下载文档原格式
CA身份认证及访问管理解决方案CA身份认证及访问管理解决方案用户身份识别及其访问权限控制是业务的核心,必须对其实行有效的管理。
随着访问点以及企业内部和外部各种用户的不断增加,身份的数量也在迅速攀升。
要应对预算减少而风险增大的压力,今天的企业需要的是集成化的安全解决方案,来简化身份识别和访问管理,从而了解哪些用户能够访问哪些信息。
遗憾的是,公司都采用各不相同的系统来实现用户供给和访问权限管理,这导致帮助台成本增加、企业无力应对逐步升级的Internet 威胁,并且无法充分执行审计要求来确保管理条例的实施。
现在的企业都承受着身份和访问管理问题的重重困扰,为此CA提供了eTru st Identity and Access Management Suite??一套完善的模块化、集成化的身份识别和访问管理解决方案,可帮助企业降低成本,同时减小与用户及其企业内部访问相关的安全风险。
事半功倍的业务运作新模式企业在扩展业务的同时会经历各种转变。
随着新技术被采纳并被提供给雇员、业务合作伙伴和客户,数字身份的数量也逐渐攀升,同时管理成本不断上升。
同时,由于隐私和数据保密性方面的安全要求的增加,IT 管理员们需要完成更多的访问和审计项目。
这就要求以更高的效率处理对于现存有限资源的不断增长的需求。
复杂的用户身份识别管理在当前复杂的业务环境中,管理用户和访问不再是一项简单的任务。
用户的角色已经不仅仅是传统的企业用户,而是得到了扩展??客户、供应商和合作伙伴都成了企业不可或缺的一部分。
业务合作伙伴之间需要一种预先假定的、协商一致的信任关系才能开展业务交易。
面向公众的网站和通过Web服务公开的业务流程必须应对不可预知的Web用户,包括电脑黑客,甚至是心怀不满的前雇员。
除此之外,考虑到企业需要管理来自不同类型的系统(包身份识别和访问管理是用户业务的核心。
包括HR、ERP、供应链管理,甚至是操作系统级别)的身份识别和安全问题,身份管理的复杂性也就变得愈加突出了。
广东省网上办事大厅统一身份认证平台业务系统接入规范V1.0.1广东省网上办事大厅二O一四年十月目录一、前言 (4)二、目标 (4)三、对接方案 (5)3.1. 单点登录 (5)3.1.1. 系统结构 (5)3.1.2. 集成模式 (6)3.1.3. 任务分工 (7)3.2. OAuth2认证 (7)3.2.1. 系统结构 (7)3.2.2. 集成模式 (8)3.2.3. 任务分工 (9)四、应用程序改造说明 (9)4.1. 单点登录集成 (9)4.2. OAuth2认证集成 (10)4.3. 用户库改造说明 (11)五、改造环节及示例代码说明 (12)5.1. 单点登录改造说明 (12)5.1.1. 详细流程 (12)5.1.2. 组件调用说明 (14)5.1.3. 示例代码说明 (14)5.2. OAuth2认证改造说明 (15)5.2.1. 详细流程 (15)5.2.2. 登录页面改造说明 (16)5.2.3. 组件调用说明 (16)六、接口及参数说明 (17)6.1. 单点登录接口说明 (17)6.1.1. 设置认证服务URL (17)6.1.2. 获取用户信息 (17)6.2. OAuth2认证接口说明 (19)6.2.1. 获取授权码 (19)6.2.2. 获取token (20)6.2.3. 获取用户信息 (21)一、前言按照《关于做好全省网上办事大厅建设相关筹备工作的通知》(粤办函〔2012〕369号)等相关文件及省政府推进全省网上办事大厅建设的工作部署的总体要求,构建全省统一身份认证平台,主要目的是服务于全省网上办事业务信息化发展,为省直部门业务系统、各地市分厅等各类业务系统提供“用户名/密码”普通账户和CA 账户认证服务,并提供跨域单点登录服务,逐步实现“一个账号,全省通用”,建成全省标准统一、安全可靠、互联互通、应用方便的统一身份认证应用支撑体系,全面提升省网办大厅的用户体验及安全保障能力。
资本项目信息系统操作手册v1.2(总48页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除第一章企业(事务所)角色说明第二章创建业务操作员并进行权限分配(一)首先用企业业务管理员用户ba登录到应用服务平台,如下图:(二)初始登录需要修改密码,修改完密码后,进入下图,选择“国家外汇管理局应用服务平台”。
(三)进入功能页面,单击“用户角色管理”-》“业务操作员维护”,如下图:点击“增加(A)”按钮在上图业务操作员的增加界面,输入用户代码、用户名称、联系电话、邮箱地址、初始密码,其中用户代码、用户名称、初始密码为必填项,用户代码不能重复。
注意:如果业务操作员在平台中已有用户代码,则直接分配角色即可。
(四)在角色分配区域,为该业务操作员分配角色,如下图:注意:用户代码对应首页登录框中的用户代码,并且一定要为该用户分配角色,否则新建用户登录系统后没有可以访问的功能资源。
(五)在上图中,单击“保存”按钮,如果保存成功,会有提示信息,如下图:第三章资本项目信息系统(企业版)(用户手册)3.1协议信息管理3.1.1FDI转股流入权益确认3.1.1.1功能概述提供企业进行FDI转股流入权益确认的确认、删除功能。
3.1.1.2功能操作以企业业务人员的身份登录系统,打开协议信息管理FDI转股流入权益确认,如图3-1-1-2-1所示:图【3-1-1-2-1】3.1.1.2.1查询1、以企业业务操作员的身份登录系统,打开协议管理->对内投资-> FDI 转股流入权益确认->查询,如图3-1-1-2-2所示:图【3-1-1-2-2】2、输入查询条件,单击查询按钮或者使用快捷键ALT+Q,可以查询到“待审核”的记录,如图3-1-1-2-3所示:图【3-1-1-2-3】3.1.1.2.2确认1、用户可以点击“新建”按钮或使用快捷键ALT+C进入新建页面,新建一条前期费用登记待复核的记录,如图3-1-1-2-4所示:图【3-1-1-2-4】2、在确认页面填写相应的信息,单击“保存”按钮或使用快捷键ALT+S,,状态为“待审核”,如图3-1-1-2-5所示:图【3-1-1-2-5】3.1.1.2.3删除1、输入查询条件,单击查询按钮或者使用快捷键ALT+D,可以查询到“待审核”的记录,在查询列表中选中一条信息,如图4-3-1-3-6所示,图【4-3-1-3-6】2、单击“删除”或使用快捷键ALT+D,进入删除页面,如图4-3-1-3-7所示:图【4-3-1-3-7】3、在删除页面,页面内容为只读状态,不能编辑,单击“删除”按钮或使用快捷键ALT+D,如图4-3-1-3-8所示,图【4-3-1-3-8】4、单击“确定”之后,系统删除这条“待审核”的记录,单击“取消”,系统撤销删除操作3.1.1.2.4注意事项银行交易信息中流入合计=会计事物所验资询证登记信息中流入注册资本对应金额合计。
电子身份认证系统中的安全问题分析与解决方案近年来,随着信息技术的迅速发展,电子身份认证系统在各个领域得到了广泛应用,如电子银行、电子商务等。
然而,随之而来的安全问题也日益突出,成为了电子身份认证系统面临的重大挑战。
本文将对电子身份认证系统中的安全问题进行深入分析,并提出相应的解决方案。
第一部分:安全问题分析1. 身份泄漏在电子身份认证的过程中,用户必须提供个人身份信息,包括姓名、身份证号码、手机号码等。
如果未能有效保护这些信息,就有可能导致身份泄漏问题。
黑客可能利用这些泄漏的身份信息进行欺诈或非法活动。
2. 身份伪造电子身份认证系统中,用户的身份通常是通过证书或数字签名等方式进行验证。
如果黑客能够伪造这些证书或签名,就有可能冒充他人身份进行非法操作,从而破坏系统的安全性。
3. 中间人攻击中间人攻击是指黑客通过截获通信数据,并对数据进行篡改或伪装,以获取用户信息或破坏通信的完整性。
这种攻击方式常常发生在用户与认证系统之间的通信过程中。
4. 拒绝服务攻击拒绝服务攻击是指黑客通过制造大量恶意请求,使得系统无法正常运行并拒绝为合法用户提供服务。
这种攻击方式会导致系统瘫痪,对用户和系统造成严重影响。
第二部分:解决方案1. 加强身份信息保护为了避免身份泄漏问题,电子身份认证系统需要加强个人身份信息的保护措施。
首先,加密存储个人信息,确保数据的安全性。
其次,只在进行必要的身份验证时,通过加密的方式传输身份信息。
最后,建立完善的访问控制机制,限制用户访问个人身份信息。
2. 采用双因素身份验证为了防止身份伪造问题,电子身份认证系统可以采用双因素身份验证。
除了传统的密码验证,还可以引入生物特征识别、硬件令牌等额外的身份验证手段,提高身份验证的准确性和安全性。
3. 使用安全通信协议为了避免中间人攻击,电子身份认证系统应该使用安全通信协议,如SSL/TLS协议,确保通信过程中数据的机密性和完整性。
同时,还可以采用数字签名等方式对通信数据进行验证,防止被篡改。
国家统计局身份认证系统使用手册及常见问题解答目录一、申请证书的问题31.如何申请证书 (3)2.何时需要重新申请自己的数字证书? (9)3.如何重新申请证书? (9)4.如何在本机查看已经申请的数字证书? (12)二、“登录”企业一套表应用系统时的问题131.为什么点击“登录”时未弹出“客户身份验证”窗口,直接提示“该页无法显示”? (13)2.在弹出的“客户身份验证”框中点击本企业的用户证书名并确定后,出现“该页无法显示”? (16)3.进行数据报送时,选择证书提交后系统提示“证书已过期”或“您的证书即将到期”,怎么办? (16)4.进行数据报送时,弹出的“客户身份验证”窗口没有证书,怎么办?165.选择证书后,提示“该证书与用户名不匹配”,怎么办? (16)6.为什么弹出的认证窗口与常见的不同? (16)三、废除证书时的问题171.什么情况下需要废除证书? (17)2.如何废除证书? (17)四、如何删除证书18五、安全认证测试步骤20六、其它问题231.如果我想更换我的PC机,是否还能连到直报系统? (23)2.如何从浏览器中导入、导出个人证书? (23)3.请确认您使用的计算机操作系统时间是当前时间 (23)检查方法:双击您计算机桌面右下角的时钟,在弹出的“时间和日期属性”中,检查并调整为当前时间。
如当前时间为2011年8月6日16点26分时,如图27: (24)数据上报网址:/dr申请证书的问题网址:1.如何申请证书进入证书在线服务系统的用户,将会看到如图1的界面,请首先阅读注意事项和证书申请步骤。
图 1初次登录系统报送数据的用户,请根据“用户证书申请步骤”进行证书的安装。
第一步安装配臵工具点击图1页面上的“根证书及配臵工具”,如图2:弹出“文件下载”确认对话框,弹出“文件下载”提示,如图3。
图 3点击“保存”按钮后,将“根证书及客户端配臵工具”保存到本地计算机桌面,如图4图4将“根证书及客户端配臵工具”保存到客户端后,鼠标右键打开该文件,如图5图5在安装过程中,系统会弹出安全警告框,如图6:图6再次点击“运行”按钮,开始安装配臵工具,安装完成后,出现“客户端配臵成功”提示,如图7:图7第二步申请用户证书在图1的页面中,输入企业用户名和口令,并点击“确定”,如果输入正确,出现“下载证书”页面,点击“证书下载”,如图8:图 8此时系统会弹出确认框“Security Alert”,点击“yes”按钮,如图9:图 9接下来,您的计算机可能会出现图10的“潜在脚本冲突”提示框,点击“是(Y)”按钮:图 10则计算机系统允许您申请证书,并弹出如图11的提示框,点击“是(Y)”按钮:图 11之后,系统会弹出确认框,点击“确定”,如图12:图 12此时证书申请安装操作已经完成。
身份认证2.0面临的问题及建议摘要:随身份认证是电子认证的基础,也是网络主体实施法律行为的重要证据。
但是,随着互联网的发展,个人身份信息不断泄露的情况多发,而且个人身份证件买卖也成为暗网交易普遍现象,这种情况下,基于证件的身份认证已经违反了本人的真实意愿,电子认证机构负有认证个人身份和意愿的严格责任,应及时对认证策略做出调整,推广身份动态认证。
关键词:身份认证;电子认证;网络安全;电子签名一、身份认证是电子认证的基础一直以来,电子认证的定义如下:是以核心电子书(又称数字证书)为核心技术的加密技术,它以PKI技术为基础,对网络上传输的信息进行加密、解密、数字签名和数字验证。
电子认证是电子政务和电子商务中的核心环节,可以确保网上传递信息的保密性、完整性和不可否认性,确保网络应用的安全。
在此定义中,将加密技术作为电子认证的核心,这种以技术为核心的思维惯性导致了在电子认证服务行业中重视技术思维,而弱化了身份认证的严谨性。
电子签名法第二条提出,电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
因此,电子、光学、磁或者类似手段仅是形式的要求,而识别签名人身份并表明签名人的认可是实质性意义。
从此条来看,我国法律采用的是技术特定理论,而不是传统意义所认为的技术中立理论,可以说,签名人的身份的认定是确定电子签名的有效性的基础,也是电子认证服务的基础。
二、身份认证的新要求在网络虚拟化条件下的实体管理和身份鉴别对身份管理技术提出了新需求,网络实体的快速延伸、网络实体间的控制和从属等关系都将变得更加复杂,网络实体的变化和移动也将更加快捷,实体的鉴别、追踪和审计管理将成为新形势下身份管理的重要问题①。
三、身份技术面临的挑战1、大量信息泄露成为普遍现象互联网的发展同时带来人们登陆各种账户的额同时需要填写个人的详细信息,这样一些公司的数据后台可能面临泄露的风险,大量个人信息被成批公布出去。
身份认证是企业十分基础的安全管理组件,碎片化且场景化,以往原则能用即可。
由于企业移动化带来安全边界的消失,身份认证对于企业安全重要性日益增强,因此企业对它的要求也会提升,不仅要安全,还要好用。
另外,移动办公带来的组织及人员分布呈现多分支及分散式,通过传统集中管控思路无法适应,需要转变成自助化以及自动化,同时尽可能不派发硬件身份验证器或者安装客户端,除非特别环境的安全要求。
场景1:账号安全背景:主要解决静态密码易遭破解、高强度密码的策略执行无法推进及定期修改难的问题。
方案:双因子认证,通过动态密码或者消息推送认证方式。
应用场景:从之前的VPN、VDI等移动办公场景,逐渐增加至基于公网访问如邮件、企业单点登录门户,二因子认证方式虽然传统但仍然是最便捷稳定的账号安全加固办法。
政策方面:HW及等保2.0推进,让二因子认证在大型数据中心应用渐渐普及,保护堡垒机、网络设备、应用管理后台、关键数据库等;更多令牌形式:企业微信、钉钉等移动终端从用户体验角度,微信及钉钉会企业认为是可信的身份体系,因此通过企业微信、钉钉为Web、SSO应用登录替代账号密码被认为是安全便捷的。
大型企业从安全性出发,会采用EMM或者自建企业移动门户实现移动办公,除了传统短信认证,生物识别、基于设备指纹的多因子认证等智能技术会被采纳。
场景2:访客及BYOD Wi-Fi认证访客及员工BYOD设备联网是企业移动化的一个安全风险点,如果没有身份认证,访客和BYOD很容易通过连接无线绕过防火墙闯入企业内网,因此用户身份识别是十分必要的,不同于商业场景,企业场景在设计访客接入时候,比较好办法是让员工为访客协助扫码认证授权,实现访客Wi-Fi临时账号申请过程去中心化,另外能够实现可追溯,如果能够定制高大上Portal登录页面那就更赞了,老板一定很Happy。
对于员工自带BYOD,采用连接AD认证并控制只有外网访问权限,对于移动化及安全级别高的企业如金融可考虑安装类似于AirWatch来实现业务访问。
CCAA认证⼈员注册与管理系统V3.0-使⽤⼿册-注册⼈员V1.1CCAA认证⼈员注册与管理系统V3.0 注册⼈员操作⼿册V1.1CCAA3.0项⽬组2015-2⽬录1.系统概述1.1 系统概况CCAA3.0系统是在CCAA认证⼈员注册与管理系统、JCCAA认证⼈员注册与管理系统、ZCCAA认证⼈员注册与管理系统业务功能的基础上,并充分考虑CCAA实际业务的逐步发展和完善需求,进⾏的CCAA3.0系统建设。
实现JCCAA、ZCCAA、CCAA2.0系统合并,增加协会注册会员的信息沟通的及时性,通过注册材料的⽆纸化提⾼⼈员注册效率,缩短注册时间。
1.2 主要功能CCAA3.0系统注册⼈员功能如下表所⽰:/doc/b185729019e8b8f67c1cb97a.html AA3.0系统浏览器要求本系统⽬前仅⽀持IE浏览器,使⽤IE8以上版本,使⽤其他⾮IE浏览器可能会在注册过程中出现问题,请勿使⽤⾮IE浏览器进⾏注册申请。
3.功能介绍3.1注册/登录3.1.1注册1、打开IE 浏览器,在地址栏输⼊协会官⽹⽹站地址:/doc/b185729019e8b8f67c1cb97a.html /ccaa/进⼊⽹站,如下图。
登陆地址进⼊⼈员注册⼆级菜单2、点击⼈员注册栏⽬下的⽹上注册,进⼊⼆级菜单,如下图。
⼈员专区3、点击注册专区,跳转到注册⼈员登录页⾯,如下图。
点击注册如果是初次使⽤CCAA注册与管理系统(包括CCAA2.0系统),则需要进⾏新⼈员注册,⽤于登录系统。
点击上图的“新⼈员注册”链接,跳转到新⼈员注册页⾯,如下图。
4、如实在注册页⾯填写相关信息后,点击注册按钮。
注册成功后系统⽣成档案号,同时把档案号同步发送注册是填写的email中。
注册完成注意:1、⼿机号码、Email信息必须正确⽽且是经常使⽤,以便及时接收系统发送的邮件提醒。
2、登记号是唯⼀代表⼈员的⾝份信息,请牢记登记号,⽤于登录及信息查询。
【捷顺科技】JieLink百问百答--常见问题篇20190816 Jielink百问百答——常见问题篇Q1.Jielink系统安装完成后,打开web页⾯报错如何处理?1)请检查是否完全安装IIS,如下图显⽰⽅为完全安装(参考win7系统)。
2)请检查是否正确安装.net 4.5,如IIS重新安装后请再次修复.net,并重启电脑。
3)如打开web页⾯时如下图1显⽰,拒绝访问是因为部门电脑⽤户权限不⾜导致,可按照图2解决问题。
14)其他异常情况请联系客服培训组或者研发部门反馈。
(请按照建议选择服务器系统SERVER2016,如果使⽤SERVER2008\2012需要安装TOOL中的vc+全量包)Q2.Jielink系统设备激活时不成功,如何处理?1)Jielink设备激活时,必须保证中⼼服务器具备外⽹条件。
(激活时系统提⽰前置系统地址不正确,表⽰中⼼服务的外⽹异常,如确定外⽹⽆问题的情况下可以多次尝试激活。
)2)Jielink设备激活时,必须保证车场盒⼦在线,设备在线(在中⼼服务能够读取盒⼦时间、通知盒⼦同步时间不报错;读取设备时间、通知设备同步时间不报错。
)3)Jielink设备激活时,盒⼦的防⽕墙、中⼼服务的防⽕墙必须关闭(windows 10操作系统⾃带的windows Defender,必须关闭且完全停⽤)24)Jielink设备激活时,控制机设备的版本最好保证在最新版本。
5)设备激活时失败,提⽰获取不到主卡ID(⼀般都是通讯问题,请从1-4排查),如扔⽆法解决,此时可以断电,重新插拔PSAM卡保证接触良好,然后再上电激活。
6)以上五个步骤都⽆法解决的话请联系研发⼯程师处理(速通标准化系列——乐江波;H1和捷E系列——周⼩彬)。
7)如果激活之后软件提⽰系统已过期XXXXX天,请安装VC++全量包(tool),然后重启电脑再⾏激活即可。
8)虚拟机因⽆法获取机器特征码,导致⽆法激活,请联系研发处理。
身份认证系统******身份认证系统技术方案目录1. 概述 ...........................................................3 1.1 前言 ..................................................... 3 1.2 身份认证系统用户认证需求描述 ............................. 3 1.3 身份认证系统认证解决之道 (5)1.3.1 身份认证系统的模式 (5)1.3.2 建立身份认证系统 (5)证书在身份认证系统上的安全应用........................ 6 1.3.32. 详细设计方案 ...................................................7 2.1 身份认证系统 ............................................... 7 2.2 产品设计原则 (7)2.2.1认证系统的设计原则 (7)2.2.2 网络环境设计原则....................................... 8 2.3 功能模块架构 ............................................. 9 2.4 身份认证系统功能简介 .................................... 11 2.5 身份认证系统安全性分析 . (12)2.5.1本系统安全性保护的必要性 (13)2.5.2安全性要求 (13)2.5.3安全性设计原则 (14)2.5.4安全性设计方案 ........................................ 14 2.6 身份认证系统应用开发接口 .. (16)16 2.6.1身份认证系统接口函数 ..................................2.6.2 API与身份认证系统结合开发应用系统 (16)2.7 身份认证系统使用案例 (17)3. 系统配置 .......................................................20 3.1 设备配置 (20)21. 概述1.1 前言随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。
中国石油天然气集团公司信息系统用户身份管理与认证项目用户常见问题解答中国石油用户身份管理与认证项目组2011年7月目录第1章名词解释 (4)第2章用户常见问题解答 (4)2.1.ESSO登录异常问题 (4)2.1.1.通用检查项 (4)2.1.2.插入key,没有弹出PIN码输入框 (5)2.1.3.对于vpn用户登录的解决方法: (6)2.1.4.双击AA打不开AA的登陆框 (6)2.1.5.Windows 脚本编制主机或该主机已损坏 (7)2.1.6.输入正确pin 码,弹出意外错误 (8)2.1.7.上次关机未拔出USBKey,登入时出现空白页面 (9)2.1.8.用户不能使用域名登录 (10)2.1.9.Windows7下,用户成功单点登录后,弹出IAMkeymonitor通信失败的提示102.1.10.登录时显示有多人的证书可供选择,检查IE是否缓存过其他证书? (10)2.1.11.Win7系统点击应用图标登录ERP后,菜单栏被遮挡 (10)2.1.12.密码同步 (12)2.2.自映射问题 (12)2.2.1.自映射操作校验应用帐号和密码失败后,如何处理? (12)2.2.2.用户自映射一个工作日后,登录身份认证平台,看不到已映射系统的图标。
122.2.3.自映射应用系统校验用户名和密码成功后,还是不能单点登录应用系统。
(13)2.2.4.在已映射信息系统列表中显示邮件系统图标,点击出现提示页面,告知用户修改密码。
(13)2.2.5.同一应用系统有两个帐号,已自映射成功其中一个,还有一个帐号如何处理132.2.6.用户通过IAM平台第一次访问应用系统前,是否需要进行自映射? (13)2.3.PKI相关问题 (13)2.3.1.提示非本系统用户,无法登录 (13)2.3.2.没有员工编号的人员制作证书 (14)2.3.3.无法识别USBKey (14)BKey丢失后如何处理? (14)2.3.5.RA系统管理员变更,如何操作? (15)2.3.6.制做新证书失败 (15)2.3.7.与捷德KEY冲突 (15)2.3.8.与IPAD充电软件冲突 (15)2.4.日常使用问题处理方法: (15)2.4.1.请在出现“msxml6r.dll受Windows系统保护”的计算机上, (15)尝试以下操作: (15)2.4.2.ERP系统口令不代填问题: (16)2.4.3.安装补丁出现问题: (16)2.4.4.登录ERP系统报错: (17)2.4.5.输入PIN码登录IAM系统失败: (17)第1章名词解释用户:普通用户、IAM管理员用户、RA管理员用户SSO:单点登录,即一次认证后登录列表中所有应用系统E-SSO:身份管理与统一认证平台桌面单点登录软件,为C/S模式的应用系统提供单点登录服务IAM:身份管理与统一认证平台https://pc/PKI:公钥基础设施pc:8080/RA:PKI子系统RA代理点:为地区公司用户发放数字证书的虚拟机构PIN码:USBKey密码注:本文档主要用于描述普通用户登录出现的问题及解决方法。
第2章用户常见问题解答2.1. E SSO登录异常问题2.1.1. 通用检查项是否曾经成功登录过成功登录过的用户,重点从“中国石油USBKey用户工具”(包括USBKey驱动和IAM控件)和IE设置等个人电脑相关方面排查问题,具体参考以下通用检查项;未成功登录过的用户,根据用户反映的具体情况查找相应章节。
检查是否已正确安装USBKey工具和IAM控件:检查用户桌面是否已出现两个宝石花图标;使用“中国石油USBKey用户工具”中的“一键恢复”功能查看所有项是否正常。
IAM控件会在桌面生成一个快捷方式,即单点登录访问地址(https://pc/)。
用户可在“开始菜单”中查看是否有“中国石油USBKey 用户工具”文件夹,若包含“中国石油身份管理与认证平台客户端V1.72卸载”即表示安装成功。
驱动是否为最新发布版本:截至目前最新版本是“3.4.0.1”,打开“中国石油USBKey用户工具”能看到“工具版本”的版本号。
检查Smart Card服务进入“控制面板”——管理工具——服务——Smart Card,是否为启动状态和自动启动类型。
安装完成USBKey驱动后,在计算机服务中会有‘Smart card’这个服务。
装有360杀毒软件的电脑,360里的开机加速,一键优化会将此服务禁掉。
如果此服务被禁用,插入USBkey后将无法识别。
浏览器相关设置:将IE浏览器中“工具-Internet选项-连接-局域网设置”勾选“跳过本地地址的代理服务器”。
将IE浏览器中“工具-Internet选项-连接-局域网设置-代理服务器-高级-不使用代理服务器”的例外中填写“10.*;*.cnpc”。
设置Internet安全性属性,“工具-Internet选项-安全-本地Intranet-站点-高级”中添加“https://*pc”;并且将“该区域的安全级别”调整为“中低”;IE 8“工具-Internet选项-安全-本地Intranet”中不能勾选“启用保护模式”。
目前只支持IE浏览器,暂不支持火狐等其他浏览器。
若不能解决,请联系技术人员并提交问题,提交具体问题时请告知管理员用户姓名、员工编号、员工单位,并将问题截屏发送管理员邮箱(sfrz_iam@),与系统运维人员沟通针对问题的解决方案。
2.1.2. 插入key,没有弹出PIN码输入框故障现象:插入key后,没有自动弹出PIN码输入框解决方法:(1)检查操作系统是否为XP SP2,如果是XP SP2,需要先安装“WindowsXP-KB909425-x86-CHS.exe”补丁(2)检查网络连接ping pc,是否能ping通;返回的IP应该是10.27.140.187(3)检查主机名是否为中文,如果是中文,改为标准的英文机器名(4)检查计算机隶属于“域”还是“工作组”,如果是隶属“域”,请先修改为隶属于“工作组”,组名称只能是英文(最好改为WORKGROUP),然后重启计算机。
(5)如果问题还没有解决,卸载AccessAgent,重启windows,再重新安装AccessAgent2.1.3. 对于vpn用户登录的解决方法:由于新VPN用户没有要求强制用key登录(即不插key也可以登录),所以请和用户说明:开机后,请不要插key,登录vpn之后再插key。
请注意处理过程(处理方法针对内网用户也有效):请用户登录VPN,老VPN在任务栏会显示一个A,新VPN在任务栏会显示SVN。
(1)ping pc 确定是否可以返回10.27.140.187的正确地址。
(VPN用户ping返回超时为正常情况)(2)telnet pc 443 确定是否有权限访问身份认证系统。
(3)请用户拔key,然后运行5k3s里面的kill_5.bat,将esso所有进程和服务都杀掉。
(4)删除C:\Program Files\Encentuate\Cryptoboxes 里面的所有文件(5)将all_sync_data_xml.rar 里面的两个xml文件替换到C:\Program Files\Encentuate\(6)运行start_3.bat,等待esso重启完毕。
(7)让用户重新插key尝试登录。
至此,一般用户都可进行正常登录。
若还有用户不弹pin,请运行Pinpop.rar 里面的pin_pop.reg让他强行弹框(慎用)。
另外,在处理过程中,若用户是新vpn用户,请随时关注VPN是否超时(新VPN超时时间为20分钟左右),具体表现为,Ping pc可ping通且返回的为外网地址。
如果有些用户登录vpn之后ping pc,返回的就是外网地址,请在命令行里运行ipconfig /flushdns将dns清空再继续操作。
若遇到VPN不能正常登录,请让他们直接拨打84882903联系VPN项目组2.1.4. 双击AA打不开AA的登陆框操作步骤如下 : 我的电脑-->管理-->服务找到如下两个服务ObsServiceSOCIAccess 这两服务是否启动没有启动右击服务启动即可,如果是手动请改成自动;2.1.5. Windows 脚本编制主机或该主机已损坏安装过程中出现如下错误:需要安装Windows scripts组件(系统补丁文件名称为scripten.exe)如果提示已经安装,不能重复安装的时候,需要手工注册相关dll和ocx文件jscript.dll、vbscript.dl、scrrun.dll、scrobj.dll、wshext.dll、wshcon.dll、wshom.ocx(如果用户的windows操作系统安装在c:\windows目录中,可以使用下面的脚本进行dll文件的注册)2.1.6. 输入正确pin 码,弹出意外错误问题如下图解决方法:(1)请用户拔key,然后运行5k3s里面的kill_5.bat,将esso所有进程和服务都杀掉;(2)运行start_3.bat,等待esso重启完毕,请用户插key登录。
2.1.7. 启动Obsservice服务后,计算机很慢故障现象:启动Obsservice服务后,CPU占用率很高,计算机响应速度非常慢.解决方法:检查是否安装了Inter rapid storage technology软件,如果已安装,请在“控制面板”—“添加删除程序”中卸载这个软件,然后重启Obsservice服务(或者重启计算机)2.1.8. 上次关机未拔出USBKey,登入时出现空白页面答:告知用户拔出USBKey,关闭默认的浏览器;然后重新插入USBKey,再打开统一身份管理与认证平台(https://pc/)。
2.1.9. 用户不能使用域名登录答:告知用户修改hosts文件(无任何后缀):使用记事本打开“C:\Windows\System32\drivers\etc\”下的hosts文件,在文件末尾添加一条记录“10.27.140.122 pc”,并保存退出。
2.1.10. Windows7下,用户成功单点登录后,弹出IAMkeymonitor通信失败的提示答:这个涉及用户帐号控制(UAC)的调整;用户需要进入“控制面板”——系统和安全——操作中心——更改用户帐号控制设置;然后将级别调整到“从不通知”,即可避免该提示信息。
2.1.11. 登录时显示有多人的证书可供选择,检查IE是否缓存过其他证书?答:打开“工具-Internet选项-内容-证书-个人”,去掉IE缓存中多余的证书即可。
2.1.12. Win7系统点击应用图标登录ERP后,菜单栏被遮挡ERP系统通过IAM平台成功登录后,IE9 的界面显示会出现,最小化和关闭按钮不起作用的问题。
