用友U8身份认证解决方案(4)

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

身份认证解决方案

目前在U8中用户的身份认证支持四种模式:用户+口令(静态密码),动态密码、CA认证和域身份认证,同一时间,一个用户只能使用一种认证方式,但是不同用户可以根据权限,重要程度交叉使用不同的认证方式。

1.设置认证方式

在系统管理模块中增加操作员的时候设置认证方式,默认支持用户+口令,用户可以更改以便于支持其余三种模式。

图一

2.合作伙伴支持的身份认证在U8系统中的使用

2.1易安全动态密码

1.在U8的应用服务器上,安装“易安全动态密码系统”,根据《U8_动态密码安装配置手

册(深圳海月)》进行相关配置。

2.在系统管理里设置认证方式为“动态密码”,如图一所示,默认支持的是静态口令。

3.配置完成后,在客户端登录产品,密码输入框必须输入由设备动态产生的密码才可,如

图二所示:

图二

备注:

两个系统要求用户编码共用,即不论采用哪种认证方式,用户名必须是通过U8的系统管理产生的,易安全动态密码系统支持批量导入U8用户,权限控制必须在系统管理中完成,如果使用动态密码认证,在系统管理增加用户时,可以不考虑密码信息,同时关于密码的安全策略将不起作用。

详细介绍见《U8动态密码解决方案(深圳海月)》

2.2BJCA的证书使用

BJCA支持两种PKI/CA建设模式:企业自建CA和托管CA。

企业自建CA就是企业自己创建和维护根证书,自行颁发证书。用户身份只需要企业内

部审查即可,用户唯一标识为自定义名称,比如test、demo等。

托管CA是企业到BJCA申请证书,BJCA使用Public Trust CA体系为其颁发证书,用户的身份要经过BJCA严格审查,默认唯一标识为身份证号码或企业组织机构代码。

具体使用步骤:

1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。

2.在U8的客户端安装BJCA的客户端证书管理工具,请参阅《U8_CA安装配置手册(BJCA)》进行相关配置。

3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时务必填写正确企业系统名称,名称必须是字母或数字,不能含中文。如图三所示:

图三

4.配置完成后,在客户端登录产品,密码输入框输入的是在U8系统设置的用户密码,点击确定后,验证U8密码正确后,再次弹出证书PIN码的输入框,如图四所示:

图四

输入PIN码,确定后,系统自动验证证书的合法性。

备注:

目前U8系统中的CA认证采用的是传统的用户名(密码)+证书的双重认证,使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确,安全策略中的密码策略只对U8密码起作用,修改密码也仅修改U8自身的密码。

用户在托管CA申请证书时,必须正确提交企业系统名称。

详细介绍见《U8安全解决方案(BJCA)》

2.3天威诚信的证书使用

天威诚信也支持两种PKI/CA建设模式:第三方托管CA服务和自建型CA系统。

第三方托管CA服务,是指客户通过天威诚信认证中心的现有的CA认证系统直接获取数字证书,用户在本地只要建设少量的CA模块,就可以实现CA认证的功能。

自建型CA系统是指客户购买天威诚信开发的PKI/CA软件,建设一个独立的PKI/CA

系统,除了购买系统软件之外,还包括系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统和灾难恢复等方面的建设。

具体使用步骤:

1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。

2.安装证书管理工具,按照《U8_CA安装配置手册(天威诚信)》的说明设置相关配置。

3.配置完成后,在客户端登录产品,密码输入框输入的是在U8系统设置的用户密码,点击确定后,验证U8密码正确后,再次弹出证书PIN码的输入框,如图四所示:

图四

输入PIN码,确定后,系统自动验证证书的合法性。

备注:

目前U8系统中的CA认证采用的是传统的用户名(密码)+证书的双重认证,使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确,安全策略中的密码策略只对U8密码起作用,修改密码也仅修改U8自身的密码。

详细介绍见《U8安全解决方案(天威诚信)》

3.域身份认证在U8系统中的使用

1.在U8应用服务器配置工具中设置域认证服务器

2.在系统管理里设置认证方式为“域身份认证”,如图一所示,默认支持的是静态口令。

3.配置完成后,在客户端登录产品,密码输入框必须输入域账号的密码。

4.初次录入域账号,可以在系统管理-〉用户管理-〉批量-〉导入域账号,一次性从域服务器导入多个用户账号。

相关文档
最新文档