《{安全生产管理}中国移动门户系统安全配置手册》由会员分享,可在线阅读,更多相关《{安全生产管理}中国移动门户系统安全配置手册(31页珍藏版)》请在金锄头文库上搜索。
1、密 级:文档编号:项目代号:中国移动SunOne Portal安全配置手册Version 1.0中国移动通信有限公司二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取目 录第一章SunOne Portal安全概述61.1SunOnePortal简介61.2工作原理71.2.1安全的接入81.2.2用户的身份认证和授权:91.2.3资源的访问控制91.2.4集中的信息存取101.
2、3功能与定位101.4特点和局限性11第二章3A服务122.1身份认证(Authentication)122.2授权(Authorization)132.3安全管理(Administration)142.3.1用户的管理142.3.2资源的管理152.3.3Directory Server的管理17第三章SunOne Portal资源的访问控制193.1Portlet访问其他应用系统的方式193.2Porlet和Container203.3用户、组织、角色203.4Service和Policy 的应用:213.5访问控制资源223.6Degelated Administrator243.7客户
3、化用户登录验证模块253.8使用SSL访问SunOne Portal28附录 术语表31第一章 SunOne Portal安全概述1.1 SunOnePortal简介SunOne Portal是Sun公司为企业提供的信息门户解决方案产品,它是基于C/S的Web架构,能够满足B2B, B2C, B2E的企业信息平台要求。SunOne Portal能够对企业的各个应用系统进行整合展现,能够根据用户的需要进行内容定制和个性化展现。它能够对企业各应用系统资源进行统一管理,对各系统用户进行统一管理,能够按用户权限对资源进行分配,实现SSO单点登录。SunOne Portal的标准配置产品包括:SunOn
4、e WebServer, SunOne Identity Server, SunOne Directory Server, SunOne RemoteAccess. Mobile RemoteAccess(这里介绍的技术是依据Portal Server 6.2)。SunOne WebServer: 它是Web服务器, 为Portal应用提供java运行环境。支持SSL加密通讯。SunOne Identity Server:它是SunOne 的认证服务器,为Portal提供认证服务,包括身份认证,授权服务,单点登录服务。SunOne Directory Sever: 它是SunOne的目录服务器
5、,为Identity Server、Portal server提供信息存储服务:包括用户信息,访问配置信息,认证信息,权限信息以及portal的配置信息。SunOne Portal Remote Access: 它为Portal Server提供外网接入服务。是用户由外网访问Portal的反向代理,支持SSL访问协议。Mobile Remote Acess:提供支持WAP协议的手持设备的访问服务。1.2 工作原理 下图是江苏移动统一信息平台的首页:在这个页面中,用户通过登陆到江苏移动的统一信息平台访问到OA系统,经营分析等系统提供的功能,这些系统的功能是通过统一信息平台展现给用户的。 Port
6、al的信息是以Portlet为最小单位展现给用户的,每个portlet都为用户提供相应的功能。在页面上,多个porlet组成了Tab页面用户可以通过点击Tab链接进入到相关主题的页面。Portal的开发主要包括如下几个方面:1 集成内容的开发;确定要集成的内容和方式。完成由Portal到其他系统单点登录,数据抽取和展现的工作。2 Portlet和页面的开发、部署。Porlet是内容的展现。Tab页是多个Portlet聚合在一起的页面。它们的开发是按照用户对界面的需求来进行的。3 用户、组织、角色信息和服务(service)信息建立。在Identity Server上建立用户信息、组织、角色信息
7、及服务信息。服务包括很多种类,我们常用的是桌面服务(desktop service),我们根据用户的需要建立不同内容的桌面服务。4 Desktop Service的分配。按照需求将不同的桌面服务分配到不同的组织、角色、用户中去。下面着重介绍SunOnePortal的安全方面的特性:下图是一个典型通过Remote Access访问Portal系统的拓扑示意图:SunOnePortal安全性包括四个方面: 一,安全的接入,二, 用户的身份认证和授权。三,Portal的资源访问控制。四,集中的信息储存。1.2.1 安全的接入安全接入是保证访问用户和server之间,提供不同服务的server和ser
8、ver之间传递的数据不被监听,窃取和窜改。并且保证Portal服务器对终端用户开放的服务仅仅限于http或https的服务端口。对于用户通过外网访问portal,要先通过RemoteAccess组件,这之间的访问协议通常配置成SSL, 企业员工在企业DMZ区访问Poral,访问协议也支持SSL。 而在Portal服务器和Directory Server之间的访问同样支持ldap协议上的SSL。这样就确保从用户到RemoteAccess,从Portal到Directory Server之间的信息传递的安全性。RemoteAcess通常是部署在企业的DMZ区,通常有两块网卡,一个连接到Intern
9、et,另一块连接到企业的内部网。企业员工如果从外网访问Portal Server的服务, 键入的是RemoteAcess所提供的网页地址,RemoteAcess通过对URL地址的重写,将以用户的请求转发给Portal Server来处理并将结果转发给用户。1.2.2 用户的身份认证和授权:用户访问Portal的身份的认证和授权是由Identiy Server来完成的。当用户访问Portal服务时。IdentityServer首先截获用户的请求。当检测到用户没有被认证过后,Idnetity Server就会将用户转向到登录界面。要求用户输入用户名和密码。在用户提交用户名和密码后。Identity
10、Server会到Directory Server的用户列表中去匹配,如果验证通过,IdentityServer就会将用户的组织信息角色信息取出来,放在session中, 并对用户要访问的Portal桌面进行进行权限匹配,如果该员工有权进行访问。则IdentityServer就将用户重定向到Portal的服务页面。而Portal则根据用户的在session中存储的用户桌面服务信息来组织页面。1.2.3 资源的访问控制Portal作为一个集成平台。所集成的系统是通过Web页面来展现给终端用户的。页面上信息的展现单位是Portlet, Tab页是多个portlet的集合。对于不同组织,角色的用户来说
11、他们的权限是不同,通过Portal访问到的应用系统也不同。用户看到的portlet、Tab页都不会相同。另一方面Portlet和Tab的组织,可以根据用户的需求。按照组织,角色进行定制。在SunOnePortal中控制不同Portlet组合、页面组合。不同权限用户的页面就是不同的Tab页和porlet的组合。这些组合(包括属性信息)是存放在Desktop Profile文件中的,是用户、组织、角色的属性。在开发过程中,我们要开发这些Tab页和portlet,来将其他系统集成在portal上。 再根据需求对组织的desktop profile,角色的desktop profile或用户个人的de
12、sktop profile进行定制,以完成个性化,角色化、组织化的桌面资源展现。1.2.4 集中的信息存取Direcotry Server是Portal平台的重要组成部分。它为Portal提供信息存储服务。Portal所有的配置信息;用户,组织,角色等的信息都存储在 Directory Server中。 Portal和Directory Server之间的通讯是LDAP协议,或基于LDAP的SSL协议。在安装过程中,DirecotryServer为Portal提供一个访问用户,这个用户用于建立和维护Potal的所有配置信息和用户等信息。用户名的密码是以加密的形式储存在Portal的配置文件中。
13、1.3 功能与定位SunOne Portal是一个企业级的信息门户平台。这个平台为提供给企业如下的功能:1 为企业各个应用系统提供内容聚合展现的平台:企业的各个应用系统往往都是各自独立的。用户在访问它们的时候,要做很多重复登陆操作。Portal通过实现对各个应用系统的内容聚合展现, 使得用户通过一个平台就可以访问到多个系统, 这样大大的方便用户。通过这样的整合展现,提高了各应用系统之间信息关联性和共享性。 SunOne Portal为企业建立了一个信息交流和共享的平台,一个协同工作的平台。这是Potal的最大的优点。2 实现单点登陆,提高安全性:用户登录Portal之后,访问其他系统无需再次输
14、入用户名/密码。这一方面方便了用户使用。另一方面也提高了系统的安全性,因为记忆和使用多个用户名和密码这会在客观上给系统带来不安全性。Portal的功能之一是将各应用系统的用户名和密码进行整合。使用Portal对它们进行统一管理。3 实现统一的用户管理,建立集中的用户资源信息:对于不同的应用系统,用户的信息往往也是分散而各自独立。随着企业信息化建设的深入。系统之间的关联性愈来愈重要。用户信息的不同往往给信息的共享和交换带来很大的不便,同时多个用户名的管理和维护也给企业带来安全上的隐患。Portal通过建立统一集中的用户信息。为企业的其他应用系统提供了统一集中的的目录信息服务。为了兼容其他用户系统
15、,SunOne Portal可以通过Meta Directory Server软件,实现和现有系统的用户信息同步。通过对IdentityServer的员工信息的管理,就可以实现对各个应用系统的用户的管理。这样的集中管理, 免除了分散管理所带来的弊端, 增强了用户信息的集中性和利用率,也为企业的员工信息化管理建立了一个统一、标准的平台。 1.4 特点和局限性SunOne Portal 作为企业门户网站解决方案,它实现了标准的电子商务体系结构。它所提供的核心产品,为用户提供了具有高度可伸缩的门户网站的基础结构。用户在这个基础上可以做更进一步的扩展:将更多的应用系统集成进来。实现应用集成,信息共享,协同工作等功能。在技术层面上看,SunOne Portal是web的应用系统。SunO
