统一身份认证系统建设方案

统一身份认证系统建设方案

发布日期：2008-04-01

1.1 研发背景

随着信息技术的不断发展，企业已逐渐建立起多应用、多服务的IT 架构，在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向，各有其对应的用户群体、技术架构、权限体系，限制了系统之间的信息共享和信息交换，形成的信息孤岛。同时，每一个信息系统的用户拥有不同的角色（职能），需要操作不同的系统，难以对其需要和拥有的信息和操作进行综合处理，限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。

统一身份管理将分散的用户和权限资源进行统一、集中的管理，统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录，改变原有各业务系统中的分散式身份认证及授权管理，实现对用户的集中认证和授权管理，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。

1.2 组成架构

汇信科技与SUN公司建立了紧密合作关系，汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统（统一认证服务器）、统一身份管理系统（统一身份管理服务器）、目录服务器。

受控层位于各应用服务器前端，负责策略的判定和执行，提供AGENT和API两种部署方式。

统一认证服务器安装统一身份认证系统（AM），主要提供身份认证服务和访问控制服务。

统一认证服务器安装统一身份管理系统（IM），主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。

目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。

1.1 功能描述

1.1.1 实现“一次鉴权”（SSO）

“一次鉴权（认证和授权）”是指建立统一的资源访问控制体系。用户采用不同的访问手段（如Intranet、PSTN、GPRS等）通过门户系统

时，系统提供统一的身份鉴权机制。同时，在用户进行跨系统资源访问时，系统提供单一登录和统一帐户管理的功能。

用户进入门户系统时，系统的访问控制功能对访问者进行身份认证，合法用户将被赋予相应的门户访问权限。当合法用户通过门户系统访问内部应用系统时，访问控制功能将在跨系统访问中提供单一登录（“一次鉴权”）的服务机制。即系统自动记录用户的当前身份信息，并在登录新的应用系统时将记录的用户身??统支持单一登录机制并认可接收的用户身份信息，使用者将无需再录入用户身份认证信息即可登录此系统。

1.1.2 控制资源的访问，提供集中的访问控制管理

利用统一身份管理平台集中的用户、应用的相关信息，应用统一认证平台实现用户访问应用系统的控制、策略管理，对用户进行集中认证管理。

1.1.3 提供应用的开发标准

Web 应用之间要实现SSO（单一登录），不管对于遗留应用系统还是新建应用系统，必须具有一套标准来实现各个应用与门户的SSO，建立一套标准对于新建系统与门户的集成则特别有意义，企业未来将新建越来越多的应用系统，利用此标准进行开发很容易进行集成。

1.1.4 审批流程（工作流）的管理

IM系统的核心之一是其提供的灵活而强大的动态工作流，可以建立多种用户身份管理的审批流程。建立或修改这些业务流程，可以通过IM系统提供的业务流程编辑器进行可视化的开发和管理，IM系统本身提供了默认的审批流程。IM系统的审批流程可以在此基础上进行定制。也可以开发一个全新的审批流程。

1.1.5 动态同步

IM系统可以自动发现在所管理的资源中的用户信息更改，并根据规则将其同步到其它资源中去。

1.1.6 委托和分级管理

IM提供了委托和分级管理，即TOP管理员可以赋予不同管理员的角色给不同的用户，使其具有管理IM系统中用户的能力。这些管理员可以分成多级以管理不同的组织。不同的管理员登录后，根据其管理权限，将为其提供不同的管理界面和管理功能。

1.2 价值建议

统一身份管理系统的价值在于构建了基础性的身份管理服务组件，实现身份信息的横向关联和纵向管理，为下一步的企业应用整合作了必要铺垫。

1.2.1 一流的用户体验

实现“一次鉴权”（SSO），解决复杂应用环境下用户传统登录方式不方便（多次登录）不安全（多套帐号/密码）的问题。

1.2.2 高效的用户管理

使用集中式的用户管理方式，全局掌控用户信息，有效控制用户对各应用的访问权限。

1.2.3 统一的应用接入

提供标准的用户认证、授权接入标准，简化应用登陆模块开发，降低应用开发成本，提高应用开发速度