|
http://www.huilan.com/tabid/70/Default.aspx???? 中科匯聯(lián)網(wǎng)站
SSO
統(tǒng)一用戶認(rèn)證介紹:
?
SSO
(
Single Sign-on
)即單次登錄,指用戶只需向網(wǎng)絡(luò)驗(yàn)證(即證明他或她的身份)一次身份,之后無(wú)需另外驗(yàn)證身份,就可訪問(wèn)所有被授權(quán)的網(wǎng)絡(luò)資源。這里的網(wǎng)絡(luò)資源包括從打印機(jī)和其它硬件,到應(yīng)用程序、文件和其它數(shù)據(jù)的一切資源,它們可以散布于整個(gè)企業(yè)內(nèi)運(yùn)行不同操作系統(tǒng)的不同類(lèi)型的服務(wù)器上。
企業(yè)用戶在構(gòu)建
SSO
系統(tǒng)的時(shí)候,一般采用建立獨(dú)立認(rèn)證平臺(tái)的方式進(jìn)行構(gòu)建,在這個(gè)認(rèn)證平臺(tái)上實(shí)現(xiàn)用戶賬號(hào)的集中統(tǒng)一管理,實(shí)現(xiàn)對(duì)用戶操作的權(quán)限控制,實(shí)現(xiàn)對(duì)用戶操作行為的審計(jì)。
?
1.?????????
用戶通過(guò)認(rèn)證客戶端登錄認(rèn)證服務(wù)器,認(rèn)證服務(wù)器根據(jù)該用戶的授權(quán)返回相應(yīng)的授權(quán)信息
2.?????????
用戶根據(jù)授權(quán)信息訪問(wèn)相應(yīng)的服務(wù)器
3.?????????
中科匯聯(lián)
SSO
管理器通過(guò)遠(yuǎn)程和本地管理認(rèn)證和授權(quán)平臺(tái)
目前實(shí)現(xiàn)
SSO
的技術(shù)主要有兩種:
?
1.?????????
利用自動(dòng)化登錄技術(shù),來(lái)屏蔽用戶登錄不同系統(tǒng)的過(guò)程;
?
2.
????????
采用一個(gè)具有
SSO
功能的協(xié)議來(lái)完成。無(wú)論用哪一種方式來(lái)實(shí)現(xiàn)
SSO
,都有一個(gè)共同的過(guò)程需要完成,就是最初的登錄過(guò)程。
?
采用自動(dòng)化登錄技術(shù),就是屏蔽用戶登錄目標(biāo)系統(tǒng)的過(guò)程,原來(lái)用戶在使用目標(biāo)系統(tǒng)的時(shí)候,需要輸入用戶名和口令(或者其他認(rèn)證方式),自動(dòng)化技術(shù)能夠通過(guò)一些腳本自動(dòng)為用戶輸入口令和用戶名,而整個(gè)登錄過(guò)程對(duì)用戶透明。這種方式一般對(duì)目標(biāo)系統(tǒng)較為透明,能夠通過(guò)腳本完成對(duì)絕大多數(shù)目標(biāo)系統(tǒng)的登錄過(guò)程。但是登錄腳本的編寫(xiě)和使用對(duì)于用戶比較專(zhuān)業(yè),要求較高。
采用具有
SSO
功能的協(xié)議來(lái)完成的一個(gè)典型代表就是使用
Kerberos
協(xié)議,
Kerberos
協(xié)議提供了采用票據(jù)來(lái)訪問(wèn)目標(biāo)系統(tǒng),這也是目前采用的一種比較流行的單點(diǎn)登錄技術(shù);但是這種技術(shù)有一定的不足,就是它需要對(duì)目標(biāo)系統(tǒng)或目標(biāo)服務(wù)進(jìn)行
Kerberos
化,這就限制它對(duì)一些封閉系統(tǒng)的應(yīng)用如網(wǎng)絡(luò)設(shè)備上的應(yīng)用;因?yàn)樵谀壳暗暮芏嗟木W(wǎng)絡(luò)設(shè)備上都不支持
Kerberos
認(rèn)證。
如果把以上兩種技術(shù)進(jìn)行有機(jī)的結(jié)合,就能比較好地解決這些問(wèn)題,中科匯聯(lián)
SSO
訪問(wèn)管理平臺(tái),可以以任意組合方式支持以上兩種認(rèn)證技術(shù),實(shí)現(xiàn)靈活。其訪問(wèn)流程如左圖所示。
中科匯聯(lián)
SSO
管理平臺(tái)基于開(kāi)放性設(shè)計(jì)架構(gòu),為企業(yè)應(yīng)用間實(shí)現(xiàn)賬戶統(tǒng)一管理,為企業(yè)用戶提供單次登錄,為企業(yè)管理提供基于角色的授權(quán)機(jī)制,平臺(tái)支持包括應(yīng)用程序,網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源訪問(wèn)、操作系統(tǒng)等多層面的資源訪問(wèn)管理。
?
SSO
統(tǒng)一用戶認(rèn)證系統(tǒng)功能:
?
l?????????
SSO
單點(diǎn)登陸服務(wù)
:
單點(diǎn)登錄為用戶提供統(tǒng)一視角的、個(gè)性化的
Web
內(nèi)容與服務(wù),通過(guò)對(duì)于基于
Email
的方式,也可以設(shè)置為其他唯一用戶認(rèn)證方式,實(shí)現(xiàn)良好的用戶體驗(yàn)、更好的安全性,并降低了由于密碼遺失所產(chǎn)生的支持費(fèi)用。并可以根據(jù)每個(gè)用戶的需求和訪問(wèn)權(quán)限輕松地為其提供個(gè)性化的頁(yè)面,而那些沒(méi)有被授權(quán)訪問(wèn)的內(nèi)容在頁(yè)面上則不顯示,這樣就減少了被黑客攻擊的機(jī)率,提高了安全系數(shù)。
l?????????
權(quán)限管理與群組管理
:系統(tǒng)提供對(duì)于統(tǒng)一用戶認(rèn)證系統(tǒng)自己的管理員權(quán)限的分派與管理,方便管理員維護(hù)用戶權(quán)限和安全。群組的管理,可以大大提高管理者的效率,降低管理者的工作量。
?
l?????????
安全管理和
IP
過(guò)濾
:包括對(duì)于用戶信息的加密處理和傳輸,保證用戶信息的安全性和不可盜用性。并通過(guò)
IP
地址過(guò)濾的功能,實(shí)現(xiàn)對(duì)于用戶或用戶組的
IP
過(guò)濾的功能,解決系統(tǒng)的管理的方便性和應(yīng)用的安全性的問(wèn)題。
?
l?????????
系統(tǒng)日志和數(shù)據(jù)備份恢復(fù)
:系統(tǒng)提供對(duì)于系統(tǒng)日志的記錄和用戶數(shù)據(jù)的備份和恢復(fù)的管理,解決各種黑客攻擊或?yàn)?zāi)難備份的需要,保證系統(tǒng)的安全。
?
l?????????
其它應(yīng)用
SDK
接口
:系統(tǒng)的
SDK
接口包括用戶登陸認(rèn)證接口,用戶信息修改接口,多語(yǔ)言支持接口等,方便其他應(yīng)用系統(tǒng)調(diào)用使用。
?
l?????????
應(yīng)用系統(tǒng)統(tǒng)一消息接口
:為了實(shí)現(xiàn)對(duì)于
OA
,業(yè)務(wù)系統(tǒng)等各種審批事項(xiàng)以及消息提醒的功能,在系統(tǒng)中,我們采用統(tǒng)一消息接口,實(shí)現(xiàn)對(duì)于同步和異步消息的傳輸處理,這樣可以在自己的工作臺(tái)面上實(shí)現(xiàn)快速的消息查看功能,方便各種業(yè)務(wù)的快速處理能力。同時(shí)系統(tǒng)可以提供對(duì)于
MSN
的
Message
的支持能力以及對(duì)于手機(jī)短信
SMS
的消息擴(kuò)展支持的能力。這樣就可以形成一整套完整的消息相應(yīng)機(jī)制,實(shí)現(xiàn)統(tǒng)一的消息管理。
|