統(tǒng)一身份認(rèn)證設(shè)計(jì)方案

統(tǒng)一身份認(rèn)證設(shè)計(jì)方名目\l“_TOC_250018“系統(tǒng)總體設(shè)計(jì) 4\l“_TOC_250017“總體設(shè)計(jì)思想 4\l“_TOC_250016“平臺總體介紹 4\l“_TOC_250015“平臺總體規(guī)律構(gòu)造 6\l“_TOC_250014“平臺總體部署 6\l“_TOC_250013“平臺功能說明 7\l“_TOC_250012“集中用戶治理 7\l“_TOC_250011“治理效勞對象 8用戶身份信息設(shè)計(jì) 9用戶類型 9身份信息模型 10身份信息的存儲 11用戶生命周期治理 11用戶身份信息的維護(hù) 12\l“_TOC_250010“集中證書治理 12\l“_TOC_250009“集中證書治理功能特點(diǎn) 12\l“_TOC_250008“集中授權(quán)治理 14\l“_TOC_250007“集中授權(quán)應(yīng)用背景 14\l“_TOC_250006“集中授權(quán)治理對象 15\l“_TOC_250005“集中授權(quán)的工作原理 16\l“_TOC_250004“集中授權(quán)模式 16\l“_TOC_250003“細(xì)粒度授權(quán) 17\l“_TOC_250002“角色的繼承 17集中認(rèn)證治理 19\l“_TOC_250001“集中認(rèn)證治理特點(diǎn) 19\l“_TOC_250000“身份認(rèn)證方式 20用戶名/口令認(rèn)證 20數(shù)字證書認(rèn)證 20Windows域認(rèn)證 21通行碼認(rèn)證 21認(rèn)證方式與安全等級 22身份認(rèn)證相關(guān)協(xié)議 22SSL協(xié)議 22Windows域 22SAML協(xié)議 23集中認(rèn)證系統(tǒng)主要功能 25單點(diǎn)登錄 25單點(diǎn)登錄技術(shù) 25單點(diǎn)登錄實(shí)現(xiàn)流程 28集中審計(jì)治理 31系統(tǒng)總體設(shè)計(jì)為了加強(qiáng)對業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)的安全管控，提高信息化安全治理水平，我們設(shè)計(jì)了基于PKI/CA技術(shù)為根底架構(gòu)的統(tǒng)一身份認(rèn)證效勞平臺。總體設(shè)計(jì)思想為實(shí)現(xiàn)構(gòu)建針對人員帳戶治理層面和應(yīng)用層面的、全面完善的安全管控需要，我們將依據(jù)如下設(shè)計(jì)思想為設(shè)計(jì)并實(shí)施統(tǒng)一身份認(rèn)證效勞平臺解決方案：在內(nèi)部建設(shè)基于PKI/CA技術(shù)為根底架構(gòu)的統(tǒng)一身份認(rèn)證效勞平臺，通過集中證書治理、集中賬戶治理、集中授權(quán)治理、集中認(rèn)證治理和集中審計(jì)治理等應(yīng)用模塊實(shí)現(xiàn)所提出的員工帳戶統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心目標(biāo)。供給現(xiàn)有統(tǒng)一門戶系統(tǒng)，通過集成單點(diǎn)登錄模塊和調(diào)用統(tǒng)一身份認(rèn)證平臺效勞，實(shí)現(xiàn)針對不同的用戶登錄，可以呈現(xiàn)不同的內(nèi)容。可以依據(jù)用戶的關(guān)注點(diǎn)不同來為用戶供給定制桌面的功能。建立統(tǒng)一身份認(rèn)證效勞平臺，通過使用唯一身份標(biāo)識的數(shù)字證書即可登錄全部應(yīng)用系統(tǒng)，具有良好的擴(kuò)展性和可集成性。供給基于LDAP名目效勞的統(tǒng)一賬戶治理平臺，通過LDAP中主、從賬戶的映射關(guān)系，進(jìn)展應(yīng)用系統(tǒng)級的訪問把握和用戶生命周期維護(hù)治理功能。用戶證書保存在USBKEY中，保證證書和私鑰的安全，并滿足移動辦公的安全需求。平臺總體介紹以PKI/CA統(tǒng)供給效勞。如以下圖，統(tǒng)一信任治理平臺各組件之間是松耦合關(guān)系，相互支撐又相互獨(dú)立，具體功能如下：集中用戶治理系統(tǒng)：完成各系統(tǒng)的用戶信息整合，實(shí)現(xiàn)用戶生命周期的集中統(tǒng)一治理，并建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡化用戶及其賬號的治理簡潔度，降低系統(tǒng)治理的安全風(fēng)險。〔RA〕〔USB-Key〕治理支持第三方電子認(rèn)證效勞。態(tài)口要登錄一次就可以訪問全部相互信任的應(yīng)用系統(tǒng)。術(shù)，實(shí)現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈敏的訪問把握和授權(quán)治理功能，提高治理效率。授權(quán)治理的審計(jì)信息，支持應(yīng)用系統(tǒng)、用戶登錄、治理操作等審計(jì)治理。平臺總體規(guī)律構(gòu)造總體規(guī)律構(gòu)造圖如下所示：LDAP統(tǒng)一信任治理平臺效勞系統(tǒng)〔身份治理、單點(diǎn)登錄、訪問把握、責(zé)任界定〕外部證認(rèn)授證認(rèn)授審書證權(quán)計(jì)管管管管理理理理關(guān)服域務(wù)效勞等統(tǒng)一信任治理平臺業(yè)務(wù)系統(tǒng)PKI根底效勞、加解密效勞、SAML協(xié)PKI根底效勞、加解密效勞、SAML協(xié)議等國際成熟WEB過濾器、安全的前提下，更好的實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)整合和內(nèi)容整合。平臺總體部署任治理效勞。授權(quán)治理、集中認(rèn)證治理和集中審計(jì)治理等功能效勞模塊統(tǒng)一部署和安裝在LDAP名目效勞〔現(xiàn)AD名目效勞〕來完成對用戶帳戶的操作和治理。平臺功能說明平臺主要供給集中用戶治理、集中證書治理、集中認(rèn)證治理、集中授權(quán)治理和集中審計(jì)等功能，總體功能模塊如以以下圖所示：集中用戶治理

LDAP身份源 系統(tǒng)數(shù)據(jù)總體功能模塊圖系統(tǒng)建設(shè)階段，目前正面臨著實(shí)現(xiàn)納入到信息化環(huán)境中人員的統(tǒng)一治理和安全把握階段。隨著企業(yè)的網(wǎng)絡(luò)根底建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不斷擴(kuò)展，在信息化促進(jìn)業(yè)務(wù)加速進(jìn)展的同時，企業(yè)信息化規(guī)模也在快速擴(kuò)大以滿足業(yè)務(wù)的進(jìn)展需要，更多的人員被融入信息化環(huán)境，由此突出反映的內(nèi)外人員的可信身份的治理顯得尤為重要，必將成為信息化進(jìn)展的重中之重，只有加強(qiáng)人員的可信身份治理，才能做到大門的安全防護(hù)，才能為企業(yè)的治理、業(yè)務(wù)進(jìn)展構(gòu)建可信的信息化環(huán)境，特別是承受數(shù)字證書認(rèn)證和應(yīng)用的。集中用戶治理系統(tǒng)主要是完成各系統(tǒng)的用戶信息整合，實(shí)現(xiàn)用戶生命周期的集中統(tǒng)一治理，并建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡化用戶及其賬號的治理簡潔度，降低系統(tǒng)用戶治理的安全風(fēng)險。治理效勞對象

集中用戶治理功能示意圖集中用戶治理主要面對企業(yè)內(nèi)外部的人、資源等進(jìn)展治理和供給效勞，具體對象可以分為以下幾類：最終用戶主賬號從賬號資源

自然人，包括自然人身份和相關(guān)信息與自然人唯一對應(yīng)的身份標(biāo)識，一個主賬號只能與一個自然人對應(yīng)，而一個自然人可能存在多個主賬號與具體角色對應(yīng)，每一個應(yīng)用系統(tǒng)內(nèi)部設(shè)置的用戶賬號，在統(tǒng)一信任治理平臺中每個主賬號可以擁有多個從帳號，也就是多〔即一個日然人在企業(yè)內(nèi)部具備多套應(yīng)用系統(tǒng)賬號〕用戶使用或治理的對象，主要是指應(yīng)用系統(tǒng)及應(yīng)用系統(tǒng)下具體功能具體效勞對象之間的映射對應(yīng)關(guān)系如以以下圖所示:用戶身份信息設(shè)計(jì)主帳戶

從賬戶主帳戶

從賬戶

CRM主帳戶 從賬戶］從賬戶用戶類型

用戶賬號與資源映射圖

ERP用戶是訪問資源的主體，人是最主要的用戶類型：多數(shù)的業(yè)務(wù)由人發(fā)起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人把握。人又可再分為：員工、外部用戶。員工即企業(yè)的職員，是平臺主要的關(guān)注的用戶群體；外部用戶是指以獨(dú)立身分訪問企業(yè)應(yīng)用系統(tǒng)的一般個人客戶與企業(yè)客戶。身份信息模型可信用戶標(biāo)識用戶類型用戶根本信息

機(jī)構(gòu).崗位職能用戶授杈信

用戶令用色賁源分組對各類用戶身份建立統(tǒng)一的用戶身份標(biāo)識。用戶身份標(biāo)識是統(tǒng)一用戶治理系統(tǒng)內(nèi)部使用的標(biāo)識，用于識別全部用戶的身份信息。用戶標(biāo)識不同于員工號或身份證號，需要建立相應(yīng)的編碼標(biāo)準(zhǔn)。為了保證用戶身份的真實(shí)、有效性，用戶根本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如HR中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的中信息的比照關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢?；诜謾?quán)、分級的治理需要，用戶身份信息需要將用戶信息依據(jù)所屬機(jī)構(gòu)和崗位級別進(jìn)展分類，便于劃分安全治理域，將用戶信息集中存儲在總部，以及治理域的劃分。用戶認(rèn)證信息治理用戶的認(rèn)證方式及各種認(rèn)證方式對應(yīng)的認(rèn)證信息，如用戶名/口令，數(shù)字證書等。由于用戶在各應(yīng)用系統(tǒng)中各自具有賬號和相關(guān)口令，為了保證在平臺實(shí)施后可以使原有系統(tǒng)仍可以依據(jù)原有賬號方式操作，需要建立用戶標(biāo)識與應(yīng)用系統(tǒng)中賬號的比照關(guān)系。授權(quán)信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賜予系統(tǒng)中的角色和其它屬性。身份信息的存儲為了便利對人員身份的治理，集中用戶系統(tǒng)承受樹形架構(gòu)來進(jìn)展人員組織架構(gòu)的維護(hù)，存儲方式主要承受LDAP?？梢酝ㄟ^企業(yè)內(nèi)部已有的人員信息治理WindowsActiveDirectory〔AD〕OpenLdapIBMDirectoryServer〔IDS〕用戶生命周期治理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)立、用戶身份標(biāo)識〔數(shù)字證書的頒發(fā)〕、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等流程的由于要賜予用戶可信的身份標(biāo)識，所以需要通過數(shù)字證書認(rèn)證的方式來實(shí)現(xiàn)，在用戶生命周期治理過程中圍繞用戶包含了基于帳戶的生命周期和數(shù)字證書的生命周期治理的內(nèi)容。數(shù)字證書主要是與用戶的主賬戶標(biāo)識進(jìn)展唯一綁定，在用戶帳戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生任何轉(zhuǎn)變，唯有在用戶帳戶進(jìn)展注銷和歸檔過程中，與其相匹配的數(shù)字證書也同樣需要進(jìn)展撤消和歸檔操作。用戶身份信息的維護(hù)目前集中用戶治理系統(tǒng)中對用戶身份信息的維護(hù)主要以企業(yè)已存在的AD域和LDAP可以由人力資源部門的相應(yīng)人員執(zhí)行用戶賬戶的創(chuàng)立、修改、刪除、編輯、查AD自動同步到平臺用戶身份信息存儲〔名目效勞器〕中；平臺的用戶治理員也可以直接修改平臺中集中存儲的用戶身份信息，再由平臺同步到各個應(yīng)用系統(tǒng)中。集中證書治理CA系統(tǒng)，包括：1〕證書申請證書制作證書生命周期治理〔有效期、審核、頒發(fā)、撤消、更、查詢、歸檔〕證書有效性檢查CA建設(shè)模式〔自建和第三方效勞〕、多RA集中治理、擴(kuò)展性強(qiáng)等特性，從技術(shù)上及治理上以靈敏的實(shí)現(xiàn)模式滿足用戶對集中證書治理功能特點(diǎn)集中證書治理功能的實(shí)現(xiàn)就是通過集成證書注冊效勞〔RA〕和電子密鑰〔USB-Key〕治理功能。1〕集中制證集中制證主要結(jié)合本地數(shù)據(jù)源中的數(shù)據(jù)為用戶進(jìn)展集中制證，包括集中申請、自動審批。CACA系統(tǒng)；CA系統(tǒng)簽發(fā)數(shù)字證書并返回給治理員；UBSKey制證成功.將數(shù)字證書發(fā)送給最終用戶。2〕證書生命周期治理通過集中證書治理功能可實(shí)現(xiàn)對所制證書進(jìn)展證書的生命周期治理，主要包括：證書的查詢、撤消等，同時還可以實(shí)現(xiàn)對證書有效性的檢查。CACRL〔證書掉銷列表〕效勞聯(lián)動及CRL列表。用戶通過證書認(rèn)證方式登錄“登錄門戶”；〔提交到“證書治理模塊”；效勞檢查證書信息，假設(shè)有效，將有效值返回“證書治理模塊”〔假設(shè)無效將值返回“證書治理模塊”〕；〔假設(shè)無效，用戶登錄失敗〕；用戶通過認(rèn)證，正常進(jìn)入應(yīng)用系統(tǒng)。支持多種CA建設(shè)模式RA集中治理在一個企業(yè)內(nèi)，依據(jù)證書應(yīng)用的需求，存在根CACA，即存在RARARA進(jìn)展集成，實(shí)現(xiàn)單RA的集中治理。靈敏擴(kuò)展性集中證書治理功能除了實(shí)現(xiàn)集中制證、證書生命周期治理功能，以及具有RACA系統(tǒng)的自建和效勞模式的特點(diǎn)，還具有靈活的擴(kuò)展RARA的完全接收，實(shí)現(xiàn)證書處理、證書生命周期治理、證書審批、支持多種申請模式、RA日志治理、密鑰治理、集中授權(quán)治理集中授權(quán)應(yīng)用背景分析一些大型企業(yè)，覺察企業(yè)內(nèi)部各應(yīng)用系統(tǒng)自身授權(quán)格外完善，但是從集中治理角度看，覺察大企業(yè)中的傳統(tǒng)授權(quán)所存在如下問題：系統(tǒng)權(quán)限分散：員工的流淌及職位的變更，需要更改員工的系統(tǒng)使用權(quán)應(yīng)用系統(tǒng)的獨(dú)立性：各種應(yīng)用系統(tǒng)都使用獨(dú)立的登錄方式，員工需要記特別是對用一樣的密碼，由此為黑客或者木馬程序供給時機(jī)，而對應(yīng)用系統(tǒng)的安全防護(hù)帶來極大地威逼。/角色進(jìn)展資源的合理安排。〕通過何種方式〔/口令〕使用某種資源〔應(yīng)用/功能〕的權(quán)限的安排。員工入職，安排一個特定的原本已經(jīng)隸屬于某些角色/入口登錄，即可享有身份賬戶所屬角色/位變更時，只需更改身份賬戶所屬角色/應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系統(tǒng)的安全性得到了極大提高，不會由于對應(yīng)的業(yè)務(wù)系統(tǒng)由于沒有中止用戶應(yīng)用權(quán)限而患病安全風(fēng)險。通過集中授權(quán)的治理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了治理效率，為企業(yè)營造一個安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。集中授權(quán)治理對象集中授權(quán)主要是依靠于人，由授權(quán)系統(tǒng)治理者依據(jù)人的組織屬性、角色屬性，進(jìn)展對應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)安排，從保證人與應(yīng)用系統(tǒng)之間使用權(quán)限集中授權(quán)還可以依靠于應(yīng)用系統(tǒng)為治理對象，然后針對該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)展權(quán)限關(guān)聯(lián)，合組織、角色進(jìn)展訪問。組：包括依據(jù)公司組織架構(gòu)或特定功能劃分的部門、工作組及個人用戶通過以上兩種方模式，可以對企業(yè)內(nèi)部的人員、應(yīng)用系統(tǒng)和資源進(jìn)展合理的治理和把握，有效地解決企業(yè)內(nèi)部信息資源的權(quán)限治理，最終實(shí)現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進(jìn)入企業(yè)內(nèi)部任何系統(tǒng)，從而保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護(hù)企業(yè)的資產(chǎn)。在集中授權(quán)治理系統(tǒng)系統(tǒng)中需要明確以下概念：角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進(jìn)展角色定義?；谟脩艚M的角色定義可理解為在組織構(gòu)造下定義用戶角色，比方在技術(shù)部門下定義產(chǎn)品工程師角色。目標(biāo)是在以后授權(quán)模式中通過對產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會一次性獲得授權(quán)，這樣便利治理，同時也是簡化了授權(quán)的操作?；趹?yīng)用系統(tǒng)定義角色，即依據(jù)該應(yīng)用系統(tǒng)下的用戶職能進(jìn)展定義。OA應(yīng)用系統(tǒng)和結(jié)合人力資源架構(gòu)定義“總監(jiān)”，那么依據(jù)OA系統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只要存在應(yīng)用系統(tǒng)對總監(jiān)所具備的功能，經(jīng)過系統(tǒng)授權(quán)后均可以依據(jù)總監(jiān)的角色進(jìn)展應(yīng)用訪問。資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊，全部的功能模塊統(tǒng)稱為資源。資源的定義主要是便利人員、組織、角色授權(quán)時候的對象指定，最終經(jīng)過授權(quán)實(shí)現(xiàn)，什么樣的人員、組織、角色能訪問應(yīng)用系統(tǒng)的那些功能。也就是中細(xì)粒度授權(quán)所需要的涉及的內(nèi)容。集中授權(quán)的工作原理授權(quán)治理模塊集中授權(quán)模式基于組/角色的訪問授權(quán):

定義權(quán)限〔某些角包組享有系統(tǒng)應(yīng)用的哪些權(quán)限〕通過授權(quán)治理模塊的定義，通過口令、證書等執(zhí)行對權(quán)限的調(diào)用系統(tǒng)中全部應(yīng)用資源的集合對于屬于某一組/〔應(yīng)用系統(tǒng)的功能的權(quán)限?；趹?yīng)用系統(tǒng)和資源的授權(quán)：對于某一選定應(yīng)用〔或其包含的功能、功能組〕，治理員可以授權(quán)為其指派訪問資源〔用戶、組、角色〕細(xì)粒度授權(quán)傳統(tǒng)意義中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標(biāo)準(zhǔn)，將應(yīng)用系統(tǒng)那個授權(quán)〔組織塊無法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無法做到應(yīng)用系統(tǒng)的內(nèi)部授權(quán)機(jī)制，導(dǎo)致簡潔的訪問把握授權(quán)無法滿足業(yè)務(wù)系統(tǒng)的精細(xì)化治理，為了滿足企業(yè)的細(xì)致化訪問把握，需要打破傳統(tǒng)授權(quán)模式，增加的授權(quán)機(jī)制，即要實(shí)現(xiàn)細(xì)粒度的訪問把握授權(quán)。而將資源治理模塊細(xì)粒度化，則是將應(yīng)用模塊拆分成單個的功能模塊，某幾個功能模塊又可以組合成一個功能組，在授權(quán)時，針對某一應(yīng)用模塊中的功能或功能組模塊進(jìn)展權(quán)限安排。角色的繼承供給了角色授權(quán)模型，在角色權(quán)限安排的治理過程中，角色之間可以實(shí)現(xiàn)自動完成，但是當(dāng)繼承形成環(huán)路的時候，則繼承屬性自動中斷，保持獨(dú)立的角色屬性。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管控，而不會由于角色繼承導(dǎo)致權(quán)限失去把握。針對繼承方式，如下定義：1〕單繼承：ABAB全部的權(quán)限。2〕多繼承ABCDAB、C、D全部的權(quán)限。3〕動態(tài)繼ABCDA；角色B的登錄方式為口令；角色C的登錄方式為口令和證書；角色D的登錄方式為證書。4〕循環(huán)繼承：角色斷開。

角色D

系統(tǒng)內(nèi)部自

在循環(huán)處于環(huán)路，則繼承自動角色B角色集中認(rèn)證治理 C集中認(rèn)證治理為企業(yè)的IT系統(tǒng)供給統(tǒng)一的身份認(rèn)證，是企業(yè)安全門戶入口，只有安全的認(rèn)證機(jī)制才可以保證企業(yè)大門不被非法人員進(jìn)入；在整個認(rèn)證系統(tǒng)中其效勞的對象包括企業(yè)接入統(tǒng)一認(rèn)證平臺的全部業(yè)務(wù)系統(tǒng)、治理系統(tǒng)和應(yīng)用系統(tǒng)等，統(tǒng)一認(rèn)證系統(tǒng)能夠供給快速、高效和安全的效勞集中認(rèn)證治理特點(diǎn)供給多因素認(rèn)證效勞集中認(rèn)證治理可以為多個不同種類、不同形式的應(yīng)用供給統(tǒng)一的認(rèn)證效勞業(yè)務(wù)和效勞預(yù)備了根底條件，集中認(rèn)證治理為這些應(yīng)用供給了統(tǒng)一的接入形式。供給多種認(rèn)證方式企業(yè)的不同業(yè)務(wù)系統(tǒng)的安全級別不同,作嫻熟程度不同，集中認(rèn)證治理可以針對這些不同的應(yīng)用特點(diǎn)供給不同的認(rèn)證手段。供給統(tǒng)一和多樣化的認(rèn)證策略集中認(rèn)證治理針對不同的認(rèn)證方式，供給了統(tǒng)一的策略把握，各個應(yīng)用系統(tǒng)也可以依據(jù)自身的需要進(jìn)展共性化的策略設(shè)置，依據(jù)應(yīng)用或用戶類型的需求，設(shè)置共性化的認(rèn)證策略，提高應(yīng)用系統(tǒng)的分級治理安全。身份認(rèn)證方式集中認(rèn)證治理系統(tǒng)支持多種身份認(rèn)證方式，包括：用戶名/口令數(shù)字證書3〕Windows域認(rèn)證4〕通行碼集中認(rèn)證治理同時支持上述四種認(rèn)證方式，也可以依據(jù)用戶的需求對用證方式與安全等級。用戶名/口令認(rèn)證用戶名/用戶需要訪問系統(tǒng)資源時，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)承受加密方式或明文方式將用戶名和口令傳送到認(rèn)證中心。并和認(rèn)證中心保存的否則拒絕用戶的下一步的訪問操作。靜態(tài)口令的優(yōu)點(diǎn)是簡潔且本錢低，但是假設(shè)用戶不去修改它，那么這個統(tǒng)口令在很多狀況下都有著發(fā)生口令泄密的危急。在整體安全認(rèn)證中，對于掃瞄非重要資源的用戶可以承受該方法。數(shù)字證書認(rèn)證數(shù)字證書是目前最常用一種比較安全的身份認(rèn)證技術(shù)。數(shù)字證書技術(shù)是在PKI體系根底上實(shí)現(xiàn)的，用戶不但可以通過數(shù)字證書完成身份認(rèn)證，依據(jù)自己多年的安全閱歷，供給完整的數(shù)字身份認(rèn)證解決方案。數(shù)字證智USBKey中。Windows域認(rèn)證Windows域是一種應(yīng)用層的用戶及權(quán)限集中治理技術(shù)。當(dāng)用戶通過WindowsWindows域后，就可以充分使用域內(nèi)的各種共享資源，同時承受Windows域?qū)τ脩粼L問權(quán)限的治理與把握同身份的用戶對網(wǎng)絡(luò)應(yīng)用及共享信息的使用權(quán)限。WindowsWindows域中的用假設(shè)驗(yàn)證成功則進(jìn)入，否則拒絕進(jìn)入。通行碼認(rèn)證通行碼是集中認(rèn)證治理支持的一種特有認(rèn)證方式，用戶遺忘其他認(rèn)證信應(yīng)急效勞，當(dāng)用戶安全認(rèn)證的憑證遺忘或者喪失，通過后臺治理員生成通行當(dāng)使用過或者超出訪用時間范圍，其認(rèn)證效力自動失效，格外強(qiáng)大的保證了系用戶解決認(rèn)證和系統(tǒng)準(zhǔn)入的問題，為應(yīng)用供給了便利。認(rèn)證方式與安全等級每種認(rèn)證方式對應(yīng)安全等級的一個范圍，安全等級的范圍又是依據(jù)安全〔如用戶名/Windows域等僅僅是在認(rèn)證系統(tǒng)內(nèi)部來治理和把握的，身份認(rèn)證子系統(tǒng)與其他子系統(tǒng)之間的信息交換都是通過認(rèn)證的安全等級來實(shí)現(xiàn)的。身份認(rèn)證相關(guān)協(xié)議身份認(rèn)證治理支持的身份認(rèn)證協(xié)議有：1〕SSL協(xié)議。2〕Windows域認(rèn)證3〕SAML協(xié)議集中認(rèn)證治理同時支持上述三種認(rèn)證協(xié)議，下面具體介紹這些認(rèn)證協(xié)議。SSL協(xié)議SSL〔SecureSocketLayer，安全套接層Netscape一種用于保護(hù)互聯(lián)網(wǎng)通信私密性的安全協(xié)議，現(xiàn)在已經(jīng)是該領(lǐng)域的工業(yè)標(biāo)準(zhǔn)。通過SSL協(xié)議，可以使通信不被惡意攻擊者竊聽，并且始終對效勞端進(jìn)展認(rèn)證〔也可以應(yīng)用可選的客戶端認(rèn)證〕。SSL可以使用RC4、DESX.509數(shù)字證書標(biāo)準(zhǔn)進(jìn)展認(rèn)證，從保護(hù)機(jī)制上來講，是比較完善的。而且SSL的實(shí)現(xiàn)本錢比較低，可以很簡潔的結(jié)合現(xiàn)有的應(yīng)用環(huán)境建立比較安全的傳輸，所以獲得了極為廣泛的應(yīng)用。SSL協(xié)議的身份認(rèn)證方式與用戶名/口令方式相比，最顯著的優(yōu)勢SSL供給雙向的身份認(rèn)證，不僅可以驗(yàn)證客戶端的身份同時也可以認(rèn)證效勞器的身份。Windows域Windows交互式登錄是我們尋常常見的一種登錄認(rèn)證方式，交互式登錄包括“本地登錄”和“域賬號登錄”，而“本地登錄”僅限于“本地賬號登錄”。本地用戶賬號承受本地用戶賬號登錄，系統(tǒng)會通過存儲在本機(jī)SAM數(shù)據(jù)庫中的信息進(jìn)展驗(yàn)證。用本地用戶賬號登錄后，只能訪問到具有訪問權(quán)限的本地資源。域用戶賬號承受域用戶賬號登錄，系統(tǒng)則通過存儲在域把握器的活動名目中的數(shù)問權(quán)限的資源。用戶登錄域的過程即是活動名目認(rèn)證用戶的過程，具體過程如下:登錄到域的驗(yàn)證過程，對于不同的驗(yàn)證協(xié)議也有不同的驗(yàn)證方法。假設(shè)域控制WindowsNT4.0NTLM“登錄到本機(jī)的過程”SAM數(shù)據(jù)庫中進(jìn)展，而是在域把握器中進(jìn)展；而對于Windows2023和Windows2023KerberosV5協(xié)議。通過這種協(xié)議登錄到域，向域把握器證明自己的域賬號有效，用戶需先申請?jiān)试S懇求該域的TGS〔Ticket-GrantingService--票據(jù)授予效勞〕。獲準(zhǔn)之后，用戶就會為所要登錄的計(jì)算機(jī)申請一個會話票據(jù)，最終還需申請?jiān)试S進(jìn)入那臺計(jì)算機(jī)的本地系統(tǒng)效勞。SAML協(xié)議2023年初，OASIS小組批準(zhǔn)了安全性斷言標(biāo)記語言〔SecurityAssertionMarkupLanguage，SAML〕2555名專家參與了SAML是第一個可能成為多個認(rèn)證協(xié)議的標(biāo)準(zhǔn)以利用Web根底〔Web根底構(gòu)造中，XMLTCP/IP網(wǎng)絡(luò)上通過協(xié)議傳送〕。OASISSAML的目的是作為一種基于XML安全性信息。SAML與其它安全性方法的最大區(qū)分在于它以有關(guān)多個主體的斷言的形式來表述安全性。其它方法使用中心認(rèn)證中心來發(fā)放證書，這些證書保證了網(wǎng)絡(luò)中從一點(diǎn)到另一點(diǎn)的安全通信。利用SAML,網(wǎng)絡(luò)中的任何點(diǎn)都可以斷言它知道用戶或數(shù)據(jù)塊的身份。然后由接收應(yīng)用程序做出打算，假設(shè)它信任該斷言，則承受該用戶或數(shù)據(jù)塊。任何符合SAML的軟件然后都可以斷言對用戶或數(shù)據(jù)的認(rèn)證。對于馬上消滅的業(yè)務(wù)工作流Web效勞標(biāo)準(zhǔn)(在該標(biāo)準(zhǔn)中，安全的數(shù)據(jù)需要流經(jīng)幾個系統(tǒng)才能完成對事而言，這很重要。SAML是旨在削減構(gòu)建和操作信息系統(tǒng)(這些系統(tǒng)在很多效勞供給者之間的環(huán)境中，消滅了通過掃瞄器和支持Web的應(yīng)用程序?yàn)橛脩艄┙o互操作性的企業(yè)聯(lián)合。例軟件開發(fā)人員、QA技術(shù)人員和IT經(jīng)理都需要處理復(fù)雜的和不行靠的后端系統(tǒng)，這些系統(tǒng)供給了企業(yè)之間的聯(lián)合安全性。在典型的支持Web的根底構(gòu)造中，運(yùn)行業(yè)界領(lǐng)先的企業(yè)系統(tǒng)的軟件需要post命令、公鑰根底構(gòu)造(publickeyinfrastructure，PKI用戶或組的信任級別的相互同意(mutuallyagreed-upon)機(jī)制。SAML向軟件開發(fā)人員呈現(xiàn)了如何表示用戶、標(biāo)識所需傳送的數(shù)據(jù)，并且定義了發(fā)送和接收權(quán)限數(shù)據(jù)的過程。SAML組件關(guān)系圖如下：ProillesHuwProillesHuwSAMLpruloccls,LindingsnnJ/cidsserlicnscombineiosuppori；idefinedusecase.BindingsHowSAMLProtocolsniLipuntcjstandardmessagingandcommunistlionprutotok.

SAML集中認(rèn)證系統(tǒng)的主要功能包括：支持多種認(rèn)證方式，包括用戶名/口令、數(shù)字證書、Windows域認(rèn)證和通行碼，并且為其他認(rèn)證技術(shù)留有接口；支持多種認(rèn)證協(xié)議，包括支持?jǐn)?shù)字證書認(rèn)證的SSL協(xié)議，Windows域認(rèn)證，SAML協(xié)議等；治理用戶的認(rèn)證憑證信息，如數(shù)字證書等；制定身份認(rèn)證的安全策略，如定義認(rèn)證模式和安全等級等；認(rèn)證系統(tǒng)模塊治理，如對應(yīng)用認(rèn)證網(wǎng)關(guān)的治理等。單點(diǎn)登錄單點(diǎn)登錄是集中認(rèn)證治理的主要功能，本局部從功能實(shí)現(xiàn)原理，系統(tǒng)硬件配置，單點(diǎn)登錄實(shí)現(xiàn)流程等方面進(jìn)展說明。單點(diǎn)登錄技術(shù)軟件應(yīng)用插件式網(wǎng)關(guān)〔WEB攔截器技術(shù)〕Agent〕是一種基于過濾技術(shù)〔Filter〕的應(yīng)用防火墻。使用Web攔截器在懇求到達(dá)之前來攔截懇求，并在應(yīng)用必需供給合適的認(rèn)證和授權(quán)。因此，可使用攔截Web代理供給適當(dāng)?shù)谋Ｗo(hù)，而不是修改代碼或重寫Web層。Web攔截器可以安裝在Web效勞器中，通過在Web效勞器上攔截入站懇求和執(zhí)行訪問把握策略，來對入站懇求進(jìn)展認(rèn)證和授權(quán)。對于本身不能實(shí)現(xiàn)安全或難以修改的應(yīng)用，通過將安全與應(yīng)用分別，供給一種抱負(fù)的安全保護(hù)方法，它還可以集中治理與安全相關(guān)的組件。安全策攔截Web攔截Web代理的實(shí)現(xiàn)制要求配置，而無需修改代碼。另外，通過將與安全相關(guān)的處理轉(zhuǎn)移到應(yīng)用之外〔即效勞器上〕，攔截Web代理還提高了應(yīng)用的性能。在Web效勞器上，沒有通過認(rèn)證和授權(quán)的懇求將被拒絕，因此不會占用應(yīng)用的額外周期。硬件應(yīng)用網(wǎng)關(guān)〔安全代理效勞〕〔SecureServiceProxy〕是通過攔截安全檢查懇求，然后將其委派給適宜的效勞實(shí)現(xiàn)的。硬件網(wǎng)關(guān)系統(tǒng)規(guī)律架構(gòu)如以以下圖所示。UT￡硬件網(wǎng)關(guān)UT￡數(shù)據(jù)采集,分發(fā)服負(fù)載均衡效勞數(shù)據(jù)采集,分發(fā)服負(fù)載均衡效勞硬件網(wǎng)關(guān)代理效勞應(yīng)用網(wǎng)關(guān)功能規(guī)律圖安全效勞代理攔截來自客戶端的全部懇求，確定懇求效勞，然后執(zhí)行效勞要求的安全策略，并將懇求從入站協(xié)議轉(zhuǎn)換為目標(biāo)效勞要求的協(xié)議，最終將懇求轉(zhuǎn)發(fā)給目標(biāo)效勞。在返回路徑上，安全效勞代理將結(jié)果從效勞使用的協(xié)議和格式轉(zhuǎn)換為客戶要求的協(xié)議和格式。它也可以保存客戶會話中首次懇求創(chuàng)立的安全上下文，供以后的懇求使用?？稍谄髽I(yè)外圍配置安全效勞代理供給認(rèn)證、授權(quán)和其他安全效勞，為遺留的或缺少安全機(jī)制的輕量級企業(yè)效勞實(shí)施安全策略。安全效勞代理模式與Web攔截器模式類似，但安全效勞代理模式更高級，由于它不要求使用基于的URL訪問把握，也不要求使用任何傳輸協(xié)議將效勞懇求交給任何效勞。它可以在已實(shí)現(xiàn)和已部署的應(yīng)用外執(zhí)行額外安全規(guī)律，也可以與沒有實(shí)現(xiàn)安全的應(yīng)用集成。硬件應(yīng)用網(wǎng)關(guān)代理工作原理掃瞄器發(fā)起懇求包數(shù)據(jù)采集模塊截獲懇求包并轉(zhuǎn)發(fā)給數(shù)據(jù)解析模塊數(shù)據(jù)解析模塊解析數(shù)據(jù)包將解析后的數(shù)據(jù)包交由數(shù)據(jù)處理模塊處理webappWebapp返回的數(shù)據(jù)，經(jīng)過數(shù)據(jù)處理模塊，返回掃瞄器應(yīng)用網(wǎng)關(guān)負(fù)載均衡工作原理參與到網(wǎng)關(guān)集群中的全部硬件網(wǎng)關(guān)依據(jù)指定優(yōu)先級策略進(jìn)展主/從協(xié)商，確定1個硬件網(wǎng)關(guān)為主設(shè)備，其他為從設(shè)備。主設(shè)備兼有交換機(jī)的功能，全部來自客戶掃瞄器的懇求包首先到達(dá)主設(shè)備〔不會直接到達(dá)從設(shè)備〕，備返回給掃瞄器。單點(diǎn)登錄實(shí)現(xiàn)流程基于門戶的單點(diǎn)登錄流程盧 JQ用閑關(guān)1

1:1展丘芬監(jiān)=1 1 11 (1度城續(xù)認(rèn)討人【 11II 1 J11111-------------------------------------，品返回用戶的應(yīng)用為「歲域-------------------------------------1 11伊)叫戶直擊應(yīng)爾聚花

門見1巧理求訓(xùn)打端讓 i 1L- ......一—」門同廣按要次認(rèn)證匯￡通行認(rèn)證I I〉14炫證用戶西帝,戶上泵把1 1 11 f( 1

1>⑺產(chǎn)*R1s1 件|使定何 1 11 1 111耗1111耗11尸置錄管息s111111I?(L1風(fēng)苦成功.逅回登錄皿功侑只I------------------------------------1|1 1 J門門更從限戶怙杷 1(??卻小1次用裱過此時的界面k—1111111111(1—■%北悴窗野艮港才岱旦(1(1(口分苦頭陂，返回左甲R--------------------------------J憫，等越用?11二^>口|)11111n?<1>用戶訪問統(tǒng)一登錄入口的URL地址<2>用戶進(jìn)入統(tǒng)一認(rèn)證界面<3>4種登錄方式)，輸入正確的登錄信息<4>主賬戶認(rèn)證成功，產(chǎn)生主賬戶登錄成功票據(jù)<5>返回用戶可訪問應(yīng)用列表，用戶