统一认证和单点登陆.doc

统一认证和单点登陆

通过统一身份认证和访问控制为用户提供方便的访问接口和平安的信息效劳，使用户只需一次登陆就可方便、快捷地访问多个应用系统和资源。建设统一身份认证和访问控制管理平台的主要目标是：

建立一套完整的身份认证体系；

建立统一身份认证中心；

建立OA系统身份认证和各业务应用系统的身份认证接口标准，以使各个业务应用系统和新增系统的身份认证机制与OA系统保持一致；

建立合理的资源访问控制机制以及相应的资源访问策略，准确定义用户、角色、权限三者之间的关联映射；

通过统一身份认证和访问控制管理平台，提供一个统一的用户认证、授权、审计和管理框架。

通过平安平台做统一的用户管理，提供单一注册的平安解决方案可以使平安管理得到大大简化，并实现统一的用户访问授权模型的建立和维护，提供基于门户系统上的单点认证，平安访问其他B/S应用。

XXXX办公自动化系统一期建设实现与U9系统的单点登录功能。

用户登陆双因素认证

身份认证是网络平安的根底。而目前最常用的身份认证手段就是密码。静态密码的高风险性众所周知，因此，采用动态口令的强认证技术做为身份认证的手段已成为越来越普遍和迫切的选择。

RSA强认证原理极为简单，令牌〔内置了电池和芯片〕和认证效劳器采用相同的算法，这个算法是与时间因素相关联的。令牌里面已经内置了唯一的128位种子文件(初始值)，当把该块令牌的种子文件导入到认证效劳器的时候，在同一时间，令牌和认证效劳器所运算出来的结果是一致的。这样，当用户使用这个令牌进行登录的时候，认证效劳器通过比对运算结果即可识别访问者的身份。这就是时间同步的专利技术〔RSA是该专利创造者和持有人〕。

而双因素认证那么是指，用“所知道的”再加上“所能拿到的”这二个要素组合到一起才能确认合法的身份。RSA的双因素令牌要求使用者在第一次使用令牌登录系统时即设定一个静态PIN码〔即“所知道的”〕。以后，这个用户每次登录系统的时候要先输入自己的PIN码〔“所知道的”〕再连续输入所看到的令牌码〔令牌是“所能拿到的”〕即构成一个完整的双因素口令，这也就是我们通常所说的强认证。

使用RSA强认证解决方案可以保护各种需要保护的资源。

例如，客户可根据自身业务开展和IT平安管理需要灵活定义并保护自己的各种敏感资源，以便确保适宜的人在适宜的时间访问适当的资源。这些资源包括网络设备、防火墙、远程接入与访问(VPN)、无线网络接入、操作系统登录、Windows离线认证、应用系统的保护(Oracle、WebServer等等)、业务系统的登录保护、对网银用户在线交易的身份保护……。

图SEQ图\*ARABIC25RSA双因素口令的构成

图SEQ图\*ARABIC26RSA双因素身份认证系统的原理

图SEQ图\*ARABIC27RSA双因素身份认证系统可以保护各种资源

用户目录效劳

门户系统使用统一的帐户管理，利用IBMDirectoryServer构建企业级的用户目录数据库，为用户的主动管理和标准管理奠定了根底。借助IBMTivoliDirectoryServer目录效劳系统使得采用一致的用户帐户和密码，一次登录企业所有的信息系统，包括办公自动化系统。门户系统利用权限的控制和个性化的知识展示，使得企业面向内部员工采用一致的信息门户和登陆场所，提供集成化的信息效劳。

IBMTivoliDirectoryServer是一个功能强大、足够平安并且符合标准的企业目录，目录效劳器起着身份数据根底的作用，它通过提供强大的管理、复制和平安功能，实现Web应用程序的快速开发和部署以及平安和身份管理方案。有了IBMTivoliDirectoryServer，可以选择自己的身份验证策略，可以使用单一用户ID和口令来进行身份验证，或者可以实现更平安的基于数字证书的身份验证结构。

统一用户管理

解决方案以LDAP来构建用户管理中心，往下通过元目录系统与原有应用系统中的用户进行整合，采用Portal技术实现统一的界面展示。通过IDI〔IBMDirectoryIntegrator〕同步不同系统的用户目录IDS〔IBMDirectoryServer〕，提供业务系统一致的用户管理信息的根底上，IBMTivoliIdentityManager基于角色和工作流进行用户的批量创立，删除和管理，实现系统统一，高效的用户管理。

图SEQ图\*ARABIC28统一用户管理系统架构

利用IBMTivoliIdentityManager，管理员可以为用户ID、用户密码、ID部署等工作创立可以重用的策略，从而简化用户属性和访问权限的管理和定义工作。

用户信息的同步

用户信息的整合将是实现统一用户管理和单点登录首要考虑