统一身份认证平台集成接口文档
EETrust统一身份认证平台(UAP)技术方案
1. 概述统一身份认证平台是基于PKI(Public Key Infrastructure)理论体系,利用CA、数字签名和数字证书认证机制,综合应用USB接口智能卡、安全通道、VPN等技术,为门户、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。
1.1 认证系统实现目标本方案是按本地用户需求规划构建的统一身份认证平台,为本地用户各业务系统提供统一的身份认证和综合安全服务,以实现内联网、外联网及移动办公的统一认证:(1)建立本地用户自己独立的CA数字证书受理系统⏹基于CA,为平台各系统用户统一颁发数字证书;⏹支持数字证书的USB-KEY存储;(2)实现多应用的统一身份认证⏹统一的认证门户;⏹支持多个B/S结构、C/S结构的业务系统接入平台;⏹平台对用户统一授权和认证;⏹每一用户只使用一个USB-KEY访问所有被授权的系统;(3)移动办公安全⏹使用同一种认证方式进行VPN接入认证;⏹能够根据用户组授权访问不同的应用系统;⏹完善的日志和报表,提供用户登录、退出的时间等信息;(4)应用数据安全⏹本地文件使用个人证书进行加密保存和读取;⏹OA系统中秘密文件的加密存储和加密传输;⏹OA系统中电子邮件的签名和加密传输;1.2 统一身份认证平台主要功能门户系统(Portal)——各业务系统信息资源的综合展示。
统一授权——平台为用户统一颁发数字证书和私钥并存储在USB-KEY中,作为用户访问平台及各应用系统的凭据,并对用户访问应用系统的权限进行授权。
身份认证——用户在访问平台及各应用系统时,都使用相同的凭据(即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN),并利用数字签名技术在平台进行身份认证,证明其身份的真实性。
单点登录(SSO)——用户在通过平台认证后,可直接访问已授权的各应用系统,实现不同应用系统的身份认证共享,从而达到多应用系统的单点登录。
数据共享——认证平台存储了用户的基本信息和证书信息,所有应用系统均可以充分利用这些信息,减少用户信息的重复录入。
完整版)统一身份认证设计方案(最终版)
完整版)统一身份认证设计方案(最终版)统一身份认证设计方案日期:2016年2月目录1.1 系统总体设计1.1.1 总体设计思想本系统的总体设计思想是实现用户统一身份认证和授权管理,提供安全可靠的身份认证服务。
同时,该系统还要考虑到用户的便捷性和易用性。
1.1.2 平台总体介绍该平台是一个基于Web的身份认证和授权管理系统,采用B/S架构。
系统主要包括用户管理、证书管理、授权管理和认证管理四个模块。
1.1.3 平台总体逻辑结构该平台的总体逻辑结构分为客户端和服务器端两部分。
客户端包括浏览器和客户端应用程序,服务器端包括Web服务器、应用服务器和数据库服务器。
1.1.4 平台总体部署该平台可以在局域网内或互联网上进行部署。
部署时需要考虑服务器的性能和安全性。
1.2 平台功能说明该平台的主要功能包括用户管理、证书管理、授权管理和认证管理。
用户管理模块实现用户信息的录入、修改和删除等功能;证书管理模块实现数字证书的管理;授权管理模块实现对用户权限的管理和控制;认证管理模块实现用户身份认证功能。
1.3 集中用户管理1.3.1 管理服务对象该模块主要管理系统中的用户信息,包括用户的基本信息、身份信息和权限信息等。
1.3.2 用户身份信息设计1.3.2.1 用户类型系统中的用户分为内部用户和外部用户两种类型。
内部用户是指公司内部员工,外部用户是指公司的客户、供应商等。
1.3.2.2 身份信息模型身份信息模型包括用户的身份属性和身份认证方式。
用户的身份属性包括用户名、密码、证书等;身份认证方式包括口令认证、数字证书认证、Windows域认证和通行码认证等。
1.3.2.3 身份信息的存储用户的身份信息存储在数据库中,采用加密方式进行存储,保证用户信息的安全性。
1.3.3 用户生命周期管理用户生命周期管理主要包括用户注册、审核、激活和注销等过程。
在用户注销后,该用户的身份信息将被删除。
1.3.4 用户身份信息的维护用户身份信息的维护包括用户信息的修改、删除和查询等操作。
广东网上办事大厅统一身份认证平台对接规范V..
三.2.3.任务分工
省统一身份认证平台系统集成商:
1.提供OAuth2认证接口及其相应的集成操作文档;
2.协助业务系统开发商调用OAuth2认证接口认证服务,实现OAuth2认证;
在用户进行单点登录之前的身份认证方式可以有多种选择,省统一身份认证平台提供多种第三方信任源进行认证,包括各省直业务部门账户系统、市级身份认证平台、以及其它第三方信任源。
三.1.1.系统结构
系统建设逻辑结构如下图所示:
用户通过省统一身份认证平台进行登录认证,认证通过后单点登录访问业务系统,提供统一安全登录服务,从而避免用户多次重复登录各个不同系统,实现电子政务便民的工作目标。
三.2.2.集成模式
采用业务系统登录页面选择省统一身份认证平台或第三方信任源认证方式来进行用户认证,其实施步骤如下:
1.在业务系统登录页面加入省统一身份认证平台认证链接,调用省统一身份认证平台OAuth2认证接口,实现用户身份认证;
2.省统一身份认证平台提供OAuth2认证接口,供业务系统调用,实现用户身份认证信息的安全传输;
本规范文件按照广东省网上办事大厅工作的总体要求,指导各类业务系统建设单位开展统一认证对接工作,说明相关对接流程和步骤,提供相应服务接口及应用实例,完成各业务系统与省统一身份认证平台对接工作。
二、目标
各类业务系统接入省统一身份认证平台,主要目标如下:
(1)统一认证:各类业务系统通过省统一身份认证平台获取符合OAuth2认证协议的用户账户认证服务,支持省统一身份认证平台用户能够登录进入各类业务系统,实现“一个账号,全省通用”.
2021年方正智慧教育统一身份认证方案V1-4
禹会区智慧教育统一身份认证平台接口方案1、登录场景login接口描述:第三方应用提供用户名、密码、验证码。
调用UIM提供的WEBSERVICE接口,认证中心返回是否通过认证。
若通过,直接进入三方应用,若不通过,停留在登录页面。
目前教育局行政人员、教师信息在教师发展信息系统里录入,表名为:hr.HR_T_USER_BASEINFO。
学生信息在教务管理系统里录入,表名为:jw.JW_T_STUDENT。
家长信息在家校互动里录入,表名为:jxhd.JXHD_T_PARENTS。
教育局管理人员、教师信息在教师发展信息系统里录入后,会把userid、name、loginname、password同步到UIM的app_user表中,并且需要做功能菜单权限的控制。
学生和家长的userid、name、loginname、password不会进入app_user表,但是需要进入登陆体系,不需要功能菜单权限授权。
实现:第三方系统调用login这个WEBSERVICE方法,传入的用户名和密码信息进行认证,并返回认证结果。
如果返回成功,需要把GUID记录下来。
接口地址:http://218.107.242.90:9679/com.founder.bbjyservice.interfaces.IAuthManager?wsdl 接口方法:public String login(String loginname, String identify, String password,String ip, String systemName, String invokeDate);入参说明:系统日志表需要有接口名字段和调用接口用户ID字段。
但这两个参数不需要厂商提供。
返回值说明:结果码说明:示例:入参loginname:jwidentify:2password:888888ip:127.0.0.1systemName:学生成长档案系统invokeDate:2015-01-01返回值{"ret":"0","data":{"message":"登录成功","guid":"fb2316eb-5800-4892-b818-a7f00b3a1e92","user":{"id":1,"name ":"教务用户","description":null,"guid":null,"loginname":"jw","password":"","ema il":null,"disabled":null,"lastlogin":null,"sortorder":null,"attrMap" :{"ID":1,"NAME":"教务用户","GUID":null,"CREATEDDATE":null,"MODIFIEDDATE":null,"READONLY":null ,"NODELETE":null,"LOGINNAME":"jw","EMAIL":null,"DISABLED":null,"NODI SABLE":null,"LASTLOGIN":null,"SORTORDER":null,"IDENTIFY":null}}}}2、登出场景removeSSO接口描述:第三方应用访问统一认证,注销用户信息;实现:由第三方在自己的应用中调用removeSSO这个WEBSERVICE接口。
统一身份认证集成服务指南-华中师范大学信息化办公室
无 结束时间
开始时间 咨询电话 67868354
许可 □及办事项
办公地点
田家炳楼 808
承诺时间
五个工作日内完成审批
服务说明 服务流程
受理信息系统与学校统一身份认证的集成; 1、 由需求单位提出申请; 2、 审核通过后由服务人员与系统承建公司对接集成;
4-3-1信息系统统一认证集成
待集成业务系统 信息化办公室-数 待集成业务系统 承建方 所属部门 据研发部 统一认证集 成申请
信息安全完 善修复
信息 安全审查
服务流程图
提供合适 的统一认证 集成文档与 示例, 提供集成技 术支持
集成配置与 开发、部署
注册统一认 证信任应用
进行集成结 果测试验收
完成归档
材料名称 所需材料 华中师范大学统一身份认证 申请表 注意事项 服务依据 1
所需份数 附件 1
模版样例附件
统一身份认证集成服务指南
服务名称 服务方式 负责部门 服务来源 收费标准 限时办理 咨询人 事项类型
√ 承诺事项 □
统一身份认证集成
√ 线上 □线下 □线上线下 □
服务领域 服务对象 监督电话 入口地址 收费依据
申请办理 信息管理系统 67868133
数据与研发部 统一身份认证系统 无
√否 □是 □
统一身份认证平台
统一身份认证平台设计方案1)系统总体设计为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。
提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。
可以根据用户的关注点不同来为用户提供定制桌面的功能。
建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。
用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。
1.2.平台介绍以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。
如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:a)集中用户管理系统:完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统管理的安全风险。
b)集中证书管理系统:集成证书注册服务(RA)和电子密钥(USB-Key)管理功能,实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能,支持第三方电子认证服务。
统一身份认证平台功能描述
数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................. - 1 -1.1 产品简介....................................................... - 1 -1.2 应用范围....................................................... - 2 -2 产品功能结构......................................................... - 2 -3 产品功能............................................................. - 3 -3.1 认证服务....................................................... - 3 -3.1.1 用户集中管理............................................. - 3 -3.1.2 认证服务................................................. - 3 -3.2 授权服务....................................................... - 4 -3.2.1 基于角色的权限控制....................................... - 4 -3.2.2 授权服务................................................. - 4 -3.3 授权、认证接口................................................. - 4 -3.4 审计服务....................................................... - 5 -3.5 信息发布服务................................................... - 5 -3.6 集成服务....................................................... - 6 -3.6.1 应用系统管理............................................. - 6 - 3.6.2 应用系统功能管理......................................... - 6 - 3.6.3 应用系统操作管理......................................... - 7 -1产品概述1.1产品简介随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:➢用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。
统一认证单点登录集成方案
统一认证单点登录集成方案单点登录(Single Sign-On,SSO)是一种身份认证技术,允许用户通过一次登录访问多个相关但独立的应用程序和系统。
统一认证(Unified Authentication)则是一种身份认证集成方案,将不同的身份认证系统整合到一个统一的平台中,提供统一的用户身份认证服务。
下面将介绍统一认证单点登录集成方案。
1. 用户认证和管理模块:该模块用于管理和认证用户身份。
它可集成多种身份验证方式,如用户名密码验证、LDAP(轻量级目录访问协议)认证、OAuth(开放授权)认证、SAML(安全断言标记语言)认证等。
2.SSO单点登录模块:该模块用于实现单点登录功能。
用户只需通过一次登录,就可以访问多个应用程序和系统,无需多次输入用户名和密码。
通常,该模块通过生成和验证统一的令牌来实现单点登录。
3.客户端应用程序集成模块:该模块用于将已有的客户端应用程序和系统集成到统一认证单点登录系统中。
它包括客户端应用程序的改造和扩展,以支持统一认证单点登录功能。
通常,该模块会为每个应用程序生成一个唯一的密钥,用于与统一认证单点登录系统进行通信。
4.令牌生成和验证模块:该模块用于生成和验证令牌。
在用户成功登录后,统一认证单点登录系统会生成一个唯一的令牌,并将该令牌发送给客户端应用程序。
当用户访问其他应用程序时,客户端应用程序会将令牌发送给统一认证单点登录系统进行验证。
5.安全性管理模块:该模块用于管理统一认证单点登录系统的安全性。
它包括用户认证和授权、安全审计、密码策略管理等功能。
此外,该模块还应具备防止身份盗用和数据泄露的安全措施。
1.提高用户体验:通过实现单点登录功能,用户只需一次登录就可以访问多个应用程序和系统,大大简化了用户的操作流程和减少了用户的登录次数,提高了用户的使用体验。
2.提高安全性:通过集成多种身份认证方式和加强安全性管理,统一认证单点登录集成方案可以提供更加安全可靠的身份认证服务。
外网门户应用系统统一身份认证、统一权限认证接口
外网门户应用系统统一身份认证、统一权限认证接口湖北全达信息科技有限公司2006-11目录1.概述 (3)1.1.说明 (3)1.2.适用范围 (3)1.3.适用对象 (3)2.接口 (4)2.1.统一身份认证 (4)2.1.1.总体说明 (4)2.1.2.应用系统请求统一认证平台进行身份认证接口 (4)2.1.3.统一认证平台返回应用系统认证结果接口 (5)2.1.4.应用系统请求统一认证平台注销接口 (6)2.1.5.统一认证平台返回应用系统注销结果接口 (7)2.1.6.编码要求 (8)2.2.统一权限认证 (9)2.2.1.总体说明 (9)2.2.2.统一权限认证接口 (9)1.概述1.1. 说明湖北省电子政务是一个复杂的系统工程,湖北省电子政务外网门户作为湖北省电子政务建设核心的内容,是湖北省省直各单位的信息资源门户,未来将会成为各部门的办公平台,主要面向省领导、公务员提供一站式的信息服务。
为了规范湖北省电子政务外网门户集成应用系统的建设,指导湖北省电子政务外网门户集成应用系统的设计、开发和整合,保证湖北省电子政务外网门户集成应用系统符合湖北省电子政务建设的总体要求和湖北省电子政务外网门户的建设目标,特制定本接口。
本接口根据湖北省电子政务总体设计方案制定,目的在于为集成各应用系统实现统一身份认证、统一权限认证提供接口。
1.2. 适用范围本接口规定了需集成到湖北省电子政务外网门户的各应用系统进行统一身份认证、统一权限认证采用的接口。
本接口适用于需集成到湖北省电子政务外网门户的各应用系统的设计开发。
1.3. 适用对象本接口适用于需集成到湖北省电子政务外网门户的应用系统开发设计人员。
2.接口2.1. 统一身份认证2.1.1. 总体说明通过重定向和数据加密技术,应用系统请求统一认证平台接口进行用户身份认证;统一认证平台对用户进行认证并将认证结果返回给应用系统。
接口中传递的参数名称与参数值必须符合“编码要求”中的规定。
1广东省网上办事大厅统一身份认证平台对接规范V101
广东省网上办事大厅统一身份认证平台业务系统接入规范V1、0、1广东省网上办事大厅二O 一四年十月目录一、前言 (4)二、目标 (4)三、对接方案 (5)3、1、单点登录 (5)3、1、1、系统结构 (5)3、1、2、集成模式 (6)3、1、3、任务分工 (7)3、2、OAuth2 认证 (7)3、2、1、系统结构 (7)3、2、2、集成模式 (8)3、2、3、任务分工 (9)四、应用程序改造说明 (9)4、1、单点登录集成 (9)4、2、OAuth2 认证集成 (10)4、3、用户库改造说明 (11)五、改造环节及示例代码说明 (12)5、1、单点登录改造说明 (12)5、1、1、详细流程 (12)5、1、2、组件调用说明 (14)5、1、3、示例代码说明 (14)5、2、OAuth2 认证改造说明 (15)5、2、1、详细流程 (15)5、2、2、登录页面改造说明 (16)5、2、3、组件调用说明 (16)六、接口及参数说明 (17)6、1、单点登录接口说明 (17)6、1、1、设置认证服务URL (17)6、1、2、获取用户信息 (17)6、2、OAuth2 认证接口说明 (19)6、2、1、获取授权码 (19)6、2、2、获取token (20)6、2、3、获取用户信息 (21)、前言按照《关于做好全省网上办事大厅建设相关筹备工作的通知》( 粤办函〔2012 〕369 号)等相关文件及省政府推进全省网上办事大厅建设的工作部署的总体要求,构建全省统一身份认证平台,主要目的就是服务于全省网上办事业务信息化发展,为省直部门业务系统、各地市分厅等各类业务系统提供“用户名/密码” 普通账户与CA 账户认证服务,并提供跨域单点登录服务,逐步实现“一个账号, 全省通用” ,建成全省标准统一、安全可靠、互联互通、应用方便的统一身份认证应用支撑体系,全面提升省网办大厅的用户体验及安全保障能力。
本规范文件按照广东省网上办事大厅工作的总体要求,指导各类业务系统建设单位开展统一认证对接工作,说明相关对接流程与步骤,提供相应服务接口及应用实例,完成各业务系统与省统一身份认证平台对接工作。
统一用户管理与认证平台需求说明书
1.3 定义
统一认证平台:南山教育信息网的应用支撑性平台,包括了统一用户、应用资源的管理以及各应用资源的统一认证管理。
统一用户管理:负责管理南山教育信息网全体实名用户的身份管理,并分配各分项应用子系统中具有使用权的用户,将统一用 户信息同步到应用子系统中。
项的应用系统受平台管理约束,各系统的用户信息来源于统一用户,为了将统一用户信息分配到各个子系统,需要将应用系统 注册到平台之中,并记录各系统支持用户信息同步的接口。
3.1.1.4 用户权限管理 南山教育信息网的用户并不是可以访问全部的应用系统,因此必须具有相关的权限管理。
统一认证平台的用户权限管理并不涉及到用户对于各个应用系统的业务权限,而是指定哪些用户可以访问哪些应用系统,分配 一个用户可以使用哪个应用系统之后,他的用户信息就被同步到相应的应用系统之中。
1万的教职工用户,约10万的中小学生用户、约10万的家长用户。所有这些用户(如某个而各个单位平台管理员有权管理所有 的用户信息,都将由统一认证平台统一管理,
学校)的管理员可以管理本单位的用户信息,普通的用户可以使用自己的帐号通过平台进行统一登录,然后单点式的访问南山 教育信息网类自身具有权限的应用系统资源,不再需要为访问某一个应用系统而分别输入用户、密码。
帐号信息至少包括登录帐号、密码等,作为与应用系统进行用户同步的基础,帐号信息也包含了主要的一些人事类信息,如姓 名、性别、身份证、民族、籍贯、职务等。
用户的帐号必须唯一,同时其密码的设定应不能过于简单,安全起见应具备一定的复杂度。
对于用户个人来说,应该具备密码修改的功能,保证其帐号的安全性。
统一身份管理平台操作手册
统一身份管理平台操作手册正方软件股份有限公司修订控制页目录1前言 ........................................................................................................... 错误!未定义书签。
2第一章系统概述........................................................................................ 错误!未定义书签。
3第二章系统管理........................................................................................ 错误!未定义书签。
3.1系统设置 .................................................................................................... 错误!未定义书签。
3.2用户类型管理 ............................................................................................ 错误!未定义书签。
3.3单位类型管理 ............................................................................................ 错误!未定义书签。
3.4单位管理 .................................................................................................... 错误!未定义书签。
统一身份认证平台功能描述
统一身份认证平台功能描述统一身份认证平台(Single Sign-On,简称 SSO)是一种身份认证和授权的解决方案,其主要功能是为用户提供一个统一的登录凭证,通过一次认证即可访问多个资源和应用,并实现统一权限管理。
以下是对统一身份认证平台功能的详细描述:1.用户认证:统一身份认证平台可以实现用户的身份认证和验证,用户在通过平台进行注册和登录后,平台会验证用户的身份信息,确保用户的合法性。
2.单一登录:用户通过一次登录就能够访问多个应用和系统,无需多次输入用户名和密码。
通过统一身份认证平台,用户可以方便地切换不同的应用和系统,提高了用户的使用便捷性和工作效率。
3.用户授权:统一身份认证平台可以实现对用户的授权管理,管理员可以为用户分配不同的权限和角色,以便用户在使用应用和资源时能够获得相应的权限和访问权限控制。
4.应用集成:统一身份认证平台可以对现有的应用和系统进行集成,通过与现有的用户管理系统对接,实现对现有用户信息的共享和管理。
5.统一用户管理:统一身份认证平台可以集中管理和存储用户的身份信息和用户属性,包括用户的基本信息、角色、权限、个人设置等,实现用户信息的统一管理和维护。
6.安全性保障:统一身份认证平台通过多种安全机制和技术手段来保障用户的安全,包括实现用户身份的安全验证和加密传输,以及对系统进行安全扫描和监控等。
7.统一日志管理:统一身份认证平台可以对用户的登录、访问和操作等行为进行记录和监控,生成相应的日志,并提供查询和分析功能,以便管理员对用户行为进行监督和审计。
8.跨平台适配:统一身份认证平台可以适配不同的平台和设备,包括PC端、移动端和云端等,用户可以在不同的设备上使用统一的登录凭证进行身份认证和资源访问。
9.个性化配置:统一身份认证平台可以根据用户的需求和偏好,进行个性化的配置和设置,包括界面风格、语言选择、主题定制等。
10.优化用户体验:统一身份认证平台通过简化用户的登录过程和提供智能化的提示和推荐,改善用户使用体验,减少用户的繁琐操作和不必要的等待。
统一身份认证管理平台介绍
企业应用集成
集成多个系统并保证各个系统互不干扰
企业应用 集成
应用集成
多应用系统间交互
数据集成
数据存储层面:数据大集中 传输层面:通用数据交换平台 应用层面:业务流程整合 用户层面:通用门户
保持多个系统数据一致、同步
22
Portal技术
强调以用户为中心,提供个 性化、单点登录、不同来源 的内容整合功能,从而实现 了信息的集中访问。 本质上来说就是一个内容聚 集的平台。提供基于角色的 视图展示方案。
17
➢账号审计 ➢授权审计 ➢认证审计 ➢审计日志
审计管理
系统内部现在有多少休眠账号? 多少孤儿账号?
多少用户密码强度不够? 多少账号初始密码没改过?
18
➢服务器状态 ➢会话状态 ➢监控配置
监控管理
19
统一登录展示形式
PART 04企业应用集成
界面集成
集成用户交互界面
流程集成
跨业务系统的业务逻辑流转
监控
总体状态 会话状态 服务器状态 监控配置
任务调度 密码策略 监控设置 帐号元数据 系统配置 帐号容器
LDAP数据库
13
关系型数据库
管理平台主要功能
身份管理 (Account)
认证管理 (Authentication)
授权管理 (Authorization)
操作审计 (Audit)
唯一身份
你是谁
身份管理
平台基础 服务
管理平台功能结构
集成 接口
LDAP接口 CAS接口 OAuth接口
身份 自助 服务
我的账号 找回密码 密码修改
帐号管理
帐号列表 批量操作 帐号同步 帐号统计
认证管理
公司统一权限平台系统版本同步适配器集成接口服务规范
公司统一权限平台系统版本同步适配器集成接口服务规范1.总则1.1.范围为适应XX公司进一步对企业身份信息的集成和统一权限平台的工作要求,鉴于XX公司需集成的业务应用权限模型的多样性,本规范(试行)仅适用于现阶段指导统一权限平台与业务应用系统接口开发、实施。
后续将根据具体执行情况对本规范进行调整及补充。
1.2.术语序号词汇名称词汇定义1 ISC_SSO 统一认证系统2ISC_SSO_AGENTISC-SSO统一认证服务客户端3 数字证书在因特网上,用来标志和证明网络通信双方身份的数字信息文件。
4 X.509 标准的加密数字证书格式5 REST服务指的是一组架构约束条件和原则:(1)客户端和服务器之间的交互在请求之间是无状态(2)在服务器端,应用程序状态和功能可以分为各种资源(3)使用的是标准的HTTP 方法,比如GET、PUT、POST 和DELETE表示对资源的操作。
满足这些约束条件和原则的应用程序或设计就是RESTful,以RESTful方式提供的服务即为Rest服务。
Rest服务是Web Service的一种实现方式。
6 JSON JavaScript Object Notation,是一种轻量级的数据交换格式。
它基于JavaScript(Standard ECMA-262 3rd Edition –December 1999)的一个子集。
JSON采用完全独立于语言的文本格式,但是也使用了类似于C语言家族的习惯(包括C, C++, C#, Java, JavaScript, Perl,Python等)。
7TGC(Ticket-Granting Cookie) 存放用户身份认证凭证的cookie,这个Cookie是一个加密的Cookie,其中保存了用户登录的信息。
用于以后其它应用客户端登录8ST(ServiceTicket) 服务的惟一标识码。
由ISC-SSO服务端发出,通过客户端浏览器到达业务服务器端。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
三峡大学统一身份认证平台接口文档目录1.统一身份认证简介 (3)1.1 背景知识 (3)1.1.1 什么是单点登录(Single Sign On): (3)1.1.2 中心认证服务的设计愿景: (3)1.2 CAS的实现 (4)系统中的用到的凭证(ticket): (5)2.JAVA语言 (6)2.1 CAS简单登陆的实现 (6)2.2 CAS登出 (12)3.PHP语言 (13)3.1 CAS单点登录测试环境搭建步骤 (13)3.1.1 获取必要的驱动程序: (13)3.1.2 搭建php运行环境 (13)3.1.3 配置PHP cas 客户端测试程序 (13)3.2 PHP-CAS客户端 (14)3.2.1 cas-client的初始化 (14)3.2.2 设置不是SSL的CAS认证 (16)3.2.3 进行CAS认证 (17)3.2.4 登出 (20)语言 (22)4.1 搭建环境 (22)4.2 CAS简单登陆实现 (22)4.3 CAS登出实现 (23)5.ASP语言 (24)5.1 CAS简单登录实现 (24)5.2 CAS登出实现 (25)6.附录 (26)6.1 附录1 (26)6.2 附录2 (28)6.3 附录3 (30)6.4 附录4 (31)6.5 附录5 (32)1.统一身份认证简介1.1背景知识1.1.1 什么是单点登录(Single Sign On):所谓单点登录是指基于用户/会话认证的一个过程,用户只需一次性提供凭证(仅一次登录),就可以访问多个应用。
目前单点登录主要基于Web的多种应用程序,即通过浏览器实现对多个B/S架构应用的统一账户认证。
1.1.2 中心认证服务的设计愿景:简单的说,中心认证服务(Central Authentication Service 缩写:CAS)的目的就是使分布在一个企业内部各个不同异构系统的认证工作集中在一起,通过一个公用的认证系统统一管理和验证用户的身份,一般我们称之为统一身份认证平台。
在CAS上认证的用户将获得CAS颁发的一个证书,使用这个证书,用户可以在承认CAS 证书的各个系统上自由穿梭访问,不需要再次的登录认证。
打个比方:对于加入欧盟的国家而言,在他们国家中的公民可以凭借着自己的身份证,在整个欧洲旅行,不用签证。
对于学校内部系统而言,CAS就好比这个颁发欧盟认证的系统,其它系统都是加入欧盟的国家,它们要共同遵守和承认CAS的认证规则。
因此CAS的设计愿望就是:➢实现一个易用的、能跨不同Web应用的单点登录认证中心;➢实现统一的用户身份和密钥管理,减少多套密码系统造成的管理成本和安全漏洞;➢降低认证模块在IT系统设计中的耦合度,提供更好的SOA设计和更弹性的安全策略。
1.2CAS的实现从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。
CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。
图1 是 CAS 最基本的协议过程:CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。
对于访问受保护资源的每个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否包含Service Ticket,如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的 CAS Server 登录地址,并传递 Service (也就是要访问的目的资源地址),以便登录成功过后转回该地址。
用户在第 3 步中输入认证信息,如果登录成功,CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket,并缓存以待将来验证,之后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新产生的 Ticket 过后,在第 5,6 步中与 CAS Server 进行身份合适,以确保 Service Ticket 的合法性。
在该协议中,所有与 CAS 的交互均采用 SSL 协议,确保,ST 和 TGC 的安全性。
协议工作过程中会有 2 次重定向的过程,但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。
另外,CAS 协议中还提供了 Proxy (代理)模式,以适应更加高级、复杂的应用场景,具体介绍可以参考 CAS 官方网站上的相关文档。
系统中的用到的凭证(ticket):Ticket-granting cookie(TGC) 凭证存放cookie它是存放用户身份认证凭证的cookie,在浏览器和CAS间通讯时使用,并且只能基于安全通道HTTPS。
它是CAS用来明确用户身份的凭证,是实现web系统SSO的可选方案之一。
Service ticket(ST) 服务许可证Service ticket凭证由CAS服务器发出,通过客户端浏览器,到达业务服务器(通过URL重定向和ticket参数来实现)。
每个ST只能使用一次,针对特定的服务生成唯一识别码。
Proxy-granting ticket(PGT) 代理授权许可证该许可证由CAS服务器颁发给拥有ST凭证的服务(如果一个服务自身没有获得ST凭证,是不可能获得PGT的)。
该许可证绑定一个用户的一个特定服务,使其拥有向CAS服务器申请,以获得“代理凭证Proxy-tickets”的能力。
Proxy-granting ticket IOU(PGTIOU) 代理授权许可证索引这个许可证索引将通过凭证校验时的应答信息由CAS服务器端返回给CAS客户端。
与此同时,与该索引对应的PGT将通过回调链接传给web应用。
Web应用必须维护着PGT索引和PGT之间映射关系的内存表。
Proxy ticket(PT)代理许可证是应用程序代理用户身份,对目标程序进行访问的凭证。
代理许可证保存有代理及代理们进行逐级访问过程的信息。
一个代理访问的有可能是另一个更高级的代理,因此PT可以用来获取下一级代理的PGT。
这些逐级生成的PGT将保存有从用户到最终目标之间的代理队列的完整信息。
后面的章节将介绍常用的几种语言编写的程序,如何如何集成到统一身份认证中心平台。
如果将来学校还有其他语言的系统需要集成到统一身份认证中心平台,请联系公司索取相应的实现方法。
2.JAVA语言2.1CAS简单登陆的实现假设 CAS Server 单独部署在一台机器 A,而客户端应用部署在机器 B 上,由于客户端应用与 CAS Server 的通信采用 SSL,因此,需要在 A 与 B 的 JRE 之间建立信任关系。
首先与 A 机器一样,要生成 B 机器上的证书,配置应用服务器的 SSL 协议。
其次,下载/andreas/entry/no_more_unable_to_find 的InstallCert.java,运行“ java InstallCert compA:7002 ”命令,并且在接下来出现的询问中输入1。
这样,就将 A 添加到了 B 的 truststore 中。
如果多个客户端应用分别部署在不同机器上,那么每个机器都需要与 CAS Server 所在机器建立信任关系。
◆配置 CAS Filter准备好应用 casTest1 和 casTest2 过后,分别部署在 B 和 C 机器上,由于 casTest1 和casTest2,B 和 C 完全等同,我们以 casTest1 在 B 机器上的配置做介绍,假设 A 和B 的域名分别为 domainA 和 domainB。
将cas-client-java-2.1.1.jar 并拷贝到 casTest1/WEB-INF/lib目录下,修改web.xml 文件,添加 CAS Filter,如清单 10 所示:◆添加 CAS Filter对于所有访问满足 casTest1/protected-pattern/ 路径的资源时,都要求到 CASServer 登录,如果需要整个 casTest1 均受保护,可以将 url-pattern 指定为“/*”。
从以上配置可以看到,我们可以为 CASFilter 指定一些参数,并且有些是必须的,表格 1 和表格 2 中分别是必需和可选的参数:表格 1. CASFilter 必需的参数参数名作用edu.yale.its.tp.cas.client.filter.loginUrl 指定 CAS 提供登录页面的 URL edu.yale.its.tp.cas.client.filter.validateUrl 指定 CAS 提供 service ticket或 proxy ticket 验证服务的URLedu.yale.its.tp.cas.client.filter.serverName 指定客户端的域名和端口,是指客户端应用所在机器而不是 CASServer 所在机器,该参数或serviceUrl 至少有一个必须指定edu.yale.its.tp.cas.client.filter.serviceUrl 该参数指定过后将覆盖serverName 参数,成为登录成功过后重定向的目的地址表格 2. CASFilter 可选参数参数名作用edu.yale.its.tp.cas.client.filter.proxyCallbackUrl 用于当前应用需要作为其他服务的代理(proxy)时获取 ProxyGranting Ticket 的地址edu.yale.its.tp.cas.client.filter.authorizedProxy 用于允许当前应用从代理处获取proxy tickets,该参数接受以空格分隔开的多个 proxy URLs,但实际使用只需要一个成功即可。
当指定该参数过后,需要修改validateUrl 到 proxyValidate,而不再是 serviceValidate edu.yale.its.tp.cas.client.filter.renew 如果指定为 true,那么受保护的资源每次被访问时均要求用户重新进行验证,而不管之前是否已经通过edu.yale.its.tp.cas.client.filter.wrapRequest 如果指定为 true,那么CASFilter 将重新包装HttpRequest,并且使getRemoteUser() 方法返回当前登录用户的用户名edu.yale.its.tp.cas.client.filter.gateway 指定 gateway 属性传递登录用户名CAS 在登录成功过后,会给浏览器回传 Cookie,设置新的到的 Service Ticket。