|
http://www.huilan.com/tabid/70/Default.aspx 中科汇联网站
SSO
统一用户认证介绍:
SSO
(
Single Sign-on
)即单次登录,指用户只需向网络验证(即证明他或她的身份)一次身份,之后无需另外验证身份,就可访问所有被授权的网络资源。这里的网络资源包括从打印机和其它硬件,到应用程序、文件和其它数据的一切资源,它们可以散布于整个企业内运行不同操作系统的不同类型的服务器上。
企业用户在构建
SSO
系统的时候,一般采用建立独立认证平台的方式进行构建,在这个认证平台上实现用户账号的集中统一管理,实现对用户操作的权限控制,实现对用户操作行为的审计。
1.
用户通过认证客户端登录认证服务器,认证服务器根据该用户的授权返回相应的授权信息
2.
用户根据授权信息访问相应的服务器
3.
中科汇联
SSO
管理器通过远程和本地管理认证和授权平台
目前实现
SSO
的技术主要有两种:
1.
利用自动化登录技术,来屏蔽用户登录不同系统的过程;
2.
采用一个具有
SSO
功能的协议来完成。无论用哪一种方式来实现
SSO
,都有一个共同的过程需要完成,就是最初的登录过程。
采用自动化登录技术,就是屏蔽用户登录目标系统的过程,原来用户在使用目标系统的时候,需要输入用户名和口令(或者其他认证方式),自动化技术能够通过一些脚本自动为用户输入口令和用户名,而整个登录过程对用户透明。这种方式一般对目标系统较为透明,能够通过脚本完成对绝大多数目标系统的登录过程。但是登录脚本的编写和使用对于用户比较专业,要求较高。
采用具有
SSO
功能的协议来完成的一个典型代表就是使用
Kerberos
协议,
Kerberos
协议提供了采用票据来访问目标系统,这也是目前采用的一种比较流行的单点登录技术;但是这种技术有一定的不足,就是它需要对目标系统或目标服务进行
Kerberos
化,这就限制它对一些封闭系统的应用如网络设备上的应用;因为在目前的很多的网络设备上都不支持
Kerberos
认证。
如果把以上两种技术进行有机的结合,就能比较好地解决这些问题,中科汇联
SSO
访问管理平台,可以以任意组合方式支持以上两种认证技术,实现灵活。其访问流程如左图所示。
中科汇联
SSO
管理平台基于开放性设计架构,为企业应用间实现账户统一管理,为企业用户提供单次登录,为企业管理提供基于角色的授权机制,平台支持包括应用程序,网络设备、网络资源访问、操作系统等多层面的资源访问管理。
SSO
统一用户认证系统功能:
l
SSO
单点登陆服务
:
单点登录为用户提供统一视角的、个性化的
Web
内容与服务,通过对于基于
Email
的方式,也可以设置为其他唯一用户认证方式,实现良好的用户体验、更好的安全性,并降低了由于密码遗失所产生的支持费用。并可以根据每个用户的需求和访问权限轻松地为其提供个性化的页面,而那些没有被授权访问的内容在页面上则不显示,这样就减少了被黑客攻击的机率,提高了安全系数。
l
权限管理与群组管理
:系统提供对于统一用户认证系统自己的管理员权限的分派与管理,方便管理员维护用户权限和安全。群组的管理,可以大大提高管理者的效率,降低管理者的工作量。
l
安全管理和
IP
过滤
:包括对于用户信息的加密处理和传输,保证用户信息的安全性和不可盗用性。并通过
IP
地址过滤的功能,实现对于用户或用户组的
IP
过滤的功能,解决系统的管理的方便性和应用的安全性的问题。
l
系统日志和数据备份恢复
:系统提供对于系统日志的记录和用户数据的备份和恢复的管理,解决各种黑客攻击或灾难备份的需要,保证系统的安全。
l
其它应用
SDK
接口
:系统的
SDK
接口包括用户登陆认证接口,用户信息修改接口,多语言支持接口等,方便其他应用系统调用使用。
l
应用系统统一消息接口
:为了实现对于
OA
,业务系统等各种审批事项以及消息提醒的功能,在系统中,我们采用统一消息接口,实现对于同步和异步消息的传输处理,这样可以在自己的工作台面上实现快速的消息查看功能,方便各种业务的快速处理能力。同时系统可以提供对于
MSN
的
Message
的支持能力以及对于手机短信
SMS
的消息扩展支持的能力。这样就可以形成一整套完整的消息相应机制,实现统一的消息管理。
|