|
http://www.huilan.com/tabid/70/Default.aspx???? 中科匯聯(lián)網(wǎng)站
SSO
統(tǒng)一用戶認(rèn)證介紹:
?
SSO
(
Single Sign-on
)即單次登錄,指用戶只需向網(wǎng)絡(luò)驗(yàn)證(即證明他或她的身份)一次身份,之后無需另外驗(yàn)證身份,就可訪問所有被授權(quán)的網(wǎng)絡(luò)資源。這里的網(wǎng)絡(luò)資源包括從打印機(jī)和其它硬件,到應(yīng)用程序、文件和其它數(shù)據(jù)的一切資源,它們可以散布于整個企業(yè)內(nèi)運(yùn)行不同操作系統(tǒng)的不同類型的服務(wù)器上。
企業(yè)用戶在構(gòu)建
SSO
系統(tǒng)的時候,一般采用建立獨(dú)立認(rèn)證平臺的方式進(jìn)行構(gòu)建,在這個認(rèn)證平臺上實(shí)現(xiàn)用戶賬號的集中統(tǒng)一管理,實(shí)現(xiàn)對用戶操作的權(quán)限控制,實(shí)現(xiàn)對用戶操作行為的審計(jì)。
?
1.?????????
用戶通過認(rèn)證客戶端登錄認(rèn)證服務(wù)器,認(rèn)證服務(wù)器根據(jù)該用戶的授權(quán)返回相應(yīng)的授權(quán)信息
2.?????????
用戶根據(jù)授權(quán)信息訪問相應(yīng)的服務(wù)器
3.?????????
中科匯聯(lián)
SSO
管理器通過遠(yuǎn)程和本地管理認(rèn)證和授權(quán)平臺
目前實(shí)現(xiàn)
SSO
的技術(shù)主要有兩種:
?
1.?????????
利用自動化登錄技術(shù),來屏蔽用戶登錄不同系統(tǒng)的過程;
?
2.
????????
采用一個具有
SSO
功能的協(xié)議來完成。無論用哪一種方式來實(shí)現(xiàn)
SSO
,都有一個共同的過程需要完成,就是最初的登錄過程。
?
采用自動化登錄技術(shù),就是屏蔽用戶登錄目標(biāo)系統(tǒng)的過程,原來用戶在使用目標(biāo)系統(tǒng)的時候,需要輸入用戶名和口令(或者其他認(rèn)證方式),自動化技術(shù)能夠通過一些腳本自動為用戶輸入口令和用戶名,而整個登錄過程對用戶透明。這種方式一般對目標(biāo)系統(tǒng)較為透明,能夠通過腳本完成對絕大多數(shù)目標(biāo)系統(tǒng)的登錄過程。但是登錄腳本的編寫和使用對于用戶比較專業(yè),要求較高。
采用具有
SSO
功能的協(xié)議來完成的一個典型代表就是使用
Kerberos
協(xié)議,
Kerberos
協(xié)議提供了采用票據(jù)來訪問目標(biāo)系統(tǒng),這也是目前采用的一種比較流行的單點(diǎn)登錄技術(shù);但是這種技術(shù)有一定的不足,就是它需要對目標(biāo)系統(tǒng)或目標(biāo)服務(wù)進(jìn)行
Kerberos
化,這就限制它對一些封閉系統(tǒng)的應(yīng)用如網(wǎng)絡(luò)設(shè)備上的應(yīng)用;因?yàn)樵谀壳暗暮芏嗟木W(wǎng)絡(luò)設(shè)備上都不支持
Kerberos
認(rèn)證。
如果把以上兩種技術(shù)進(jìn)行有機(jī)的結(jié)合,就能比較好地解決這些問題,中科匯聯(lián)
SSO
訪問管理平臺,可以以任意組合方式支持以上兩種認(rèn)證技術(shù),實(shí)現(xiàn)靈活。其訪問流程如左圖所示。
中科匯聯(lián)
SSO
管理平臺基于開放性設(shè)計(jì)架構(gòu),為企業(yè)應(yīng)用間實(shí)現(xiàn)賬戶統(tǒng)一管理,為企業(yè)用戶提供單次登錄,為企業(yè)管理提供基于角色的授權(quán)機(jī)制,平臺支持包括應(yīng)用程序,網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源訪問、操作系統(tǒng)等多層面的資源訪問管理。
?
SSO
統(tǒng)一用戶認(rèn)證系統(tǒng)功能:
?
l?????????
SSO
單點(diǎn)登陸服務(wù)
:
單點(diǎn)登錄為用戶提供統(tǒng)一視角的、個性化的
Web
內(nèi)容與服務(wù),通過對于基于
Email
的方式,也可以設(shè)置為其他唯一用戶認(rèn)證方式,實(shí)現(xiàn)良好的用戶體驗(yàn)、更好的安全性,并降低了由于密碼遺失所產(chǎn)生的支持費(fèi)用。并可以根據(jù)每個用戶的需求和訪問權(quán)限輕松地為其提供個性化的頁面,而那些沒有被授權(quán)訪問的內(nèi)容在頁面上則不顯示,這樣就減少了被黑客攻擊的機(jī)率,提高了安全系數(shù)。
l?????????
權(quán)限管理與群組管理
:系統(tǒng)提供對于統(tǒng)一用戶認(rèn)證系統(tǒng)自己的管理員權(quán)限的分派與管理,方便管理員維護(hù)用戶權(quán)限和安全。群組的管理,可以大大提高管理者的效率,降低管理者的工作量。
?
l?????????
安全管理和
IP
過濾
:包括對于用戶信息的加密處理和傳輸,保證用戶信息的安全性和不可盜用性。并通過
IP
地址過濾的功能,實(shí)現(xiàn)對于用戶或用戶組的
IP
過濾的功能,解決系統(tǒng)的管理的方便性和應(yīng)用的安全性的問題。
?
l?????????
系統(tǒng)日志和數(shù)據(jù)備份恢復(fù)
:系統(tǒng)提供對于系統(tǒng)日志的記錄和用戶數(shù)據(jù)的備份和恢復(fù)的管理,解決各種黑客攻擊或?yàn)?zāi)難備份的需要,保證系統(tǒng)的安全。
?
l?????????
其它應(yīng)用
SDK
接口
:系統(tǒng)的
SDK
接口包括用戶登陸認(rèn)證接口,用戶信息修改接口,多語言支持接口等,方便其他應(yīng)用系統(tǒng)調(diào)用使用。
?
l?????????
應(yīng)用系統(tǒng)統(tǒng)一消息接口
:為了實(shí)現(xiàn)對于
OA
,業(yè)務(wù)系統(tǒng)等各種審批事項(xiàng)以及消息提醒的功能,在系統(tǒng)中,我們采用統(tǒng)一消息接口,實(shí)現(xiàn)對于同步和異步消息的傳輸處理,這樣可以在自己的工作臺面上實(shí)現(xiàn)快速的消息查看功能,方便各種業(yè)務(wù)的快速處理能力。同時系統(tǒng)可以提供對于
MSN
的
Message
的支持能力以及對于手機(jī)短信
SMS
的消息擴(kuò)展支持的能力。這樣就可以形成一整套完整的消息相應(yīng)機(jī)制,實(shí)現(xiàn)統(tǒng)一的消息管理。
|