用友U8身份认证解决方案(4)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
身份认证解决方案
目前在U8中用户的身份认证支持四种模式:用户+口令(静态密码),动态密码、CA认证和域身份认证,同一时间,一个用户只能使用一种认证方式,但是不同用户可以根据权限,重要程度交叉使用不同的认证方式。
1.设置认证方式
在系统管理模块中增加操作员的时候设置认证方式,默认支持用户+口令,用户可以更改以便于支持其余三种模式。
图一
2.合作伙伴支持的身份认证在U8系统中的使用
2.1易安全动态密码
1.在U8的应用服务器上,安装“易安全动态密码系统”,根据《U8_动态密码安装配置手
册(深圳海月)》进行相关配置。
2.在系统管理里设置认证方式为“动态密码”,如图一所示,默认支持的是静态口令。
3.配置完成后,在客户端登录产品,密码输入框必须输入由设备动态产生的密码才可,如
图二所示:
图二
备注:
两个系统要求用户编码共用,即不论采用哪种认证方式,用户名必须是通过U8的系统管理产生的,易安全动态密码系统支持批量导入U8用户,权限控制必须在系统管理中完成,如果使用动态密码认证,在系统管理增加用户时,可以不考虑密码信息,同时关于密码的安全策略将不起作用。
详细介绍见《U8动态密码解决方案(深圳海月)》
2.2BJCA的证书使用
BJCA支持两种PKI/CA建设模式:企业自建CA和托管CA。
企业自建CA就是企业自己创建和维护根证书,自行颁发证书。用户身份只需要企业内
部审查即可,用户唯一标识为自定义名称,比如test、demo等。
托管CA是企业到BJCA申请证书,BJCA使用Public Trust CA体系为其颁发证书,用户的身份要经过BJCA严格审查,默认唯一标识为身份证号码或企业组织机构代码。
具体使用步骤:
1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。
2.在U8的客户端安装BJCA的客户端证书管理工具,请参阅《U8_CA安装配置手册(BJCA)》进行相关配置。
3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时务必填写正确企业系统名称,名称必须是字母或数字,不能含中文。如图三所示:
图三
4.配置完成后,在客户端登录产品,密码输入框输入的是在U8系统设置的用户密码,点击确定后,验证U8密码正确后,再次弹出证书PIN码的输入框,如图四所示:
图四
输入PIN码,确定后,系统自动验证证书的合法性。
备注:
目前U8系统中的CA认证采用的是传统的用户名(密码)+证书的双重认证,使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确,安全策略中的密码策略只对U8密码起作用,修改密码也仅修改U8自身的密码。
用户在托管CA申请证书时,必须正确提交企业系统名称。
详细介绍见《U8安全解决方案(BJCA)》
2.3天威诚信的证书使用
天威诚信也支持两种PKI/CA建设模式:第三方托管CA服务和自建型CA系统。
第三方托管CA服务,是指客户通过天威诚信认证中心的现有的CA认证系统直接获取数字证书,用户在本地只要建设少量的CA模块,就可以实现CA认证的功能。
自建型CA系统是指客户购买天威诚信开发的PKI/CA软件,建设一个独立的PKI/CA
系统,除了购买系统软件之外,还包括系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统和灾难恢复等方面的建设。
具体使用步骤:
1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。
2.安装证书管理工具,按照《U8_CA安装配置手册(天威诚信)》的说明设置相关配置。
3.配置完成后,在客户端登录产品,密码输入框输入的是在U8系统设置的用户密码,点击确定后,验证U8密码正确后,再次弹出证书PIN码的输入框,如图四所示:
图四
输入PIN码,确定后,系统自动验证证书的合法性。
备注:
目前U8系统中的CA认证采用的是传统的用户名(密码)+证书的双重认证,使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确,安全策略中的密码策略只对U8密码起作用,修改密码也仅修改U8自身的密码。
详细介绍见《U8安全解决方案(天威诚信)》
3.域身份认证在U8系统中的使用
1.在U8应用服务器配置工具中设置域认证服务器
2.在系统管理里设置认证方式为“域身份认证”,如图一所示,默认支持的是静态口令。
3.配置完成后,在客户端登录产品,密码输入框必须输入域账号的密码。
4.初次录入域账号,可以在系统管理-〉用户管理-〉批量-〉导入域账号,一次性从域服务器导入多个用户账号。