G-ONE統(tǒng)一用戶認(rèn)證方案資料

全部信息與應(yīng)用，為員工集中獲取企業(yè)內(nèi)部信息提供渠道，為員工集中處理企業(yè)內(nèi)部IT系系統(tǒng)采用先進(jìn)的面向服務(wù)的體系架構(gòu)，基于PKI理論體系，提供身份認(rèn)證、單點登錄、訪問授權(quán)、策略管理等相關(guān)產(chǎn)品，這些產(chǎn)品以服務(wù)的形式展現(xiàn)在SSO系統(tǒng)中，用戶能方便的使用這些服務(wù)，形成企業(yè)一站式信息服務(wù)平臺。身份認(rèn)證軟件信息加密訪問控制軟件其它服務(wù)信息加密軟件其它安全軟件訪問控制服務(wù)代理應(yīng)用程序應(yīng)用程序組合服務(wù)立，任何一個安全功能的調(diào)整和增減，不會造成應(yīng)用程序調(diào)用的修改和重復(fù)開發(fā)。安全瀏覽器專用客戶端完整信息加密通道關(guān)鍵信息加密通道安全瀏覽器專用客戶端完整信息加密通道關(guān)鍵信息加密通道信息加密通道認(rèn)證前置身份認(rèn)證服務(wù)訪問控制服務(wù)單點登錄服務(wù)身份管理服務(wù)角色管理服務(wù)智能卡管理服務(wù)安全審記服務(wù)應(yīng)用等AllDBDBLDAPCA安全認(rèn)證中心基礎(chǔ)設(shè)施數(shù)字證書網(wǎng)上受理服務(wù)A系統(tǒng)部署系統(tǒng)員工2A應(yīng)用（門戶）B應(yīng)用（門戶）1、黑色箭頭描述了員工通過A系統(tǒng)訪問B系統(tǒng)的模塊調(diào)用邏輯關(guān)系；2、紅箭頭描述了員工通過B系統(tǒng)訪問A系統(tǒng)的模塊調(diào)用邏輯關(guān)系；第三重情況，可以采用兩個登錄入口，用戶名+口令的走一個入口，有證書的走另一個入口，兩個入口不能同時被一個用戶使用，即有證書的不能系統(tǒng)中主要選用數(shù)字證書+用戶信息，用戶名+口令+用戶信息作為身份憑證的補充。當(dāng)用戶LDAP總認(rèn)證中心證書同步機制證書同步機制分認(rèn)證LDAPLDAPLDAPLDAPLDAPLDAP1、證書受理采用集中受理模式，所有員工的數(shù)字證書通過網(wǎng)上受理中心統(tǒng)一提交到CA中3、建立企業(yè)認(rèn)證體系，由總認(rèn)證中心和分認(rèn)證中心組成；4、總認(rèn)證中心的證書庫直接采用網(wǎng)上受理系統(tǒng)的證書庫，總認(rèn)證中心可負(fù)責(zé)所有員工的統(tǒng)5、分認(rèn)證中心的證書庫采用同步定時分發(fā)機制，從總LDAP數(shù)據(jù)庫中獲取證書信息；若認(rèn)證失敗，可以直接到總認(rèn)證中心進(jìn)行認(rèn)證；7、所有認(rèn)證中心采用負(fù)載均衡技術(shù)，保證認(rèn)證效率和速度；數(shù)字證書身份認(rèn)證系統(tǒng)，采用CA數(shù)字證書和數(shù)字簽名等技術(shù)進(jìn)行身份識別，將代表用戶身份的數(shù)字證書和相應(yīng)的私鑰存儲在密碼鑰匙(USB接口的智能卡)中，私鑰不出卡，保證中傳輸，具有更高的安全性，從而解決了網(wǎng)絡(luò)環(huán)境中的用戶身份認(rèn)證問題。系統(tǒng)簡單易用，將數(shù)字證書這一“復(fù)雜”的工具隱藏在系統(tǒng)后臺，使用者不需要了解安全知識就能方便使用；同時，系統(tǒng)支持第三方CA（例如CTCA可為政府、軍隊和企業(yè)提供集成的安全認(rèn)證解決方案。系統(tǒng)總體結(jié)構(gòu)字簽名和加解密工作,它是用戶數(shù)字證書和私鑰的載體。功能模塊描述統(tǒng)的訪問，提供全面的認(rèn)證、授權(quán)和審計服務(wù)。庫中，并具有安全、完備的數(shù)據(jù)庫管理、備份功能；安全認(rèn)證服務(wù)器擁有功能強大的圖形化管理界面，提供用戶管理、網(wǎng)絡(luò)服務(wù)器管理、審計管理等全部系統(tǒng)管理功能。安全認(rèn)證服務(wù)器有五部件組成：系統(tǒng)認(rèn)證模塊、用戶管理模塊、授權(quán)管理模塊、審計管理模塊、數(shù)據(jù)庫。通過數(shù)字證書的校驗和對用戶數(shù)字簽名的驗證，實現(xiàn)對用戶身份的識別。完成對用戶的授權(quán)管理，控制用戶對系統(tǒng)資源的訪問權(quán)限。完成日志的查詢、對用戶的行為進(jìn)行審計。信息（如用戶密鑰）以加密方式存儲。義的接口，從事先選定好的用戶信息最全的應(yīng)用系統(tǒng)中或人力資源系統(tǒng)中或AD、LDAP中導(dǎo)(1)、針對用戶實際情況，選擇人力資源系統(tǒng)或用戶信息最全面的應(yīng)用系統(tǒng)作為用戶信基礎(chǔ)上對用戶進(jìn)行分組或自動分組，便于進(jìn)行單點登錄授權(quán)。式和以系統(tǒng)為主自動同步到各個應(yīng)用系統(tǒng)的模式。以外部信息為主的模式適用于用戶已經(jīng)建以外部信息為主模式(1)、根據(jù)事先定義好的Web接口，外部信息系統(tǒng)（通常為人力資源系統(tǒng)）在進(jìn)行用戶），(2)、系統(tǒng)根據(jù)發(fā)送過來的用戶調(diào)整信息，相應(yīng)的在本地數(shù)據(jù)庫或目錄服務(wù)中調(diào)整用戶(3)、系統(tǒng)將調(diào)整后的用戶信息通過Web接口自動同步到各個應(yīng)用系統(tǒng)，由各個應(yīng)用完(1)、管理員通過管理界面在系統(tǒng)中進(jìn)行用戶信息調(diào)整時（增加、刪除用戶和修改用戶(2)、各個應(yīng)用系統(tǒng)根據(jù)發(fā)送過來的用戶調(diào)整信息，相應(yīng)的在本地數(shù)據(jù)庫或目錄服務(wù)中(三)用戶信息統(tǒng)一管理的特點誤，平臺系統(tǒng)會有一個自動提示并給應(yīng)用系統(tǒng)管理員發(fā)送郵件；清晰，可靈活擴展。安全性——對用戶信息傳輸和儲存采用簽名和加密等安全措施。權(quán)或手工授權(quán)方式，為用戶分配角色、對應(yīng)用系統(tǒng)的訪問權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限，完成對用戶的授權(quán)。如果用戶在用戶信息庫中被刪除，則其相應(yīng)的授權(quán)信息也將被刪除。1、用戶信息統(tǒng)一管理，包括了用戶的注冊、用戶信息變更、用戶注銷；2、權(quán)限管理系統(tǒng)自動獲取新增（或注銷）用戶信息，并根據(jù)設(shè)置自動分配（或刪除）3、用戶管理員可以基于角色調(diào)整用戶授權(quán)（適用于用戶權(quán)限批量處理）或直接調(diào)整單5、用戶登錄到應(yīng)用系統(tǒng)，由身份認(rèn)證系統(tǒng)檢驗用戶的權(quán)限信息并返回給應(yīng)用系統(tǒng)，滿足應(yīng)用系統(tǒng)的權(quán)限要求可以進(jìn)行操作，否則拒絕操作；6、用戶的授權(quán)信息和操作信息均被記錄到日志中，可以形成完整的用戶授權(quán)表、用戶統(tǒng)一身份管理及訪問控制系統(tǒng)（SSO）的典型授權(quán)管理模型如下圖所示：的安全保障和信息服務(wù)，共享安全優(yōu)勢。和系統(tǒng)服務(wù)之間的安全通信。2)用戶登錄中心后，根據(jù)用戶提供的數(shù)字證書確認(rèn)用戶的身份。3)訪問一個具體的信息資源時，系統(tǒng)服務(wù)用訪問代理對應(yīng)的數(shù)字證書,把用戶的身份信息機密后以數(shù)字信封的形式傳遞給相應(yīng)的信息資源服務(wù)器。份。根據(jù)用戶身份，進(jìn)行內(nèi)部權(quán)限的認(rèn)證。統(tǒng)一身份管理及訪問控制系統(tǒng)用戶數(shù)據(jù)獨立于各應(yīng)用系統(tǒng)，對于數(shù)字證書的用戶來說，用戶證書的序列號平臺中是唯一的，對于非證書用戶來說，平臺用戶ID（passport）是唯一的，由其作為平臺用戶的統(tǒng)一標(biāo)識。如下圖所示：(1)、在通過平臺統(tǒng)一認(rèn)證后，可以從登錄認(rèn)證結(jié)果中獲取平臺用戶證書的序列號或平(2)、再由其映射不同應(yīng)用系統(tǒng)的用戶賬戶；(3)、最后用映射后的賬戶訪問相應(yīng)的應(yīng)用系統(tǒng)；賬戶的一個映射關(guān)系即可，不會對其它應(yīng)用系統(tǒng)產(chǎn)生任何影用系統(tǒng)之間用戶交叉和用戶賬戶不同的問題。單點登錄過程均通過安全通道來保證數(shù)據(jù)傳輸B/S結(jié)構(gòu)應(yīng)用系統(tǒng)用戶均采用瀏覽器登錄和訪問應(yīng)用系統(tǒng)，因此采用統(tǒng)一認(rèn)證門戶，在統(tǒng)一認(rèn)證門戶登錄認(rèn)證成功后，再訪問具體B/S應(yīng)用應(yīng)用系統(tǒng)。B/S應(yīng)用系統(tǒng)接入平臺的架SSO系統(tǒng)提供兩種應(yīng)用系統(tǒng)接入方式，以快速實現(xiàn)單點登錄：(1)反向代理（ReverseProxy）方式用該方式接入統(tǒng)一用戶管理平臺。反向代理技術(shù)：實現(xiàn)方式為松耦合，采用反向代理模塊和SSO的單點登錄（SSO）認(rèn)證服務(wù)進(jìn)行交互驗證用戶信息，完成應(yīng)用系統(tǒng)單點登錄。進(jìn)行交互驗證用戶信息，完成應(yīng)用系統(tǒng)單點登錄。緊耦合方式提供多種API，通過簡單調(diào)用即可實現(xiàn)單點登錄（SSO）。對于J2EE環(huán)境，提供JAR包對于ASP/.Net環(huán)境，提供COM組件對于Domino環(huán)境，提供DSAPI對于有原廠商配合開發(fā)的應(yīng)用系統(tǒng)，可以使用該方式高效地接入SSO系統(tǒng)中。證通過后，在用戶端啟用相應(yīng)的客戶端程序。提供多種環(huán)境的接口包，應(yīng)用系統(tǒng)開發(fā)工作量?。惶峁┒喾N接入方式，系統(tǒng)實施靈活，接入周期較短；認(rèn)證過程中采用多種安全加密技術(shù)，保證認(rèn)證信息的安全性；單點登錄功能穩(wěn)定可靠，為多應(yīng)用系統(tǒng)提供良好的登錄認(rèn)證服務(wù)。SSL協(xié)議的安全通道產(chǎn)品，實現(xiàn)了服務(wù)器端和客戶端嵌入式的數(shù)據(jù)安全隔離機制。件個元素來完成：SSL客戶機和服務(wù)器第一次開始通信時