SP门户、运营商门户)请求;(8). 支付认证:支持支付流程中需要用到的支付安全认证请求;(9). 业务认证:支持业务流程中需要用到的用户身份认证请求;(10). 单点登录认证:支持单点登录的认证请求;(11). 支持认证方式的生命周期管理;(12). 支持认证方式的注册、修改、删除;(13). 支持认证方式状态的变更(开通、暂停、恢复、注销);(14). 支持认证方式相关参数的配置;(15). 支持认证等级的配置。
4. 认证的安全控制主要保障身份认证的安全,基本要求如下:(1).平台用户身份认证安全控制凡是输入用户名/密码的页面均由平台提供;凡是输入用户名/密码的地方均采用HTTPS的方式进行通信;(2).第三方系统用户身份认证安全控制对于第三方系统身份识别主要依赖于第三方系统,身份识别流程应综合考虑用户体验和流程安全性,所有传送过程中都对信息进行加密操作。
(3).其它认证安全手段控制服务器与服务器之间都采用数字证书认证,保障通讯双方的安全性,防止盗链等现象的发生。
5. 兼顾灵活性和通用性(1). 单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器,不需要依赖其它的应用服务器;(2). 集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括:Apache,Microsoft IIS,Sun/Netscape Web Server;Tomcat,BEA WebLogic, IBMWebSphere, Sun Java System Application Server;等等。
(3). 单点登录支持保护型单点登录方式(即将应用通过Agent保护起来的安全方式),也支持代理单点登录方式;(4). 支持同域或跨域的联合互信、单点登录。
6. 在一台机器上运行多个服务器(1). 在一个单点登录服务器上同时运行IDP和SP服务器;(2). 在一个单点登录服务器上同时运行多个SP服务器;(3). 在一个单点登录服务器上,就可以建立起一个完整的信任圈和联盟化商业网络;(4). 在学校内部运行一个单点登录服务器,可以支持所有的Web应用系统的单点登录;(5). 电信或ASP只需一个单点登录,就可以为所有的SP提供基于Liberty的Web单点登录功能;(6). 强大的管理功能,可以独立管理单点登录中的每个服务器实例,包括IDP服务器和所有的SP服务器;7. 灵活的Web管理界面(1). 同一个管理界面,管理所有的IDP和SP服务器;(2). 管理界面根据服务器的角色(IDP、SP、或者同时是IDP和SP)而自动调整管理功能;(3). 统一管理所有合作伙伴的联盟信息;(4). 提供快速建立合作和联盟关系的功能;(5). 管理一个或多个数据源,包括关系数据库和LDAP目录的数据源,同时提供数据源连接测试的功能,以保证配置无误;(6). 可以为每个服务器独立配置数据源;(7). 改动服务器配置而不需要重新启动服务器,为客户提供24x7的可用时间;8. 全方位的证书管理功能(1). 提供全方位的证书和密钥管理功能,包括签名密钥和证书、SSL服务器证书、SSL客户端密钥和证书等;(2). 生成新的公钥和私钥对,支持标准的算法(RSA和DSA),支持不同长度的密钥,包括1024位、2048位、4096位等;(3). 生成自己签发的证书,支持X.509 v3的证书格式;(4). 生成和导出证书请求信息;(5). 最容易使用的证书导出和导入的功能,包括导入从证书机构接到的、和从合作伙伴接到的证书。
9. 易用的元数据交换功能(1). 提供快速建立合作和联盟关系的功能;采用单点登录,建立联盟关系不再是复杂的事情,只需要点击几下就可以完成的工作;(2). 全方位的元数据导出和导入的功能,加快建立联盟关系的速度和避免无谓的错误;(3). 元数据导出和导入的功能,一步到位,一次性把所有建立联盟关系的工作完成;10. 强大的机群部署功能(1). 强大的机群部署功能,管理员通过一个Web管理界面,可以管理机群中的所有服务器节点;(2). 所有服务器节点都是平等的,没有主从的概念,任何一台服务器节点都可以独立运行;(3). 所有服务器配置和SSO会话信息在机群的节点上实时同步,自动提供故障转移(Fail Over)的功能;(4). 可横向扩展的机群部署,支持最严格的容错(Fault Tolerance)需求;(5). 支持基于硬件或基于软件的负载均衡器。
四、系统功能特点单点登录单点登录平台单点登录技术基于国际联盟Liberty1.2规范,同时与市场同类技术相比有着以下优点:(1). 全方位支持标准Liberty ID-FF v1.2规范,支持从中型到最大型的联盟化部署,支持规范中所有功能:单点登录、整体退出、账号联盟和解盟等功能;(2). 扩展站点转送功能,为客户提供更符合实际应用的功能;(3). 支持SAML(Secure Assertion Markup Language 安全性断言标记语言)规范、XML(Extensible Markup Language 扩展性标识语言)数字签名规范、SOAP (Simple Object Access Protocol简单对象访问协议)和Web服务协议等;(4). 支持跨域部署模式,提供跨域单点登录功能;(5). 支持多种多级登录认证机制,如用户名/密码、动态口令、等等;(6). 支持现有的用户管理系统,包括LDAP(Light Directory Access Protocol,轻量级目录访问协议)目录、数据库,等等;(7). 支持多种多级认证方式:普通口令、数字证书、动态口令、指纹识别、IC智能卡等认证方式,支持第三方认证系统、权限管理系统;(8). 系统功能强大:单点登录的设计就是要能支持多服务器合为一体的身份联盟服务器,在同一个机器上同时支持身份提供方(统一身份管理与认证服务提供方)和SP(Service Provider 应用服务提供方)的服务器角色,而同时又能在统一个机器上运行多个SP服务器。
