《统一身份管理系统单点登录和身份同步接入规范》由会员分享,可在线阅读,更多相关《统一身份管理系统单点登录和身份同步接入规范(17页珍藏版)》请在金锄头文库上搜索。
1、国 网 统 一 身 份 管 理 系 统 单 点 登 录和 身 份 同 步 接 入 规 范项目名称 文档类别 文档编号 密 级 二九二九年七月八日第 2 页 共 17 页目 录一、国网统一身份管理系统介绍 .31.1 系统概述 .31.2 单点登录流程 .41.3 单点登录接入方式 .5二、国网应用系统单点登录集成 .62.1 国网应用系统集成分类 .62.2 应用系统权限管理模式 .72.3 单点登录集成要求 .92.4 单点登录集成流程 .12三、身份同步规范 .153.1 用户身份数据流 .153.2 帐号管理流程 .163.2.1 帐号创建流程 .163.2.2 帐号更新流程 .163.
2、2.3 帐号删除 /禁用流程 .163.3 帐号的身份同步 .173.4 数据库改造 .17第 3 页 共 17 页一、国网统一身份管理系统介绍1.1 系统概述单点登录目录系 统 国 网 公 司总 部 用 户用 户 用 户 应 用 组应 用角 色 组角 色应 用 组应 用角 色 组角 色Sgc国 网 总 部 省本 部 地 市部 处处 科用 户 用 户部处服 务应 用 组 用 户中 心处用 户应 用角 色 组角 色 国 网 公 司总 部 山 东用 户 用 户 用 户 用 户 湖 南用 户 用 户 四 川用 户 用 户同步用户同步同步获取权限管理信息访 问 网 关单点登录认证管理模块认证目录资源目
3、 录(部门/ 应用权威数据源)身份目录(用户权 威数据源)应用系统 认证管理模 块应用系统门户系统由上图可见国家电网统一身份管理系统由单点登录和目录管理两部分构成。其中单点登录采用的是 Novell 的单点登录产品 Access Manager,其单点登录通过 Access Manager 访问网关、单点登录认证管理模块、认证目录三部分协作实现。统一身份管理系统中的目录包含三类:认证目录、资源目录和身份目录。认证目录是专用于 Novell Access Manager 做用户认证使用的目录,目录中包含所有登录总部门户的用户。用户核心属性是用户名、密码以及单点登录到应用系统的帐号和密码。资源目录
4、是国网总部部门数据以及应用权限数据的权威数据源。在该目录下管理用户所属的组织机构信息、各应用系统的信息、各应用系统的分组角色信息等。组织机构信息、应用系统信息、分组角色信息等可供各应用系统认证管理模块做权限管理。资源目录中的用户核心属性是用户名、OU。身份目录是国网用户的权威数据源。所有国网总部的用户都从身份目录中开始创建、修改、删除。该目录下的用户具有最全面的用户信息,它实时向认证目录和资源目录中同第 4 页 共 17 页步用户信息。1.2 单点登录流程对于 Novell Access Manager 产品实现的应用系统单点登录,其流程如下:1、用户访问某个应用系统的单点登录 url;2、N
5、ovell 访问网关截获该访问请求,展示统一的单点登录页面;3、用户在统一的单点登录页面中输入统一的认证用户名和密码(即在认证目录中的用户名和密码) ;4、单点登录认证管理模块获取用户的录入信息,并与认证目录中的用户名和密码进行匹配验证,如果验证失败则返回:用户登录失败;5、验证通过后,单点登录认证管理模块将用户请求的应用系统 url 与内部的访问控制管理策略匹配,如果发现用户排除在允许访问的策略之外则返回:用户对指定资源的访问遭到拒绝;6、用户验证通过后,同时也被内部策略允许访问指定的资源,则单点登录认证管理模块从该用户的映射信息中提取出当前用户在指定应用系统的认证信息,提交给应用系统的认证
6、管理模块;7、应用系统的认证管理模块验证接收到的用户映射信息,不通过则返回给单点登录认证管理模块,然后由单点登录认证管理模块自动删除认证目录中记录的错误映射信息,并要求用户填写正确的映射信息;8、应用系统的认证管理模块验证用户映射信息通过,则向用户展示已登录信息,表示用户通过统一的认证入口单点登录到指定的应用系统中;9、如果用户在已登录的应用系统中链接访问其他应用系统,由于用户已经通过统一的认证入口,因此用户对其他应用系统的访问将依照第 5 步开始单点登录到任意授权访问的应用系统中。由以上过程可知,单点登录过程要跨越两个认证过程:统一的认证入口和应用系统的认证管理模块。在认证完成后,有两处可以
7、控制用户的访问权限,分别是通过统一认证管理模块和应用系统认证管理模块来控制,其中应用系统认证管理模块可以进一步使用分组和角色的方式来管理用户的访问权限。统一认证管理模块只能在访问控制策略中根据认证目录中的用户属性来控制哪些用户被允许或者被拒绝访问哪些 Web 资源(即应用系统 url第 5 页 共 17 页集合) 。1.3 单点登录接入方式根据 Novell 单点登录产品的特性,目前支持两种方式的单点登录接入方式:FormFill自动填表方式和身份注入。这两种方式都可以实现在统一认证完毕后,把特定信息(用户LDAP 属性信息或者与应用系统用户的映射信息)传递给应用系统自身的认证模块来实现单点登
8、录。1.3.1 FormFill 自动填表通过表单进行登录的应用系统在登录时均有一个登录页面,可以对该登录页面上需要提交的表单项设置自动填表策略。例如,在某个登录页面中,用于实现登录的表单的名称为:login ,需要提交的用于表示用户名的变量名为:username,用于表示用户密码的变量名为 password,那么填表策略就可以设置如下:表单名称:login提交的内容:变量名称:username; 类型:text变量名称:password; 类型:password是否自动提交:是该策略工作的方式:当用户访问到该页面时,如果该用户有权限访问该页面(由 AM的保护资源设置决定) ,该策略首先确定该
9、页面是否存在 login 这个表单,如果存在,就将策略里面定义的 username,password 填写到 login 表单对应项中(由 AM 的FormFill 策略决定) ,并模拟用户自动提交表单。应用系统接收到登录页面提交的用户信息后,应用系统认证模块验证用户名和密码,通过后返回登录成功的页面。也就是说,应用系统使用自身的认证模块来认证用户,AM实现单点登录的方式是模拟用户填写表单并提交。统一认证系统只负责判断用户是否允许访问资源以及传递后台应用系统所需要的信息。第 6 页 共 17 页1.3.2 身份注入除了通过表单提交来登录,另外一种比较常见的登录认证方式就是基本认证,简称基本认证。该认证的自动登录可以使用身份注入策略实现。身份注入策略默认支持基本认证的方式。可以通过在认证目录中获取当前用户的属性信息,并自动将用户属性添加到基本认证头信息里面以实现与应用系统的交互。如果该用户合法,基本认证通过,用户就被允许登录应用系统。同时,身份注入策略也可以提交自定义的头信息。也就是说如果应用系统需要其它用户信息也包含在头信息里面,可以通过身份注入策略自定义头信息来匹配应用系统所需要的其它信息。进一步方便了应用系统同统一认证系统的集成。例如,一个应用,使用基本认证,同时它还需要在头信息里面传递用户的邮箱信息,身份注入策略可以如下定义:使用身份注入策略
