首页 > 投稿专栏 > 最新来稿 > 时代亿信统一用户管理平台在某集团公司的应用

时代亿信统一用户管理平台在某集团公司的应用

2013-09-23 14:39:45   作者:   来源:CTI论坛   评论:0  点击:


1 概述
系统现状
某集团公司拥有多个下属公司,均进行了卓有成效的信息化建设,但由于开展时间较早,也没有统一规划,目前处于应用各自独立建设、独立维护的状态。
需求分析
为了发挥信息应用系统在服务决策、促进沟通、交流经验、推动工作等方面的作用,加强高效工作的信息化支撑力度,提高总部、下属单位的工作效率,需要改变现有各应用系统用户管理分散、认证分散的现状,构建企业用户的统一管理,打造企业综合信息平台。
建设目标
“某集团公司”统一用户管理平台由统一用户管理服务、统一认证服务、单点登录服务组成,形成对总部和集团公司应用系统的安全支撑,促进信息系统的应用和发展。
“某集团公司”统一用户管理平台具体建设目标如下:
(1)建设企业统一目录
编制企业目录规范,并按照规范建立统一目录系统,按照规范要求存储用户信息各项属性和组织机构信息各项属性,并提供数据同步接口。
(2)建设统一用户管理平台
建立统一用户管理系统,统一管理全公司用户信息和组织机构信息,并负责向各应用系统提供标准可用的数据,同时完成各应用的用户帐号统一管理、用户授权集中管理与安全策略集中设置。
(3)建设统一认证平台
建立统一认证平台,实现对应用系统的集中认证和单点登录。
统一认证平台根据统一用户管理系统提供的授权信息进行用户应用系统访问控制。

2 解决方案总体设计
部署方式设计
\
图1 部署方式设计图

“某集团公司”统一用户管理平台依据“分级部署、分级管理”的原则,采用分布式部署,中心节点建设在总部,分中心建设在各集团公司。
部署方式示意图如下:
 
中心节点承担总部统一用户管理平台数据负载,负责对总部应用系统及全国应用系统进行用户管理、认证和单点登录。
分中心承担集团公司统一用户管理平台数据负载,各分中心独立运行互不干扰,负责对集团公司应用系统进行用户管理、认证和单点登录。
中心节点和分中心分别从同级的HR系统同步用户信息,由HR系统负责发起用户管理操作,由统一用户管理平台进行用户信息分发。同时,两级统一用户管理平台也实现了用户同步,可在总部形成全集团用户信息视图。
中心节点和分中心分别建立企业目录,负责存储本公司的用户信息、组织机构信息、角色信息等数据。
统一用户管理平台采用分级部署方式,为应用系统提供本地化的用户管理、认证和单点登录服务,确保了内部网络畅通,实现办公现代化、信息电子化、传输网络化和管理科学化提供高保障、高质量的安全基础平台。
部署内容设计
总部部署:总部部署两台统一用户管理平台服务器,构成总部的统一用户管理平台,负责对总部或全集团应用系统提供用户管理、认证和单点登录服务。
集团公司部署:集团部署两台统一用户管理平台服务器,构成集团的统一用户管理平台,负责对集团应用系统提供用户管理、认证和单点登录服务。
系统接口设计
统一用户管理平台作为用户信息的集中管理与整合的信息设施,涉及与各个业务系统的交互,系统必须具有良好、完善的接口,以满足应用系统在多种应用场景下的使用需求。
认证与单点登录接口规范
统一用户管理平台产品提供应用系统认证与单点登录接口规范,方便应用系统进行认证和单点登录接入。根据应用系统的实际情况,可选择HTTP协议或TCP协议。
HTTP协议接口规范:提供HTTP协议接口包及开发规范,进行应用系统的单点登录接入。
TCP协议接口规范:提供TCP协议接口包及开发规范,进行应用系统的单点登录接入。
组织机构用户数据同步接口
统一用户管理平台组织机构、用户数据同步接口分为两类:从数据源接收数据同步和向应用系统同步数据。
从数据源接收数据同步接口
在企业内部已拥有组织机构、用户数据权威数据源的情况下,统一用户管理平台提供数据接收同步服务。在权威数据源的组织机构、用户数据发生变更时,可自动同步到统一用户管理平台。
1)组织机构操作接口:可接收组织机构信息的增加、删除、修改、启用、停用、重命名、修改父级等变更信息;
2)用户操作接口:可接收用户信息的增加、删除、修改、启用、停用、重命名、修改父级、变更用户组、变更角色等变更信息;
3)用户组操作接口:可接收用户组信息的增加、删除、修改等变更信息;
4)角色操作接口:可接收角色信息的增加、删除、修改等变更信息;
5)密码操作接口:可接收管理员重置密码、用户自助修改密码、用户自助重置密码的变更信息。
向应用系统同步数据接口
在统一用户管理平台内进行企业内部组织机构、用户数据的统一管理,或者接收到权威数据源的同步数据,产生增量变化数据后,统一用户管理平台提供数据同步分发服务,根据应用系统的数据需求,进行相应数据的分发与同步。
1)同步接口:可同步组织机构、用户、用户组、角色、密码等信息的增加、删除、修改、启用、停用、重命名、修改父级等变更信息。
公共服务接口
统一用户管理平台作为企业内部的IT基础设施,集中存储企业的组织机构和用户数据。统一用户管理平台提供公共服务,方便有需要的应用系统进行组织机构和用户数据的查询。
组织机构查询接口
为应用系统提供组织机构查询条件,可根据任意属性、父级属性查询,查询组织机构的详细信息,查询结果支持分页显示。
用户查询接口
为应用系统提供用户信息查询条件,可根据任意属性、父级属性查询,查询用户的详细信息,查询结果支持分页显示。
用户组查询接口
为应用系统提供用户组信息查询条件,可根据用户组名称、编码查询,查询用户组的详细信息,查询结果支持分页显示。
角色查询接口
为应用系统提供角色信息查询条件,可根据角色名称、编码查询,查询角色的详细信息,查询结果支持分页显示。

3 统一用户管理平台设计
根据部署方式设计图所示,统一用户管理平台分级部署在总部和集团公司,分别为总部应用系统和集团公司应用系统提供身份认证、单点登录、用户管理服务。
总部统一用户管理平台除了承担本公司应用的用户认证功能外,还为集中部署的应用系统提供下属集团公司用户认证功能,即支持总部集中部署,总部、集团公司分级使用的全国应用系统用户认证。总部统一用户管理平台所制定的安全策略针对全部应用系统生效。
集团公司统一用户管理平台承担本公司应用的用户认证功能,应用可以是统一建设部署的,也可以是本集团自行建设的应用系统。集团公司统一用户管理平台继承总部统一用户管理平台安全策略,并可针对本集团特定应用或本地应用制定单独的安全策略。
设计依据
统一用户管理平台采用分级部署、分级管理的设计方式,其主要优点有:
(1)适应不同部署形式的应用系统,更好地贴近应用系统实际安全需要;
(2)集团公司有自建应用系统,也需要统一用户管理,本地的统一用户管理平台提供了实现手段;
(3)分级部署提供了本地认证能力,减少了对网络的依赖,提高了系统可靠性;
(4)分级部署为本地提供了应用管理能力,可为本地建设的单独应用系统提供单点登录;
(5)总部统一用户管理平台可灵活使用,既为总部服务又可为全国应用服务,还具有认证托管能力,可为人数较少的集团公司直接提供认证服务。
统一用户管理功能
用户管理
用户管理是指各级用户管理员通过统一用户管理平台提供的页面,在其管理范围内完成对用户的新增、查询、修改、删除和应用分配等操作。
用户类别可分为:内部用户、外部用户、临时用户等多种类型。
临时用户在申请统一用户管理平台帐号需要进行层级审批。
用户主帐号管理:新增一个用户,主要填写包括用户姓名、身份证号、选择所在公司和部门等信息,创建用户信息的同时为用户分配员工编码,才能生效。
员工编号必须在全公司范围内唯一。
用户主帐号修改功能中的口令修改能够自动同步到各子帐号中,使用户口令保持一致。
用户主帐号中的信息修改,如果信息在子帐号中也存在,需要自动的更新到子帐号中,使得用户信息保持一致。
用户删除时,用户的权限等信息也将随之删除。
用户从帐号管理:用户管理员通过统一用户管理平台页面可以对用户从帐号进行创建、修改、删除等操作,创建的从帐号通过管理接口同步到各个应用系统中。
从帐号与主帐号自动进行关联,通过主帐号视图可以看到和子帐号的关联关系。
如果修改的信息是用户主帐号包括的基本信息,应当修改主帐号信息,由主帐号自动同步到从帐号,是信息保持一致。
用户管理员通过统一用户管理平台页面可以对用户从帐号进行删除,删除操作通过接口同步到各个应用系统。
用户帐号的修改:用户管理员通过统一用户管理平台WEB UI界面可以对用户信息进行修改,用户帐号修改功能中的口令修改应当能够自动同步到各子帐号中,使其用户口令保持一致。
用户帐号中的信息修改,如果信息在子帐号中也存在,需要自动的更新到子帐号中,使得用户信息保持一致。
用户帐号的删除:用户管理员通过统一用户管理平台WEB UI界面可以删除用户。
用户帐号的删除应当在生命周期管理中通过离职等流程完成,尽量避免直接删除用户。
用户删除时,此时用户的权限等信息也将随之删除。
用户帐号的启用:用户管理员通过统一用户管理平台WEB UI界面可以对用户进行启用,启用后用户的主帐号状态变成“正常”,但用户所关联的子帐号,需要管理员手工的进行启用管理。
用户帐号的禁用:用户管理员通过统一用户管理平台WEB UI界面可以禁用用户帐号,禁用后,用户帐号所关联的子帐号应自动禁用。
用户帐号的转移:用户管理员通过统一用户管理平台WEB UI界面可以对用户帐号进行转移,该转移是转移用户所在组织节点,转移后用户属性中组织信息需要自动的进行变更,与转移后的组织信息保持一致。
组织机构管理
统一用户管理平台提供组织机构管理页面,在页面中提供添加,查询,注销,删除等功能。
组织机构管理图形化,已经添加在统一用户管理平台中的组织机构,系统将现有的组织机构已树状形式显示。此管理页面能够被维护并实时更新。
组织结构信息能够导出成图片、Excel数据,能够形成XML格式数据提供接口被其他系统实时引用。
组织机构的创建:新增一个组组机构,主要填写包括组织机构的名称、编码、类型(部门或公司)等信息,并指定其上级组织机构。
组织机构的编码必须在全局范围内唯一,其编码规则在企业目录规范中统一规定。
组织机构的查询:统一用户管理平台既提供查询组织机构的WEB UI界面,也提供基于Web Service规范的组织机构查询接口。后者主要便于应用系统在其应用中嵌入企业组织目录树。
支持通过组织机构名称、编码、类型等属性进行组织机构的精确查询、模糊查询、组合查询。
组织机构的修改:用户管理员通过统一用户管理平台WEB UI界面可以对组织机构的名称、编码、类型进行修改。
支持对组织机构的合并和转移。
在修改组织机构后,用户信息中组织的信息将自动变更。
组织机构的删除:用户管理员通过统一用户管理平台WEB UI界面可以删除组织机构。
在删除组织机构时,必须先对该组织机构下的所有用户进行调离或删除处理,否则不能删除组织机构。
在删除组织机构时,必须先对该组织机构的下级组织机构进行转移或删除处理,否则不能删除组织机构。
从数据安全性考虑,严禁通过递归方式直接删除组织机构。
 
组织机构的合并:用户管理员通过统一用户管理平台WEB UI界面可以对组织机构进行合并,合并支持两种方式:
1) A,B合并到A或B;
2) A,B合并到C;
合并时,系统需要提示组织下的组织和人员将会合并到新的组织下。
组织机构的删除:用户管理员通过统一用户管理平台WEB UI界面可以对组织机构进行删除,系统需要检查当前组织下是否还包含子组织和人员,如果存在,提示管理员不能删除该组织,需要先转移该组织下的子组织和人员。
群组管理
群组管理是指各级用户管理员通过统一用户管理平台提供的页面,在其管理范围内完成对群组的新增、修改、删除、群组人员分配和群组人员转移等操作。
群组的编码在全公司范围内唯一。群组用于将拥有同类权限的用户进行汇总,以便于批量用户的授权。
群组包括静态组和动态组,静态组提供对组的成员管理,管理员可以通过查找用户的方式,把用户添加到改组。
动态组通过LDAP表达式实现,系统应提供LDAP表达式输入的区域,和对LDAP表达式检查的结果显示,方便管理员设置。
管理员通过统一用户管理平台页面可以向群组中添加人员、去除人员,群组中人员的添加/去除操作只影响用户的权限。
群组删除时,该群组与应用系统的关联关系,群组与人员的关系将一并删除。
权限与角色管理
可以扩展提供基于角色的访问控制能力。用户和角色之间的关系是不断维护的,每种角色都有各自的权限定义,如果一个用户被赋予一个角色之后,那么这个用户就拥有了那个角色所定义的权限;当这个角色的权限定义更改之后,所有被赋予这个角色的用户也会自动拥有这个角色更改之后的权限。
平台负责目录中角色的维护,包括角色的添加、修改、删除、角色人员分配和角色人员转移等功能。
应用管理
管理员通过统一用户管理平台提供的页面,完成对应用系统的注册、修改、删除等操作。
可以指定应用系统的同步内容,包括帐号、组织、群组和角色。
支持应用的批量开通。
用户信息导入
统一用户管理平台提供了数据初始化工具,可从单数据源或多数据源导入用户信息。用户信息导入步骤如下:
(1)选择一个或多个应用系统数据源作为用户信息导入源;
(2)按照事先定义好的Web Service接口,导入用户信息;
(3)统一用户管理平台会根据事先定义好的字段设置,将用户信息完整的建立起来,管理员可在此基础上对用户进行分组或自动分组,便于进行单点登录授权。
帐号有效期管理
如果用户类型是临时用户,则账户有效期属于必填项。
为了满足对用户生命周期管理的需要,需实现如下功能:
(1)面向全体用户,定义统一用户管理平台用户身份有效期审核管理措施;
(2)当用户信息接近有效期时告警;
(3)当用户有效期到期禁用用户、停止访问权限。
用户密码管理
对于用户名密码认证,统一用户管理平台支持用户密码的安全策略管理和密码同步管理。
密码安全策略管理:对于密码安全策略,系统支持如下要求:
(1)可定义口令的复杂度策略:包括口令的长度、口令的组成、定义非重复口令、禁用的字符短语等;
(2)可定义口令的过期策略,使用户在一定周期过后就强制要求修改密码;
(3)可针对不同岗位和角色应用不同的口令安全策略;
(4)支持口令加密存储及口令重置。
对于需要采用口令同步的系统,系统支持用户口令的同步,当在统一用户管理平台修改口令后,系统将用户口令同步到后台各应用系统中。
初始密码修改:统一用户管理平台提供设置初始密码功能,此功能能够提供初始密码设置。
在统一用户管理平台注册新用户后,统一用户管理平台会自动为用户设置初始密码。当用户在初始登录时,使用初始密码登录。统一用户管理平台检查登录密码,如果检测登录密码为初始密码系统则弹出提示信息(如:“不能使用初始密码登录”)并导入页面密码修改页面,让用户自行修改密码。
帐号密码强度检测:统一用户管理平台提供密码强度检测功能,即用户在修改密码时,用户设置的密码没有达到指定的强度时,系统会提示用户设置的密码没有达到指定的强度,请用户重新设置。
自助申请帐号
提供页面为提供临时用户帐号自助申请,临时帐号需要进行审批后才能使用,并且在审批时设定帐号有效期。
用户自服务管理
用户自服务管理是指用户管理员通过用户管理系统的UI界面,对允许用户进行自助服务的个人信息进行范围设定。
用户自服务管理系统必须能够保障用户的自助编辑服务范围是限制在用户个人基本信息中,不能超出这个设定范围,且必须符合目录存储规范中对用户各项信息属性类型的要求。
用户自助服务系统必须保证用户只能查看和编辑自身的用户信息。
用户个人信息自助服务
用户个人信息自助服务是指用户自身通过用户管理系统的UI界面(通常为Web UI界面),对其自身的个人基本信息进行登记和编辑等操作。
用户可以通过自助服务查看本人的身份信息和授权,并能够对其中的个人基本信息进行编辑,例如:用户手机号码这种个人信息允许用户自助编辑,而用户的公司信息,包括用户ID、用户工号、用户组织等信息是不允许用户编辑,以保证用户信息的合法性。
领导可以自行指定一个代理人来处理用户的事务。
用户自助服务UI界面应能够将用户信息中的个人信息和公司信息,可自助服务信息和非自助服务信息,以及必选信息和可选信息清晰区分开来;
用户管理系统必须能够保障用户的自助服务范围是满足用户管理员设定范围。
用户通过自服务系统能够修改授权用户修改的个人信息,包括密码信息。
被集成的应用系统应该调用统一用户管理平台的自服务管理模块,不再使用原有的自服务模块。
系统管理
统一用户管理平台的管理服务功能包括:数据字典设置、菜单管理设置、角色管理、数据导入、同步订阅。
系统提供分级管理功能,系统管理员可以定义为总部、下属公司两级或更多级,分别对能管理的用户、角色等信息进行管理。
安全审计与日志报表
系统提供一个集中的存储中心以日志的形式记录用户所作的所有操作。审计人员、安全管理人员可以随时察看这些记录用户、系统和应用的日志信息。并为所有系统和用户提供一个基于关系型数据库的准确而且安全的日志记录方式。
管理人员可以根据日志中记录的信息,进行灵活地日志查询和报表功能。
单点登录功能实现
单点登录的实现原理:统一用户管理平台的用户信息数据独立于各应用系统,形成统一的用户唯一ID,并将其作为统一认证平台用户的主帐号。
(1)在通过统一用户管理平台统一认证后,可以从登录认证结果中获取统一用户管理平台用户唯一ID(主帐号);
(2)再由其关联不同应用系统的用户帐号(从帐号);
(3)最后用关联后的帐号访问相应的应用系统。
当增加一个应用系统时,只需要增加统一用户管理平台用户唯一ID(主帐号)与该应用系统帐号(从帐号)的一个关联信息即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户帐号不同的问题。单点登录过程均通过安全通道来保证数据传输的安全。
 
B/S结构应用系统的接入与认证:B/S结构应用系统用户均采用浏览器登录和访问应用系统,因此使用浏览器访问统一用户管理平台,在统一用户管理平台登录认证成功后,再访问具体B/S应用应用系统。B/S应用系统接入统一用户管理平台的架构如下图所示:

\
图2  应用系统接入与认证架构

统一用户管理平台提供两种B/S结构应用系统接入方式,以满足不同应用系统的需求,快速实现单点登录:
 
反向代理方式:在完成客户端与认证服务器的交互认证后,用户先登录进入统一用户管理平台系统,然后利用反向代理技术完成服务器端代理用户认证,并将应用系统信息推送给客户端浏览器,从而实现用户对该应用系统的访问。
这种方式下应用系统基本不需改动和开发,对于不能作改动或没有原厂商配合改动的应用系统,可以使用该方式接入统一用户管理平台。实现上,采用SSO认证服务和SSO Agent进行交互验证用户信息,完成应用系统单点登录。

\
图3 反向代理方式接入应用系统

反向代理方式下通过统一用户管理平台访问应用系统的流程如下:
(1)用户在统一用户管理平台上点击访问的应用系统URL链接;
(2)由统一用户管理平台验证用户权限,有权限则在统一用户管理平台数据库中查询用户和应用系统的关联表,无权限则提示用户无权访问;
(3)如关联表中无相应记录,则浏览器弹出建立关联的页面;如关联表中有相应记录,则统一用户管理平台服务器提取用户和应用系统的关联信息,送至SSO服务加密签名形成数字信封后,返还给统一用户管理平台;
(4)由统一用户管理平台将加密信息发送给应用系统前端的SSO Agent;
(5)SSO Agent收到加密信息后进行解密,并向应用系统提交用户关联信息;
(6)应用系统收到用户关联信息后进行验证,验证成功则允许用户访问应用,失败则提示用户更新关联信息。
 
插件方式:插件方式采用SSO认证服务和集成插件(SSO API)的方式进行交互验证用户信息,完成应用系统单点登录。插件方式提供多种API,通过简单调用即可实现SSO。

\

通常情况下,对于有原厂商配合开发的应用系统,推荐使用该方式接入统一用户管理平台,以实现高效率高可靠的单点登录。

\
图4 插件方式接入应用系统

(1)用户在统一用户管理平台上点击访问的应用系统URL链接;
(2)由统一用户管理平台验证用户权限,有权限则在统一用户管理平台数据库中查询用户和应用系统的关联表,无权限则提示用户无权访问;
(3)如关联表中无相应记录,则该用户未授权,不允许访问;如关联表中有相应记录,则统一用户管理平台服务器提取用户在该应用系统中的身份信息,送至SSO服务加密签名形成数字信封后,返还给统一用户管理平台;
(4)由统一用户管理平台将加密信息发送给相应的应用系统;
(5)应用系统调用SSO API,对加密信息进行解密,得到用户身份信息并返回给应用系统;
(6)应用系统收到用户身份信息后通过信任机制允许用户访问应用系统。
 
C/S结构应用系统的接入与认证:对于C/S架构的应用系统,统一用户管理平台采用Windows消息机制方式,自动地向客户端传递认证参数,从而实现单点登录。其具体认证过程如下:
(1)在统一用户管理平台上启用CS Agent,由管理员配置好CS Agent所需要的客户端用户认证参数;
(2)用户登录统一用户管理平台;
(3)用户点击C/S应用链接;
(4)CS Agent启动客户端,并通过Windows消息机制向客户端传递用户认证参数;
(5)客户端接收到认证参数,按照自身的认证方式通过用户验证,进入系统;
(6)用户使用客户端而无需进行其他操作。
应用支撑体系
统一用户管理平台建设采用分级部署方式,可灵活支持多种部署形式的应用系统,分别详述如下:
集中部署应用的认证与单点登录
对于集中部署、分级使用的应用系统,由总部统一用户管理平台提供用户管理、认证与单点登录服务,应用系统为集团公司用户提供访问链接,该访问链接可集成在集团公司门户中。
总部统一用户管理平台具有全国用户信息库,因此,可以为集中部署方式的应用系统提供支持。当集团公司用户访问应用时,认证请求被发送到总部统一用户管理平台,由平台校验用户认证凭证,校验成功则检查用户权限信息和应用访问控制信息,根据上述信息单点登录到应用中。
分级部署应用的认证与单点登录
对于分级中部署、分级使用的应用系统,由总部和集团公司统一用户管理平台分别提供用户管理、认证与单点登录服务,应用系统分别为总部和集团公司用户提供访问链接,该访问链接可分别集成在总部和集团公司门户中。
总部和集团公司统一用户管理平台分别具有本公司范围内的用户信息库,因此,可以为分级部署方式的应用系统提供支持。当集团公司用户访问应用时,认证请求被发送到集团公司统一用户管理平台,由平台校验用户认证凭证,校验成功则检查用户权限信息和应用访问控制信息,根据上述信息单点登录到应用中;当总部用户访问应用时,认证请求被发送到总部统一用户管理平台,由平台校验用户认证凭证,校验成功则检查用户权限信息和应用访问控制信息,根据上述信息单点登录到应用中。
直接使用总部统一用户管理平台的设计
对于部分人数较少的集团公司,可以采用直接使用总部统一用户管理平台提供的用户管理、认证与单点登录服务,即采用认证托管模式建设本集团公司统一用户管理平台,有效节省投资成本。
在认证托管模式下,集团公司在本地不存在物理上的统一用户管理平台,而是由总部统一用户管理平台在逻辑上形成一个只针对该集团公司的统一用户管理平台,由该集团公司管理员维护与管理。逻辑上的统一用户管理平台,具有和其他集团公司所建的统一用户管理平台一致的功能,也可以进行本集团范围内的分级管理授权,功能独立运用,不受总部统一用户管理平台的影响。
授权管理体系
统一用户管理平台采用了分级部署、分级管理的实现方式,授权管理也相应的采用了分级授权管理体系。总部管理员负责管理总部应用和全集团应用,管理总部角色信息,实现用户基于角色或个人的授权。集团公司管理员负责管理集团公司应用应用,管理集团公司角色信息,实现用户基于角色或个人的授权。
对于每个公司的授权,采用了集中授权管理机制,能够集中的对用户与被管资源中的权限进行分配。
把权限(资源)赋予用户的过程中,应该有完善的授权生命周期管理:授予权限、修改授权、解除授权。同时存在辅助管理功能,例如:查找、定位、报表等。
为了方便授权动作,可以将一组相同或相近类型的权限(资源)定义为角色。同理,如果把一个角色授予一个用户,即把角色包含的权限(资源)全部授予用户。
现阶段实现粗粒度实体级授权,也就是完成用户到资源的访问层面。而应用等内部的授权由系统自身完成。
资源管理
资源管理是指对被管理资源进行录入、编辑、删除、查询、报表等一系列维护管理操作。为了方便管理员管理,资源按照多种类型进行分类管理,提供给管理员的UI界面,进行友好的管理维护与展现。
资源管理支持以下功能:
创建资源:管理员能够通过文件导入或者人工添加的方式,增加新的资源信息;
修改资源:管理员能够对其管理范围内的资源信息进行编辑;
查询资源:管理员能够通过设定查询条件(包括精确、模糊和组合等方式)对其管理范围内的资源信息进行查询;
删除资源:管理员能够在其管理范围内删除某个或某些资源的信息;
角色管理
角色是一系列权限(资源)的集合。通过角色的定义,可以简化授权操作,降低用户与权限之间的耦合程度,提高授权的灵活性。
授权管理
授权管理就是把相应的权限(资源)或角色授予用户或用户组的一系列维护管理操作。对用户授权后,用户即拥有访问目标资源的权限。
使用流程
单点登录流程
单点登录流程详细如下:
(1)用户在登录后页面中显示的应用程序访问列表中点击需要访问的应用程序链接;
(2)应用系统接受用户的访问请求,并将访问请求转发到统一用户管理平台的单点登录服务器;
(3)单点登录服务器解析用户访问请求信息,并校验用户访问权限,向应用系统返回用户信息;
(4)应用系统获得单点登录服务器信息,用户登录成功,正常使用应用系统。
单点登录安全性说明
对于单点登录系统来说,由于各个应用系统是根据从单点登录系统获得的票据来获取登录人员身份的,因此票据的安全性是单点登录系统的关键要素。为了保证票据的安全,采取了以下措施:
 
票据生成的唯一性和时效性:为了保证用户登录应用系统的安全性,由单点登录系统生成票据作为用户登录应用系统的凭据。生成的票据由单点登录系统存储,并记录该票据是发给哪个用户登录哪个应用系统的。票据是一串加密的随机数,且该串随机数一次有效并具有一定的时效性(一般为60秒)。当用户单点登录成功时,该票据被删除;当超过票据有效时间时,该票据被删除。通过这些措施可以阻止其他用户利用中间人截获的方式登录应用系统,也可以阻止其他应用服务器模拟合法用户登录到其他应用服务器。
票据验证还可以配合IP地址绑定等方式,通过增加客户端可识别信息进一步加强单点登录的安全性。
 
票据传输过程安全性:在票据传送过程中,由单点登录系统对票据进行签名然后才发送到应用系统。任何对认证信息的修改都会导致签名验证的失败,从而阻止其他客户端对认证请求的伪造,也可以验证客户端的唯一性。
在应用系统接收到票据后,会将票据传送到单点登录系统进行验证,传送的过程中,将由单点登录系统部署于业务系统上的组件对传输内容进行签名,这样就保证了目标业务系统的不可抵赖性。
 
用户信息的安全性:在验证票据后,单点登录系统会将用户的登录信息传送给业务系统,同时,此次传输的用户信息是由单点登录系统进行加密后传输,因此,在此传输过程中保证了用户登录信息的安全性。
 
关于时代亿信
北京时代亿信科技有限公司是一家致力于企业应用整合及信息安全整体解决方案的专业技术服务公司。公司依托首都科技产业优势,专注于数字证书应用、企业应用安全、企业应用整合及相关领域的软件研发与技术服务,为客户提供整体的应用安全解决方案。凭借团队优势和综合技术能力,公司相继独立完成了身份认证、统一身份管理与访问控制、文档安全保护、SSLVPN等一系列创新产品的研发和推广,积累了丰厚的专业技术实力和成熟的客户服务经验,经过不断努力,已经成为企业应用安全及整合领域领先的解决方案提供商。

相关阅读:

分享到: 收藏

推荐阅读

专题