企业门户和单点登录系统解决方案.docx
- 文档编号:5676551
- 上传时间:2022-12-31
- 格式:DOCX
- 页数:16
- 大小:856.69KB
企业门户和单点登录系统解决方案.docx
《企业门户和单点登录系统解决方案.docx》由会员分享,可在线阅读,更多相关《企业门户和单点登录系统解决方案.docx(16页珍藏版)》请在冰豆网上搜索。
企业门户和单点登录系统解决方案
UTrustSSO单点登录和门户建设
技术方案建议书
北京神州融信信息技术有限公司
1.企业应用系统现状
目前,企业经过多年的信息化建设,已经形成了一大批比较成熟的应用系统,其涉及的业务面基本覆盖了企业的大部分生产业务,其中包括办公系统,财务系统、档案管理系统、人力资源系统,设备缺陷检测系统、综合管理系统、材料计划系统、生产统计系统等信息管理系统。
这些系统来源不一,开发的初期大多是独立进行的,有些系统是由集团单位统一分发的,有些是企业根据自己的现状和实际生产需求而开发的。
企业用户为了得到一组数据往往要反复多次进入不同的系统,而每一个系统都需要用户输入用户名和口令才能登录。
随着业务的发展,企业内部可能会有十几个或几十个应用系统在网上运行,而对每一个系统都需要他们进行口令的验证,那么用户对访问业务系统的不便性可想而知。
企业用户需要频繁登录应用系统,增加了业务操作的复杂性,有效工作时间减少,工作效率降低。
用户面对多个系统需要记忆多个账号+密码,从而导致登录时的安全风险。
当企业用户访问不同的应用系统时,需要记忆大量的用户名+口令密码,这时他们经常采用的一种方式就是将多个系统设置成同一口令密码(如生日、门牌、电话号码等)或是将记不住的口令标贴在明显的地方,登录操作是变得相对简单了,但应用系统的终端接入带来了极大的安全隐患,一些别有用心的工作人员一旦有机会利用他人密码登录系统,进行非法操作,也会给重大事故发生后的责任追查带来困难。
系统管理员难以应对分散应用系统的用户管理。
为了对用户帐号信息进行管理,每个分散的应用系统都会配有一个用户数据库,系统管理员要花费大量的时间对包括用户名密码在内的身份信息进行管理,系统管理员辗转于不同应用系统数据库之间删除或添加用户,缺乏统一的针对整体用户帐号和身份信息、安全策略的管理。
企业用户认证和管理现状结构
2.企业单点登录(SSO)需求分析
针对这种状况,企业希望通过建立单点登录系统和企业级的门户,为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台,使用户只需一次登录就可以根据相关的访问权限和策略设置规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;给用户提供简单方便、快捷有效的信息服务。
企业的门户和单点登录具体需求如下:
1.减少用户的系统登录次数,实现一次登录就可访问其权限内的所有应用系统
2.根据需要配置雇员身份认证的强度,保护合法用户的身份唯一性
3.对用户的身份,权限,访问行为进行统一管理,设置统一的安全策略
4.建设门户平台,列出用户有权访问的所有应用系统
5.搭建企业统一的身份认证框架,可为新系统的开发利用。
由于历史的原因,企业的各个业务系统大都采用异构系统(在不同平台上建立不同应用服务器的业务系统)。
因此,在企业内部建设单点登录系统,需要不影响原有系统的工作模式,以“简便,快速,高效,实用”为原则,提供先进的,安全可靠的、符合国际标准的单点登录(SingleSign-On,SSO)”整体解决方案,以降低用户和密码管理成本,提高安全性,并提高用户的系统使用效率,为各系统的无缝集成打下坚实的基础。
针对用户的需求,我们建议使用UTrustSSO系统来建设企业门户和单点登录系统,UTrustSSO研发人员具有多年的统一身份认证,统一授权管理,统一应用管理,单点登录领域的研发经验,并熟知国内各行业应用系统发展现状和SSO实际需求。
为用户提供了完善的门户和单点登录解决方案。
3.SSO(SingleSignon)单点登录技术
单点登录简称SSO,是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
它无需用户记忆多个用户名、密码,也无需用户进行多次登录系统才能访问应用系统。
●从用户角度来看,单点登录解决了他们记忆多个用户名、密码的烦恼,解除了使用多个应用系统必须进行多次认证的重复劳动。
●从系统管理员来看,单点登录系统可以使他们从繁琐的账号密码管理工作中解脱出来,不必每天为用户重置密码而苦恼,使IT人员真正的发挥他们在单位中的作用。
●从应用系统生产商角度来看,单点登录使他们不必再开发身份认证模块,从而可以把更多精力投入到具体业务中。
●从企业管理角度来看,单点登录提高了员工的工作效率,减少了管理成本,提高了企业信息系统的安全性,也节约了后续开发系统的成本,提高了经济效益。
3.1.后置代理
这种SSO实现原理是,SSO系统提供各种API,Agent代理,对原有应用系统进行改造,改变原有应用系统的认证方式,同时采用认证服务器提供的技术进行身份认证。
这种解决方案,一般要求用户先统一所有应用系统的用户数据库。
把用户的信息统一后,才可实现单点登录功能。
在这种技术方案中,每个应用服务器中都需要安装一个代理程序完成用户的身份认证工作。
当用户访问目标应用服务器时,代理程序向SSO服务器询问该用户是否已经登录,如果是,则代理程序从SSO服务器中取得该用户的用户信息自动登录该应用系统。
登录成功后,用户直接访问该目标服务器。
如果未曾登录过任何应用服务器,则该应用要求用户进行身份认证,认证结束后,代理程序将认证结果发送给SSO服务器。
3.2.即插即用
即插即用解决方案,它对企业内部的各种应用程序不进行修改,通过系统配置的工作来实现。
它的实现机制采用二次登录技术,与原有系统的开发语言,操作系统,数据库,应用平台类型等无关。
这种解决方案在认证服务器上保存用户所有应用系统的用户名/口令信息列表,认证服务器上采用透明转发机制,自动帮用户实现登录过程。
它的基本工作原理为:
首先针对每个应用系统进行配置,产生一个配置文件;用户登录到单点登录服务器上;用户访问应用系统时,单点登录服务器调用对应于该应用的配置文件,将对应该应用的用户认证信息(用户名/口令)取出,代理用户登录应用系统;登录成功后,用户可以访问应用系统。
3.3.两种SSO技术比较
后置代理SSO方案和即插即用SSO方案各有优缺点,先比较如下:
比较项目
后置代理方案
即插即用方案
经济性
实施成本很高
实施成本很低
实施性
实施复杂,涉及开发者较多,实施周期长。
实施简单,涉及相关人员少,实施周期短。
扩展性
跟应用的平台、环境有关,有些系统不能进行单点登录改造。
跟应用无关,扩展性好,对于所有的应用系统都可实现。
可靠性
单点登录服务器失效,业务系统无法正常使用,可靠性低
单点登录服务器失效,业务系统仍可正常使用,可靠性高。
用户信息处理
无需在单点登录服务上存储其他应用的用户身份信息
需在单点登录服务上存储其他应用的用户身份信息
4.UTrustSSO单点登录系统描述
4.1.UTrustSSO系统概述
面对用户的重复登录和管理员繁琐的管理工作,以及如何控制用户的访问权限等问题,UTrust SSO单点登录平台提供了完善的解决方案,在异构的IT系统中实现集中和便捷的身份认证、单点登录、身份管理,资源管理和集中审计,以满足企业对信息系统使用的方便性和安全管理的需求。
UTrustSSO系统是针对国内企业信息化发展现状而开发的应用系统管理软件,支持C/S和B/S架构的单点登录实现机制。
根据中国企业应用系统开发的特点,采用“即插即用”方式,实现方式与应用系统的操作平台、开发平台、开发语言、数据库、Web服务器无关,在不改变现有软硬件及网络环境的前提下,无缝地将用户各种现有的应用系统整合到单点登录平台上,实现“一次登录,全网漫游”的效果。
真正体现了与“应用无关”的完美集成概念。
4.2.UTrustSSO系统架构
UTrust单点登录系统组成结构图
UTrust单点登录系统由浏览器控件(C/S结构的应用需要,B/S应用不需要),SSO服务器,认证授权子系统,日志审计子系统和用户数据库,审计数据库组成。
SSO服务器又由单点登录模块,身份认证模块,访问控制模块组成,这些模块可以独立使用也可以结合一起使用,并且不同的模块可以根据企业需求和发展阶段不同,实现不同粒度的功能,可以为企业逐步实施单点登录、统一身份认证、授权和审计工程。
4.3.UTrustSSO系统工作流程
UTrust单点登录系统工作流程图
●用户通过SSO服务器在客户端展现的登录界面,用主帐号登录UTrustSSO服务器,并保持与SSO服务器的连接。
●用户通过SSO服务器的认证后,通过SSO服务器提供的访问资源列表来访问应用系统。
如果与门户结合,SSO服务器上对用户授权的应用系统将展示在门户界面上,用户通过门户界面链接就可直接访问应用系统。
●访问请求被SSO客户端发送到SSO服务器,由SSO服务器将原系统中的用户登录信息和访问请求转发给所请求的应用系统服务器。
●应用系统服务器接收到转发的认证信息后,与用户建立连接。
4.4.UTrustSSO系统特点
1)应用无关性
♦保护所有类型的应用系统,可以保护基于各种协议,平台和开发语言的应用系统,无论是B/S结构的还是C/S结构的。
2)即插即用
♦无需对系统做任何改造,保持现有的软硬件及网络环境不变,保持用户原有的使用习惯。
3)高安全性
♦基于数字证书的强身份认证机制,通过UTrust-CA数字证书认证系统为用户发放数字证书(见UTrust-CA系统技术白皮书),同时兼容第三方CA认证机构颁发的证书。
♦自带防火墙安全防范机制,以确保系统本身的安全性和业务系统的安全性。
♦移动用户可使用加密机制,将用户访问内部系统时在网上传输的数据进行加密处理,实现安全的远程访问。
4)高可靠性
♦对于大用户量的访问,UTrustSSO支持主备和负载机制,以避免单点故障。
用户可以在网内部署多台UTrustSSO服务器,以平衡不同服务器之间的认证请求。
5)可扩展性
♦对于用户的需求,可以定制开发,按企事业自身的特点和实际情况实现不同的功能实现方式。
♦提供不同的开发API,使用认证API可以将应用系统的认证被UTrust系统整合。
并为其他认证方式,如动态密码认证,预留接口等,以适应企业的认证需求。
♦对于新建设的应用系统提供开放的标准的接口规范,在此标准指导下,可将应用完全纳入UTrust平台的统一管理中,实现统一认证,单点登录。
6)跨平台性
♦基于J2EE技术:
系统基于J2EE技术开发,与平台无关,可以方便的在任何操作系统上实施,与其他系统具有很好的兼容性。
♦基于LDAP技术:
提供了强大的跨平台性和跨应用管理能力,为企业其他系统共享资源提供基础。
也便于其他应用系统采用同一标准开发纳入统一管理平台。
5.企业门户和单点登录系统建设方案建议
企业在实施门户和单点登录系统时应以下面为建设原则:
●由于企业内部的各个应用系统都是核心的业务系统,企业员工每天的工作都由这些业务系统完成,因此,在建设企业门户和单点登录系统时,希望对原有系统的使用不受影响,在实施部署时,不影响原有的网络架构为原则。
●由于业务系统开发时间不一,开发商不一,原有系统开发涉及人员和原有系统开发商已不容易找到,实施单点登录系统时以尽量不涉及原有系统程序为原则。
●由于业务系统涉及部门较多,人员素质不一,在建设门户和单点登录系统时,应以减少部门协调环节为原则。
●企业目前信息化发展的现状还是以开发业务系统为主,对于门户和单点登录的搭建要以节省时间和节省成本为原则。
总之,UTrustSSO系统正是在这种原则下提供了完善的解决方案。
它无需开发商干预,无需其他部门人员配合,在短时间内,低成本下完美的搭建企业级门户和单点登录平台。
5.1.UTrust单点登录解决方案建议
5.1.1.即插即用不改造系统的整合
UTrustSSO方案对老的系统不进行改造,以避免部门协调,开发商找不到而带来的实施周期长,成本高,或实施半途而废的现象。
在UTrustSSO方案中对系统采用配置的方式来实现对老系统实现单点登录。
配置内容如下:
网络配置;应用系统名称;应用系统IP地址和端口;应用系统上用户信息;用户单点登录信息;用户授权。
通过这种简单的配置工作,就可将企事业单位的所有应用系统完全整合到UTrustSSO平台上,无论是基于Web方式的B/S结构应用系统,还是安装客户端的基于C/S结构的应用系统。
对于C/S结构的应用系统,通过IE下载SSO控件,来对用户实现单点登录。
除上述配置信息外,通过UTrustSSO提供的窗口识别器,来配置C/S应用程序登录窗口的信息。
无需修改任何应用程序,透明的为用户实现单点登录过程。
5.1.2.新系统的集成
UTrustSSO与新建系统实现单点登录非常简单,它提供了认证接口,以提供给新开发的应用系统使用,新开发的应用系统通过调用UTrust的认证接口,可以实现与UTrustSSO系统的集成,用户在UTrustSSO系统上通过一次认证后,就可以被与其接口的应用系统认可,当用户访问应用系统时不需再进行认证,就可直接进入应用系统进行访问操作。
对于新开发的系统,业务系统无需再建立用户数据库,UTrustSSO上也无需再像老系统一样,维护其原有系统的用户名和密码。
新开发的系统只在UTrustSSO用户数据库中拥有一套用户身份信息(用户名和密码,或数字证书标识)。
5.1.3.增强身份认证
由于单点登录是用户一次登录后就可访问后台所有的应用系统,因此,对于一次认证的身份认证手段是很重要的。
在单点登录系统中,使用传统的用户名+静态口令方式对于一些重要的用户如财务系统人员和单位领导不太适宜。
针对于此,UTrust SSO也提供了增强的身份认证机制,并设置多种身份认证手段,对重要的人员使用基于数字证书的认证方式,并采用USBKey作为认证器,确保用户身份的唯一性和认证信息的机密性。
结合UTrustCA数字证书系统或是第三方数字证书系统都可以为企业提供增强的身份认证。
同时系统采用LDAP标准协议服务器,可以提供统一的身份认证平台,作为企业的统一用户数据库,为后续新建系统提供了一个统一的认证和身份管理平台。
5.1.4.统一资源授权
在UTrustSSO平台上注册企业或组织内所有需要保护的应用系统,对其进行描述,管理。
列出每一个应用系统下所具有的用户情况。
在每个系统下查询用户情况,以直观的方式显示每一个资源下有权访问的用户信息。
并对所有用户进行统一的授权。
采用基于角色的授权机制,按照企业内部的组织结构划分角色,并为用户绑定角色。
对于不同的角色分配不同的应用系统,以决定其是否可以访问还是不能访问某个系统。
授权后,在单点登录平台上将只会显示其有权访问的系统。
5.1.5.统一安全审计
UTrustSSO提供了统一审计功能,审计用户对应用系统访问的情况,为后续发生事故时提供了一个可追查的机制。
为管理员提供了一个统一的监控平台。
来审计管理员对UTrust系统的管理行为进行审计;普通用户的访问行为;UTrust系统的运行情况。
UTrustSSO提供强大的查询功能,可以按异常事件查询,也可以按一般事件组合查询。
并对审计信息进行分析统计,其结果以报表或图形的方式进行展现,以利于安全事件的快速、直观把握。
通过对保存的审计信息数据进行签名处理,可以防止人为修改系统记录下来的审计内容。
一旦发现审计内容被修改,审计信息将会出现特殊标识,以直观的方式呈现给管理人员。
5.1.6.统一安全管理
UTrustSSO统一安全管理中心为企业提供了统一认证,授权和审计管理平台。
系统管理员通过这个管理中心可对上述用户身份信息,认证,权限及审计信息进行统一的管理,并对UTrust系统本身进行维护管理。
UTrustSSO系统为管理员提供了友好的管理界面,管理端基于Web和管理方式,管理设置灵活简单。
在任何地点都可进行实时管理。
同时对管理员还提供了强身份认证保护,管理员可以使用数字证书登录后进行相应操作;并对于远程连接采用SSL连接,实现安全的远程管理,对敏感信息具有很好的保密性和安全性。
管理员通过系统配置工作,可将企业内不断增加的业务系统加入到UTrustSSO平台上。
实现系统的单点登录。
5.2.统一身份管理
5.2.1.采用基于标准的统一身份管理架构
针对以上的问题,建立一个统一的,基于业界标准(如LDAP,WebService,J2EE等)的,灵活、开放、可扩展性强的身份管理框架是最终可行的解决方案。
一个好的身份管理解决方案将复杂的身份管理问题变得简单、实用。
如图:
身份管理解决方案
网络身份管理信息的存放,目前采用较多的是基于LDAP的目录服务器。
将企业的人员、组织、工作组、角色、应用系统等信息统一存放在主目录(MasterLDAPDirectory)服务器中;可以根据数据的规模和各种具体因素,选择是否在分公司建立从目录(SlaveLDAPDirectory)服务器,并从主目录服务器中复制相应的信息,以实现维护、服务和负载的分布式部署。
LDAP,即轻量目录存取协议:
LightweightDirectoryAccessProtocol,是一个快速增长的对通用目录信息进行存取的技术。
LDAP已经被大多数面向网络的中间层所应用和实现。
作为一个开放,独立于任何厂商的标准,LDAP为目前分布式系统和服务中所要求的中央化信息存贮和管理提供了一个可扩展的结构。
在一个快速的发展之后,可以认为LDAP已经成为目录信息的标准方式,这非常象DNS一样用于在大多数Internet/Intranet系统中对IP地址的查询。
LDAP现在为大多数的网络操作系统,组件系统和应用所支持。
LDAP是以树状的层次结构来存储数据。
很多系统的配置系统和组织结构方式都可以用树型结构来模型化。
LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据,允许根据需要使用ACL控制对数据读和写的权限。
LDAP技术的应用是实现网络服务、目录存储和用户信息以及网络资源信息统一管理的基础。
LDAP组织结构图
5.2.2.委托管理和自注册管理
UTrustIDM允许将某项管理功能分配给指定的下级单位或合作伙伴,他们可以管理自己部门或单位内部的特定用户,执行特定的权限。
根据定制的策略,最终用户可以自助完成某些工作,无需管理员介入,包括用户主账号和二级账号自注册、密码丢失重置和个人帐号管理等,从而提高了工作和管理效率。
5.3.UTrustSSO门户集成解决方案
现代企业信息化建设的重要内容是进行门户系统的建设,给用户提供一个统一的信息服务功能入口。
而企业在门户建设时必须首要解决的是各系统互联互通,资源共享所带来的统一身份认证和单点登录的需要。
UTrustSSO整合各应用系统,实现单点登录功能。
结合UTrustSSO,企业可根据自身的情况,逐步实现完整的门户解决方案。
5.3.1.简单门户
利用UTrustSSO的门户平台来实现简单的门户实现方式,将企事业各系统或是个人个性系统显示在UTrustSSO平台页面上,用户通过UTrustSSO登录界面的一次认证后,就可看到其有权访问的一些应用系统列表,访问时直接点击就可进入。
5.3.2.与办公系统集成门户
企事业单位中一般经常访问的是办公系统,或是企业内部网站系统,UTrustSSO还可以与单位内原有的办公系统进行整合,将办公系统登录与UTrustSSO主登录集成,并将其他应用系统链接到办公平台内,形成办公门户。
或是将内部网站系统上链接其他应用系统,当用户在网站上登录后,直接点击就可进入其他应用系统,实现企业门户解决方案。
5.3.3.与专业Portal系统整合
一些大公司提供了专业的门户解决方案,并提供建设大型门户系统的中间平台,如IBM,Oracle等,这些大型的Portal开发公司使用Portlet集成应用系统时,也会面临一个如何将老的应用系统以尽少量改造的方式整合到Portal系统中,在前台实现单点登录功能。
UTrust SSO系统也可以与这样的专业门户系统进行集成,在专业的Portal系统中实现单点登录功能。
UTrustSSO单点登录系统也可以嵌入到Portal中,作为一个单点登录模块,完美的实现企事业单位专业的Portal解决方案。
5.4.与Windows域结合实现单点登录
与windows结合包括两方面的内容,其一为与域结合实现单点登录,即用户登录到域中后,即可访问所有的在UTrustSSO中得到授权的应用而不需进行再次登录;其二为UTrustSSO使用Windows域中的用户为系统本身的用户,这样不需要再单独再维护一套用户身份数据库。
Windows域本身已经实现单点登录的功能,但是限于使用Windows技术如asp,C#,.net开发的应用程序,如果企业内应用系统多样,则单纯依靠Windows域不能实现单点登录,另外,一旦用户不在域环境内,则无法正常使用应用系统。
UTrustSSO很好地扩展了Windows域的单点登录功能,不但Windows技术开发的应用系统可以实现单点登录,所有其它开发语言开发的系统也能实现单点登录;不但B/S系统可以实现单点登录,C/S系统也可以实现单点登录。
另外,UTrustSSO可以很好地解决用户不在域中不能正常访问系统及进行单点登录的问题。
5.5.与SSLVPN整合
UTrust统一身份认证平台基于LDAP技术构建,对于企业使用的SSLVPN系统,只要其支持LDAP协议,就可直接引用UTrust平台的LDAP中的用户信息,无需在本地单独建立用户数据库。
UTrust统一身份认证平台与这些系统已有很多成功案例。
如下图与VPN的配合。
在VPN上配置使用LDAP认证选项,将LDAP配置指向UTrust平台的LDAP,这样当用户登录VPN时,就可以直接到LDAP中进行认证,认证通过信息返回给VPN,VPN放行。
内外网单点登录:
外部用户可以通过这个平台安全的访问企业内部应用系统,并实现通过外网接入后也能进行单点登录,通过外网登录一次后,就可进入企业的内部的门户系统,展现其所能访问的系统,并且直接点击进入,无需再输入用户名和密码。
实现内外网单点登录。
用户身份信息统一:
通过配置,SSLVPN将认证指向UTrustSSO系统,与UTrustSSO使用同一套用户数据库,系统管理员只需维护UTrustSSO上的一套用户数据即可,实现了外网接入的统一用户管理和统一身份认证。
如下图所示:
UTrustSSO+SSLVPN系统认证结构图
5.6.UTrust系统的部署
UTrustSSO和外网接入设备部署在企业内部网络的防火墙之后,以保证UTrust系统自身和内部应用系统的安全性。
对于大用户量访问时(建议2000用户以上)可使用双机热备部署。
保证了系统的高容错功能。
部署实施完成后,企业用户登录业务系统时将不在面临分散式登录方式,用户只需通过UTrustSSO建立的门户系统,登录系统一次即可实现全网业务系统漫游。
用户在访问某个业务系统时,UTrustSSO单点登录系统会截获用户信息,并对用户进行安全可靠的身份认证(登录SSO服务器,只需一次),登录成功后,用户再访问其他业务系统时将不再需要身份认证,UTrustSSO单点登录系统在后台会自动代理该用户完成必要的认证过程,并且确保该用户的正确性、合法性和安全性。
对于管理员来说,在UTrustSSO的一个管理平台上,就可实现对所有用户的统一管理
UTrustSSO部署结构图
6.安装环境配置
由于UTrustSSO系统只在用户认证的时候登录一次,因此压力不大。
所以,系统对硬件的要求
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 门户 单点 登录 系统 解决方案
![提示](https://static.bdocx.com/images/bang_tan.gif)