UTrust統(tǒng)一身份認(rèn)證和單點(diǎn)登錄系統(tǒng)技術(shù)白皮書3.0

1、UTrustSSO 統(tǒng)一身份認(rèn)證和單點(diǎn)登錄平臺(tái)技術(shù)白皮書Version 4.0神州融信信息技術(shù).chinautrust.目錄1為什么需要單點(diǎn)登錄 .32單點(diǎn)登錄技術(shù).43UTRUST SSO簡(jiǎn)介 .44UTRUST SSO功能 .54.1.SSO 單點(diǎn)登錄 .64.1.1基于 B/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)單點(diǎn)登錄 .64.1.2基于 C/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)單點(diǎn)登錄 .74.1.3與 Windows 域結(jié)合的單點(diǎn)登錄 .74.2.統(tǒng)一身份管理 .74.2.1.多種身份認(rèn)證方式 .74.2.2.統(tǒng)一用戶身份認(rèn)證 .74.2.3.統(tǒng)一用戶身份管理 .84.3.統(tǒng)一授權(quán)管理 .94.3.1.訪問(wèn)資源管理 .

2、94.3.2.訪問(wèn)策略管理 .94.3.3.分級(jí)授權(quán)管理 .94.4.統(tǒng)一審計(jì).94.5.安全管理.105UTRUST SSO特點(diǎn) .106UTRUST SSO解決方案 .111、部署 UTrust SSO112、應(yīng)用系統(tǒng)整合.3、門戶集成方案.4、UTrust SSO 實(shí)施效益.1213141 為什么需要統(tǒng)一認(rèn)證和單點(diǎn)登錄企事業(yè)經(jīng)過(guò)多年的信息化建設(shè)，已經(jīng)形成了一大批比較成熟的應(yīng)用系統(tǒng)，其涉及的應(yīng)用面覆蓋了企事業(yè)的大部分生產(chǎn)或業(yè)務(wù)，政府部門包括辦公系統(tǒng)，人事系統(tǒng)，財(cái)務(wù)系統(tǒng)、信息管理系統(tǒng)等，對(duì)于企業(yè)還有生產(chǎn)調(diào)度系統(tǒng)、勞資管理系統(tǒng)、設(shè)備管理系統(tǒng)、PDM 或 ERP 系統(tǒng)等。由于歷史的原因，各應(yīng)用系

3、統(tǒng)在開(kāi)發(fā)的初期都是獨(dú)立進(jìn)行的，造成了彼此之間操作上的割裂和數(shù)據(jù)之間通信的割斷。每一個(gè)系統(tǒng)都需要用戶輸入用戶名和密碼才能登錄。隨著業(yè)務(wù)的發(fā)展，企事業(yè)將來(lái)會(huì)增加到幾十個(gè)應(yīng)用系統(tǒng)在網(wǎng)上運(yùn)行。尤其對(duì)于一些權(quán)限較高或是涉及業(yè)務(wù)較多的用戶，如果每一個(gè)系統(tǒng)都需要他們進(jìn)行密碼的驗(yàn)證， 那么用戶使用系統(tǒng)的不便性是可想而知的。因此經(jīng)常會(huì)有一些用戶將多個(gè)系統(tǒng)設(shè)置成同一密碼或是將記不住的密碼寫在紙上貼在桌子上，這樣，對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)存在著極大的安全隱患，使一些別有用心的工作人員有機(jī)會(huì)利用他人密碼登錄系統(tǒng)，進(jìn)行非法操作，也會(huì)給發(fā)生重大事故后的責(zé)任追查帶來(lái)困難。并且隨著企業(yè)控要求的加強(qiáng)，需要企業(yè)部應(yīng)用系統(tǒng)加強(qiáng)密碼管理，每

4、一個(gè)應(yīng)用系統(tǒng)都需要在三個(gè)月更換一次密碼，記不住密碼變得經(jīng)常發(fā)生。而系統(tǒng)管理員的也被拖入了繁瑣的重置用戶密碼的工作之中，無(wú)形中增加了管理員的Help Desk工作。針對(duì)于上述情況，企事業(yè)單位需要建設(shè)一個(gè)單點(diǎn)登錄平臺(tái)，通過(guò)一次認(rèn)證登錄后就可訪問(wèn)所有有權(quán)訪問(wèn)的應(yīng)用系統(tǒng)，避免頻繁登錄，并且能夠保證用戶身份的合法性和唯一性，對(duì)于應(yīng)用系統(tǒng)的訪問(wèn)建立一套完整的安全防護(hù)和用戶管理機(jī)制， 當(dāng)然在 IT 信息化規(guī)劃初期建立這一平臺(tái)是較好的考慮，以解決如下問(wèn)題：如何避免記憶多個(gè)密碼？如何避免頻繁登錄？如何確保用戶身份的唯一性，確保系統(tǒng)訪問(wèn)的安全性？如何減少 help-desk 花費(fèi)在用戶上的時(shí)間？如何為新建系統(tǒng)架構(gòu)

5、統(tǒng)一用戶身份和認(rèn)證平臺(tái)？如何對(duì)企業(yè)各應(yīng)用系統(tǒng)的訪問(wèn)進(jìn)行監(jiān)控和跟蹤，確保訪問(wèn)的安全性？如何不更改用戶應(yīng)用程序的情況下實(shí)現(xiàn)上述需求？如何在異構(gòu)的環(huán)境中實(shí)現(xiàn)上述的需求？2 單點(diǎn)登錄技術(shù)單點(diǎn)登錄簡(jiǎn)稱SSO ， SSO 的定義是在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。它無(wú)需用戶記憶多個(gè)用戶名、密碼，也無(wú)需用戶進(jìn)行多次登錄訪問(wèn)應(yīng)用系統(tǒng)。從用戶角度來(lái)看，單點(diǎn)登錄解決了他們記憶多個(gè)用戶名、密碼的煩惱，解除了使用多個(gè)應(yīng)用系統(tǒng)必須進(jìn)行多次認(rèn)證的重復(fù)勞動(dòng)。從系統(tǒng)管理員來(lái)看，單點(diǎn)登錄和統(tǒng)一認(rèn)證系統(tǒng)可以使他們從繁瑣的賬號(hào)密碼管理工作中解脫出來(lái)， 不必每天為用戶重置密碼而苦惱，使 IT 人員

6、真正的發(fā)揮他們?cè)趩挝恢械淖饔?。從?yīng)用開(kāi)發(fā)商角度來(lái)看，單點(diǎn)登錄和統(tǒng)一認(rèn)證使他們不必再開(kāi)發(fā)身份認(rèn)證模塊，從而可以把更多精力投入到具體業(yè)務(wù)流程開(kāi)發(fā)中。從企業(yè)管理角度來(lái)看，單點(diǎn)登錄和統(tǒng)一認(rèn)證提高了員工的工作效率，減少了管理成本，提高了企業(yè)信息系統(tǒng)的安全性，也節(jié)約了后續(xù)開(kāi)發(fā)系統(tǒng)的成本，提高了經(jīng)濟(jì)效益。3 UTrust SSO簡(jiǎn)介面對(duì)用戶的重復(fù)登錄和系統(tǒng)管理員的繁瑣工作，UTrust SSO 單點(diǎn)登錄平臺(tái)提供了完善的解決方案，在異構(gòu)的 IT 系統(tǒng)中實(shí)現(xiàn)集中和便捷的身份認(rèn)證、單點(diǎn)登錄、身份管理，資源管理和集中審計(jì)，以滿足企業(yè)對(duì)信息系統(tǒng)使用的方便性和安全管理的需求。國(guó)領(lǐng)先的支持 C-S 和 B-S 架構(gòu)的單點(diǎn)

7、登錄實(shí)現(xiàn)機(jī)制UTrust SSO （ Single sign-on）系統(tǒng)是針對(duì)國(guó)企業(yè)信息化發(fā)展現(xiàn)狀而開(kāi)發(fā)的應(yīng)用系統(tǒng)管理軟件。它擯棄了傳統(tǒng)的單點(diǎn)登錄技術(shù)的實(shí)現(xiàn)方式，拋棄了系統(tǒng)改造，應(yīng)用大包大攬的整合方案，采用“即插即用” 方式，達(dá)到“ 一點(diǎn)登錄，全網(wǎng)漫游 ”的訪問(wèn)機(jī)制。其實(shí)現(xiàn)方式與應(yīng)用系統(tǒng)的操作平臺(tái)、開(kāi)發(fā)平臺(tái)、開(kāi)發(fā)語(yǔ)言、數(shù)據(jù)庫(kù)、Web服務(wù)器無(wú)關(guān)?？梢栽诓桓淖儸F(xiàn)有軟硬件及網(wǎng)絡(luò)環(huán)境的前提下，無(wú)縫地將用戶各種現(xiàn)有的應(yīng)用系統(tǒng)整合到單點(diǎn)登錄平臺(tái)上，實(shí)現(xiàn)一次登錄后就可訪問(wèn)所有的應(yīng)用系統(tǒng)。真正體現(xiàn)了與“應(yīng)用無(wú)關(guān)” 的完美集成概念。4 UTrust SSO原理4.1.后置代理這種 SSO 實(shí)現(xiàn)原理是， SSO

8、系統(tǒng)提供各種 API ， Agent 代理，對(duì)原有應(yīng)用系統(tǒng)進(jìn)行認(rèn)證改造，改變?cè)袘?yīng)用系統(tǒng)的認(rèn)證方式，或是對(duì)新建系統(tǒng)提供認(rèn)證接口，同時(shí)采用認(rèn)證服務(wù)器提供的技術(shù)進(jìn)行身份認(rèn)證。在修改應(yīng)用的技術(shù)方案中，每個(gè)應(yīng)用服務(wù)器中都需要安裝一個(gè)代理程序完成用戶的身份認(rèn)證工作。當(dāng)用戶訪問(wèn)目標(biāo)應(yīng)用服務(wù)器時(shí)，代理程序向SSO服務(wù)器詢問(wèn)該用戶是否已經(jīng)登錄，如果是，則代理程序從SSO 服務(wù)器中取得該用戶的用戶信息自動(dòng)登錄該應(yīng)用系統(tǒng)。登錄成功后，用戶直接訪問(wèn)該目標(biāo)服務(wù)器。如果未曾登錄過(guò)任何應(yīng)用服務(wù)器，則該應(yīng)用要求用戶進(jìn)行身份認(rèn)證，認(rèn)證結(jié)束后，代理程序?qū)⒄J(rèn)證結(jié)果發(fā)送給SSO 服務(wù)器。4.2.即插即用即插即用解決方案， 它對(duì)企業(yè)

9、部的各種應(yīng)用程序不進(jìn)行修改， 通過(guò)系統(tǒng)配置的工作來(lái)實(shí)現(xiàn)。它的實(shí)現(xiàn)機(jī)制采用二次登錄技術(shù)，與原有系統(tǒng)的開(kāi)發(fā)語(yǔ)言，操作系統(tǒng)，數(shù)據(jù)庫(kù)，應(yīng)用平臺(tái)類型等無(wú)關(guān)。 這種解決方案在認(rèn)證服務(wù)器上保存用戶所有應(yīng)用系統(tǒng)的用戶名 /口令信息列表， 認(rèn)證服務(wù)器上采用透明轉(zhuǎn)發(fā)機(jī)制，自動(dòng)幫用戶實(shí)現(xiàn)登錄過(guò)程。它的基本工作原理為：首先針對(duì)每個(gè)應(yīng)用系統(tǒng)進(jìn)行配置，產(chǎn)生一個(gè)配置文件；用戶登錄到單點(diǎn)登錄服務(wù)器上；用戶訪問(wèn)應(yīng)用系統(tǒng)時(shí)，單點(diǎn)登錄服務(wù)器調(diào)用對(duì)應(yīng)于該應(yīng)用的配置文件，將對(duì)應(yīng)該應(yīng)用的用戶認(rèn)證信息（用戶名 /口令）取出，代理用戶登錄應(yīng)用系統(tǒng)；登錄成功后，用戶可以訪問(wèn)應(yīng)用系統(tǒng)。5 UTrust SSO功能系統(tǒng)功能結(jié)構(gòu)如下圖所示：4.3.

10、SSO 單點(diǎn)登錄用戶只需登錄一次就可訪問(wèn)其所有有權(quán)訪問(wèn)的系統(tǒng)。當(dāng)用戶持有的USB Key 、數(shù)字證書或是靜態(tài)密碼通過(guò)統(tǒng)一認(rèn)證平臺(tái)的認(rèn)證后，即可訪問(wèn)其有權(quán)限的所有應(yīng)用系統(tǒng)，用戶無(wú)需再輸入原有系統(tǒng)的登錄密碼，后臺(tái)的各應(yīng)用系統(tǒng)上的用戶名和密碼可以不相同。簡(jiǎn)化了用戶的登錄過(guò)程，節(jié)省了在各系統(tǒng)間工作切換浪費(fèi)的時(shí)間。而且也無(wú)需再記憶大量的密碼，方便用戶對(duì)系統(tǒng)的訪問(wèn)?；?B/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)單點(diǎn)登錄對(duì)于B/S結(jié)構(gòu)應(yīng)用系統(tǒng)，用戶只需通過(guò)瀏覽器界面登錄一次，即可通過(guò)UTrust SSO單點(diǎn)登錄系統(tǒng)訪問(wèn)后臺(tái)的多個(gè)用戶權(quán)限的Web應(yīng)用系統(tǒng)，無(wú)需逐一輸入用戶名、密碼登錄。對(duì)于B/S結(jié)構(gòu)的單點(diǎn)登錄實(shí)現(xiàn)采用透明轉(zhuǎn)發(fā)技

11、術(shù)，對(duì)系統(tǒng)無(wú)需改造。與后臺(tái)系統(tǒng)的開(kāi)發(fā)平臺(tái)，開(kāi)發(fā)結(jié)構(gòu)沒(méi)有任何關(guān)系?；?C/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)單點(diǎn)登錄對(duì)于C/S結(jié)構(gòu)應(yīng)用系統(tǒng)，通過(guò)安裝UTrust SSO客戶端， 來(lái)實(shí)現(xiàn)對(duì)C/S系統(tǒng)的單點(diǎn)登錄。用戶輸入一次用戶名、密碼后，即可訪問(wèn)所有被授權(quán)的C/S結(jié)構(gòu)的應(yīng)用系統(tǒng)資源。無(wú)需對(duì)C/S結(jié)構(gòu)的應(yīng)用系統(tǒng)進(jìn)行改造，通過(guò)系統(tǒng)配置的方式實(shí)現(xiàn)。與Windows域結(jié)合的單點(diǎn)登錄UTrust SSO 4.0 可以與 Windows 統(tǒng)一身份認(rèn)證平臺(tái)中的用戶身份直接使用域進(jìn)行整合， 不需另行單獨(dú)維護(hù)自己的用戶信息，UTrustAD 域中的用戶身份信息，UTrustSSO 系統(tǒng)實(shí)現(xiàn)對(duì)用戶的部分的劃分，角色的劃分。UTru

12、stSSO與AD域之間實(shí)現(xiàn)了單點(diǎn)登錄，當(dāng)用戶登錄AD域后，用戶無(wú)需再登錄，就可訪問(wèn)其所有有權(quán)限訪問(wèn)的系統(tǒng)，無(wú)需再次輸入用戶名和密碼。4.4.統(tǒng)一身份認(rèn)證多種身份認(rèn)證方式單點(diǎn)登錄是一次登錄后就能訪問(wèn)所有的系統(tǒng)，因此對(duì)于用戶的身份認(rèn)證方式要求較高，確保單點(diǎn)登錄安全性的重要因素是對(duì)用戶實(shí)行增強(qiáng)的身份認(rèn)證方式，以免用戶的密碼被盜取后，所有的應(yīng)用系統(tǒng)面臨被他人非法訪問(wèn)的危險(xiǎn)。因此，面對(duì)傳統(tǒng)的靜態(tài)密碼的各種不安全問(wèn)題，UTrustSSO采用基于PKI技術(shù)的增強(qiáng)身份認(rèn)證方式。支持?jǐn)?shù)字證書認(rèn)證，并可使用軟證書或是USBKey電子鑰匙等認(rèn)證多種身份認(rèn)證方式。結(jié)合UTrust CA數(shù)字證書認(rèn)證系統(tǒng)，可以為用戶分配

13、數(shù)字證書，對(duì)用戶密鑰進(jìn)行安全管理。并且系統(tǒng)也支持第三方CA認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書。除了數(shù)字證書認(rèn)證方式之外，同時(shí)也保留靜態(tài)密碼認(rèn)證，并且為其他認(rèn)證方式如動(dòng)態(tài)密碼認(rèn)證，短信認(rèn)證等預(yù)留接口，以適應(yīng)企業(yè)的不同發(fā)展階段的安全需求。統(tǒng)一用戶身份認(rèn)證UTrustSSO 采用輕量目錄存取服務(wù)LDAP 來(lái)建構(gòu)統(tǒng)一用戶信息數(shù)據(jù)庫(kù)，它以樹狀的層次結(jié)構(gòu)來(lái)存儲(chǔ)數(shù)據(jù)， 實(shí)現(xiàn)對(duì)服務(wù)、 組織、人員、組、策略以及其他資源的集中、分層、分組管理。 LDAP作為一個(gè)公開(kāi)和開(kāi)放的目錄服務(wù)標(biāo)準(zhǔn)，已成為未來(lái)身份認(rèn)證和身份管理的標(biāo)準(zhǔn)，具有很好的互操作性和兼容性，可以為企業(yè)搭建一個(gè)統(tǒng)一身份認(rèn)證和管理框架，UTrustSSO 采用 LDAP

14、 技術(shù)，并提供開(kāi)發(fā)接口給新建系統(tǒng)，可為后續(xù)新的應(yīng)用系統(tǒng)開(kāi)發(fā)提供了統(tǒng)一的身份認(rèn)證平臺(tái)和標(biāo)準(zhǔn)。統(tǒng)一用戶身份管理UTrust SSO 4.0可以結(jié)合UTrust IDM用戶賬號(hào)同步管理模塊，將用戶的身份信息和密碼同步到各個(gè)系統(tǒng)的數(shù)據(jù)庫(kù)中，系統(tǒng)管理員在一個(gè)平臺(tái)上統(tǒng)一管理用戶在各個(gè)系統(tǒng)中的賬號(hào)和密碼。UTrustSSO管理平臺(tái)對(duì)用戶身份信息進(jìn)行統(tǒng)一的管理。不僅管理方便，也防止過(guò)期的用戶身份信息未及時(shí)刪除給企業(yè)資產(chǎn)帶來(lái)的安全風(fēng)險(xiǎn)。在人員離職、 崗位變動(dòng)時(shí)， 只需在 UTrust SSO管理中心一處更改，即可限制其訪問(wèn)權(quán)限，消除對(duì)后臺(tái)系統(tǒng)非法訪問(wèn)的威脅。用戶自注冊(cè)管理根據(jù)定制的策略，最終用戶可以自助完成某些

15、工作，無(wú)需管理員介入，包括用戶主賬號(hào)和二級(jí)賬號(hào)自注冊(cè)、密碼丟失重置和個(gè)人管理等，從而提高了工作和管理效率。用戶批量導(dǎo)入導(dǎo)出管理對(duì)于用戶可以批量導(dǎo)入導(dǎo)出，將大量用戶通過(guò)工具導(dǎo)入到UTrustSSO 服務(wù)器中，同時(shí)也可以在 UTrust SSO的用戶管理界面將用戶分類導(dǎo)出報(bào)表，以便管理用戶。4.5.統(tǒng)一授權(quán)管理訪問(wèn)資源管理在 UTrust SSO 平臺(tái)上注冊(cè)企業(yè)或組織所有需要保護(hù)的應(yīng)用系統(tǒng)，對(duì)其進(jìn)行描述，管理。列出每一個(gè)應(yīng)用系統(tǒng)下所具有的用戶情況。在每個(gè)系統(tǒng)下查詢用戶情況，以直觀的方式顯示每一個(gè)資源下有權(quán)訪問(wèn)的用戶信息。并對(duì)所有用戶進(jìn)行統(tǒng)一的授權(quán)。采用基于角色的授權(quán)機(jī)制，按照企業(yè)部的組織結(jié)構(gòu)劃分角

16、色，并為用戶綁定角色。對(duì)于不同的角色分配不同的應(yīng)用系統(tǒng)，以決定其是否可以訪問(wèn)還是不能訪問(wèn)某個(gè)系統(tǒng)。授權(quán)后，在單點(diǎn)登錄平臺(tái)上將只會(huì)顯示其有權(quán)訪問(wèn)的系統(tǒng)。訪問(wèn)策略管理為不同的角色定制不同的訪問(wèn)策略。訪問(wèn)策略包括可以訪問(wèn)的資源和訪問(wèn)控制規(guī)則。訪問(wèn)規(guī)則設(shè)置靈活，如按時(shí)間段，按網(wǎng)段等。能夠根據(jù)不同的情況定制不同的策略，對(duì)各種不同情況進(jìn)行訪問(wèn)控制。針對(duì)不同類型的用戶提供了簡(jiǎn)單策略管理和高級(jí)策略管理兩種模式，滿足了易用性和靈活性。分級(jí)授權(quán)管理UTrust SSO 4.0可對(duì)用戶進(jìn)行分級(jí)管理，設(shè)定不同級(jí)別的系統(tǒng)管理員，本級(jí)的管理員只能管理本級(jí)的用戶，并為用戶分配權(quán)限，不能管理其他組的用戶。超級(jí)管理員可以管理所

17、有的用戶。解除了總部管理員的管理負(fù)擔(dān)，明確管理職責(zé)，方便企業(yè)的用戶管理工用。4.6.統(tǒng)一審計(jì)UTrustSSO提供了統(tǒng)一審計(jì)功能，審計(jì)用戶對(duì)應(yīng)用系統(tǒng)訪問(wèn)的情況，為后續(xù)發(fā)生事故時(shí)提供了一個(gè)可追查的機(jī)制。為管理員提供了一個(gè)統(tǒng)一的監(jiān)控平臺(tái)。審計(jì)容： 管理員對(duì)UTrust 系統(tǒng)的管理行為；普通用戶的訪問(wèn)行為；UTrust 系統(tǒng)的運(yùn)行情況。UTrustSSO提供強(qiáng)大的查詢功能，可以按異常事件查詢，也可以按一般事件組合查詢。并對(duì)審計(jì)信息進(jìn)行分析統(tǒng)計(jì)，其結(jié)果以報(bào)表或圖形的方式進(jìn)行展現(xiàn)，以利于安全事件的快速、直觀把握。通過(guò)對(duì)保存的審計(jì)信息數(shù)據(jù)進(jìn)行簽名處理，可以防止人為修改系統(tǒng)記錄下來(lái)的審計(jì)容。一旦發(fā)現(xiàn)審計(jì)容被

18、修改，審計(jì)信息將會(huì)出現(xiàn)特殊標(biāo)識(shí)，以直觀的方式呈現(xiàn)給管理人員。4.7.安全管理1) 基于 Web 的管理端，管理設(shè)置靈活簡(jiǎn)單。在任何地點(diǎn)都可進(jìn)行實(shí)時(shí)管理；2) 強(qiáng)身份認(rèn)證保護(hù)，管理員需要使用數(shù)字證書登錄后才能進(jìn)行相應(yīng)操作；3) 采用了 SSL 連接，實(shí)現(xiàn)安全的遠(yuǎn)程管理，對(duì)敏感信息具有很好的性和安全性。6 UTrust SSO特點(diǎn)1) 應(yīng)用無(wú)關(guān)性保護(hù)所有類型的應(yīng)用系統(tǒng)，可以保護(hù)基于各種協(xié)議，平臺(tái)和開(kāi)發(fā)語(yǔ)言的應(yīng)用系統(tǒng)，無(wú)論是B/S結(jié)構(gòu)的還是C/S 結(jié)構(gòu)的。2) 即插即用無(wú)需對(duì)系統(tǒng)做任何改造，保持現(xiàn)有的軟硬件及網(wǎng)絡(luò)環(huán)境不變保持用戶原有的使用習(xí)慣3) 高安全性基于數(shù)字證書的強(qiáng)身份認(rèn)證機(jī)制，通過(guò) UTru

19、st-CA數(shù)字證書認(rèn)證系統(tǒng)為用戶發(fā)放數(shù)字證書（見(jiàn) UTrust-CA系統(tǒng)技術(shù)白皮書） ，同時(shí)兼容第三方CA 認(rèn)證機(jī)構(gòu)頒發(fā)的證書。自帶防火墻安全防機(jī)制，以確保系統(tǒng)本身的安全性和業(yè)務(wù)系統(tǒng)的安全性。移動(dòng)用戶可使用加密機(jī)制，將用戶訪問(wèn)部系統(tǒng)時(shí)在網(wǎng)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，實(shí)現(xiàn)安全的遠(yuǎn)程訪問(wèn)。4) 高可靠性對(duì)于大用戶量的訪問(wèn)，UTrustSSO支持主備部署方式，以避免單點(diǎn)故障。用戶可以在網(wǎng)部署多臺(tái)UTrust SSO服務(wù)器，以平衡不同服務(wù)器之間的認(rèn)證請(qǐng)求。5) 可擴(kuò)展性對(duì)于用戶的需求，可以定制開(kāi)發(fā)，按企事業(yè)自身的特點(diǎn)和實(shí)際情況實(shí)現(xiàn)不同的功能。提供不同的開(kāi)發(fā)API ，使用認(rèn)證API 可以將應(yīng)用系統(tǒng)的認(rèn)證被

20、UTrust 系統(tǒng)整合。 并為其他認(rèn)證方式，如動(dòng)態(tài)密碼認(rèn)證，預(yù)留接口等，以適應(yīng)企業(yè)的認(rèn)證需求。對(duì)于新建設(shè)的應(yīng)用系統(tǒng)提供開(kāi)放的標(biāo)準(zhǔn)的接口規(guī)，在此標(biāo)準(zhǔn)指導(dǎo)下，可將應(yīng)用完全納入U(xiǎn)Trust 平臺(tái)的統(tǒng)一管理中，實(shí)現(xiàn)統(tǒng)一認(rèn)證，單點(diǎn)登錄。6) 跨平臺(tái)性基于 J2EE 技術(shù)：系統(tǒng)基于J2EE 技術(shù)開(kāi)發(fā)，與平臺(tái)無(wú)關(guān)，可以方便的在任何操作系統(tǒng)上實(shí)施，與其他系統(tǒng)具有很好的兼容性?；?LDAP 技術(shù)：提供了強(qiáng)大的跨平臺(tái)性和跨應(yīng)用管理能力，為企業(yè)其他系統(tǒng)共享資源提供基礎(chǔ)。也便于其他應(yīng)用系統(tǒng)采用同一標(biāo)準(zhǔn)開(kāi)發(fā)納入統(tǒng)一認(rèn)證管理平臺(tái)。7 UTrust SSO解決方案1、部署 UTrust SSOUTrust SSO系統(tǒng)網(wǎng)絡(luò)

21、部署圖UTrust SSO的部署不影響網(wǎng)絡(luò)結(jié)構(gòu)，通過(guò)地址映射與各應(yīng)用系統(tǒng)進(jìn)行結(jié)合。UTrust SSO自帶防火墻功能， 或是部署在企事業(yè)部網(wǎng)絡(luò)的防火墻之后，以保證 UTrust SSO自身和部應(yīng)用系統(tǒng)的安全性。對(duì)于大用戶量訪問(wèn)時(shí)可使用雙機(jī)熱備部署。同時(shí)可以選擇部署UTrust CA系統(tǒng)，頒發(fā)數(shù)字證書， 實(shí)現(xiàn)增強(qiáng)的身份認(rèn)證方式和加密處理。可單獨(dú)部署LDAP 目錄服務(wù)器，作為企業(yè)部用戶進(jìn)行統(tǒng)一身份信息存儲(chǔ)和管理工具。也可利用 UTrust SSO自帶的 LDAP 用戶信息目錄服務(wù)器，與UTrust SSO服務(wù)器部屬在一臺(tái)服務(wù)器上。2、應(yīng)用系統(tǒng)整合企業(yè)單點(diǎn)登錄的需求一般是已經(jīng)建立了多個(gè)應(yīng)用系統(tǒng)，而且

22、開(kāi)發(fā)公司不一，開(kāi)發(fā)平臺(tái)不一，互相形成了獨(dú)立的異構(gòu)系統(tǒng)。傳統(tǒng)的單點(diǎn)登錄解決方案需要對(duì)原有系統(tǒng)進(jìn)行改造才能實(shí)現(xiàn)，但是由于企事業(yè)單位所建系統(tǒng)時(shí)間已久，有些原開(kāi)發(fā)公司已無(wú)法找到相關(guān)的人員進(jìn)行配合改造，因此，經(jīng)常是單點(diǎn)登錄工程拖的時(shí)間久，花費(fèi)的錢無(wú)法預(yù)計(jì)，經(jīng)常做到一半時(shí)已無(wú)法進(jìn)行下去。并且開(kāi)發(fā)改造嚴(yán)重影響了原有業(yè)務(wù)系統(tǒng)操作人員的工作。UTrust SSO對(duì)原有系統(tǒng)的整合方案根據(jù)國(guó)企事業(yè)單位這種現(xiàn)狀，對(duì)異構(gòu)系統(tǒng)實(shí)現(xiàn)SSO提出了全新的完善的解決方案，對(duì)原有系統(tǒng)不改造，采用系統(tǒng)配置的方式來(lái)將原有系統(tǒng)與UTrust SSO平臺(tái)進(jìn)行結(jié)合。配置容簡(jiǎn)單，易操作，具體如下：網(wǎng)絡(luò)配置；應(yīng)用系統(tǒng)名稱；應(yīng)用系統(tǒng)IP地址和端口

23、；應(yīng)用系統(tǒng)上用戶信息；用戶單點(diǎn)登錄信息；用戶授權(quán)。通過(guò)這種簡(jiǎn)單的配置工作， 就可將企事業(yè)單位的所有應(yīng)用系統(tǒng)完全整合到 UTrust SSO 平臺(tái)上，無(wú)論是基于 Web 方式的 B/S 結(jié)構(gòu)應(yīng)用系統(tǒng)，還是安裝客戶端的基于 C/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)。尤其對(duì)于 C/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)，通過(guò)安裝 UTrust SSO 客戶端來(lái)實(shí)現(xiàn)單點(diǎn)登錄，無(wú)需修改任何應(yīng)用程序，透明的為用戶實(shí)現(xiàn)登錄過(guò)程。UTrustSSO與新建系統(tǒng)集成非常簡(jiǎn)單，它提供了認(rèn)證接口，給新開(kāi)發(fā)的應(yīng)用系統(tǒng)使用，新開(kāi)發(fā)的應(yīng)用系統(tǒng)通過(guò)調(diào)用 UTrust 的認(rèn)證接口，可以實(shí)現(xiàn)與 UTrust SSO 系統(tǒng)的集成，用戶在 UTrust SSO 系統(tǒng)上通

24、過(guò)一次認(rèn)證后， 就可以被與其接口的應(yīng)用系統(tǒng)認(rèn)可， 當(dāng)用戶訪問(wèn)應(yīng)用系統(tǒng)時(shí)不需再進(jìn)行認(rèn)證，就可直接進(jìn)入應(yīng)用系統(tǒng)進(jìn)行訪問(wèn)操作。UTrustSSO 為新系統(tǒng)的建設(shè)提供一個(gè)統(tǒng)一的身份認(rèn)證，授權(quán)，和用戶管理平臺(tái)和標(biāo)準(zhǔn)，新系統(tǒng)只注重業(yè)務(wù)流程開(kāi)發(fā)，而無(wú)需再建獨(dú)立的用戶數(shù)據(jù)庫(kù)。為企事業(yè)單位規(guī)劃了一個(gè)統(tǒng)一的身份認(rèn)證，統(tǒng)一用戶管理，統(tǒng)一授權(quán)管理，統(tǒng)一資源管理和單點(diǎn)登錄平臺(tái)。3、門戶集成方案UTrustSSO系統(tǒng)在企事業(yè)門戶建設(shè)中也可提供完善的解決方案。如企業(yè)門戶，校園門戶，政府門戶， 建設(shè)這些門戶系統(tǒng)時(shí)，UTrust SSO整合各應(yīng)用系統(tǒng)，實(shí)現(xiàn)單點(diǎn)登錄功能。結(jié)合 UTrustSSO ，各行業(yè)或單位可根據(jù)自身的情況，還可實(shí)現(xiàn)不同程度的門戶解決方案。1) 簡(jiǎn)單門戶解決方案利用 UTrustSSO 的門戶平臺(tái)來(lái)實(shí)現(xiàn)簡(jiǎn)單的門戶實(shí)現(xiàn)方式，將企事業(yè)各系統(tǒng)或是個(gè)人個(gè)性系統(tǒng)顯示在 UTrustSSO 平臺(tái)頁(yè)面上，用戶通過(guò)UTrustSSO 登錄界面的一次認(rèn)證后，就可看到其有權(quán)訪問(wèn)的一些應(yīng)用系統(tǒng)列表，訪問(wèn)時(shí)直接點(diǎn)擊就可進(jìn)入。2) 與部系統(tǒng)結(jié)合門戶解決方案企事業(yè)單位中一般經(jīng)常訪問(wèn)的是辦公系統(tǒng)，或是企業(yè)部系統(tǒng)，UTrustSSO 還可以與單位原有的辦公系統(tǒng)進(jìn)行整合，將辦公系統(tǒng)登錄與UTrustSSO 主登錄集成，并將其他應(yīng)用系統(tǒng)到辦公平臺(tái)，形成辦公門戶。將部系統(tǒng)上其他應(yīng)用系統(tǒng)，當(dāng)用戶在上登錄后，