sso统一身份认证及访问控制解决方案

统一身份认证及访问控制

技术方案

1.方案概述

1.1. 项目背景

伴随信息化迅猛发展，政府、企业、机构等不停增加基于Internet/Intranet 业务系统，如各类网上申报系统，网上审批系统，OA 系统等。系统业务性质，通常全部要求实现用户管理、身份认证、授权等必不可少安全方法；而新系统涌现，在和已经有系统集成或融合上，尤其是针对相同用户群，会带来以下问题：

1)假如每个系统全部开发各自身份认证系统将造成资源浪费，消耗开发成本，并延缓开发进度；

2)多个身份认证系统会增加整个系统管理工作成本；

3)用户需要记忆多个帐户和口令，使用极为不便，同时因为用户口令遗忘而造成支持费用不停上涨；

4)无法实现统一认证和授权，多个身份认证系统使安全策略必需逐一在不一样系统内进行设置，所以造成修改策略进度可能跟不上策略改变；

5)无法统一分析用户应用行为；所以，对于有多个业务系统应用需求政府、企业或机构等，需要配置一套统一身份认证系统，以实现集中统一身份认证，并降低整个系统成本。

单点登录系统目标就是为这么应用系统提供集中统一身份认证，实现“一点登录、多点漫游、即插即用、应用无关"目标，方便用户使用。

1.2. 系统概述

针对上述情况，企业单位期望为用户提供统一信息资源认证访问入口，建立统一、基于角色和个性化信息访问、集成平台单点登录平台系统。该系统含有以下特点：

•单点登录：用户只需登录一次，即可经过单点登录系统（SSO）访问后台多个应用系统，无需重新登录后台各个应用系统。后台应用系统用户名和口令能够各不相同，而且实现单点登录时，后台应用系统无需任何修改。

•即插即用：经过简单配置，无须用户修改任何现有B/S、C/S应用系统，即可使用。处理了目前其它SSO处理方案实施困难难题。

•多样身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方法，可单独使用也可组合使用。

•基于角色访问控制：依据用户角色和URL实现访问控制功效。

•基于Web界面管理：系统全部管理功效全部经过Web方法实现。网络管理人员和系统管理员能够经过浏览器在任何地方进行远程访问管理。另外，能够使用HTTPS安全地进行管理。

•全方面日志审计：正确地统计用户日志，可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。审计结果经过Web界面以图表形式展现给管理员。

•双机热备：经过双机热备功效，提升系统可用性，满足企业级用户需求。

•集群：经过集群功效，为企业提供高效、可靠SSO服务。可实现分布式布署，提供灵活处理方案。

•传输加密：支持多个对称和非对称加密算法，确保用户信息在传输过程中不被窃取和篡改。

•防火墙：基于状态检测技术，支持NAT。关键用于加强SSO本身安全，也适适用于网络性能要求不高场所，以降低投资。

•分布式安装：对物理上不在一个区域网络应用服务器能够进行分布式布署SSO系统。

•后台用户数据库支持：LDAP、Oracle、DB2、Win2k ADS、Sybase等。能够无缝集成现有应用系统统一用户数据库作为SSO应用软件系统用户数据库。

•领先C/S单点登录处理方案：无需修改任何现有应用系统服务端和用户端即可实现C/S单点登录系统

2.总体方案设计

2.1. 业务功效架构

经过实施单点登录功效，使用户只需一次登录就能够依据相关规则去访问不一样应用系统，提升信息系统易用性、安全性、稳定性；在此基础上深入实现用户在异构系统（不一样平台上建立不一样应用服务器业务系统），高速协同办公和企业知识管理功效。

单点登录系统能够和统一权限管理系统实现无缝结合，签发正当用户权限票据，从而能够使正当用户进入其权限范围内各应用系统，并完成符合其权限操作。

单点登录系统同时能够采取基于数字证书加密和数字署名技术，对用户实施集中统一管理和身份认证，并作为各应用系统统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用，不仅规避密码安全风险，还简化用户认证相关应用操作。

系统结构图

说明：CA安全基础设施能够采取自建方法，也能够选择第三方CA。

具体包含以下关键功效模块：

✧身份认证中心

✧存放企业用户目录，完成对用户身份、角色等信息统一管理；

✧授权和访问管理系统

✧用户授权、角色分配；

✧访问策略定制和管理；

✧用户授权信息自动同时；

✧用户访问实时监控、安全审计；

✧身份认证服务

✧身份认证前置为应用系统提供安全认证服务接口，中转认证和访问

请求；

✧身份认证服务完成对用户身份认证和角色转换；

✧访问控制服务

✧应用系统插件从应用系统获取单点登录所需用户信息；

✧用户单点登录过程中，生成访问业务系统请求，对敏感信息加密署

名；

✧CA中心及数字证书网上受理系统

✧用户身份认证和单点登录过程中所需证书签发；

✧用户身份认证凭证（USB智能密钥）制作；

2.2. 技术实现方案

2.2.1.技术原理

基于数字证书单点登录技术，使各信息资源和本防护系统站成为一个有机整体。经过在各信息资源端安装访问控制代理中间件，和防护系统认证服务器通信，利用系统提供安全保障和信息服务，共享安全优势。

系统交互图

其原理以下：

1) 每个信息资源配置一个访问代理，并为不一样代理分配不一样数字证书，用来确保和系统服务之间安全通信。

2) 用户登录中心后，依据用户提供数字证书确定用户身份。

3) 访问一个具体信息资源时，系统服务用访问代理对应数字证书,把用户身份信息机密后以数字信封形式传输给对应信息资源服务器。

4) 信息资源服务器在接收到数字信封后，经过访问代理，进行解密验证，得到用户身份。依据用户身份，进行内部权限认证。