《单点登录案例》由会员分享,可在线阅读,更多相关《单点登录案例(20页珍藏版)》请在金锄头文库上搜索。
1、多应用环境下的认证与授权詹榜华 北京数字证书认证中心“信息强政”的网络信任需求 “信息强政”成为电子政务建 设的主题 电子政务建设进入了业务驱 动阶段,并开始促进体制改 革 互联互通、共享协同成为提 高电子政务效益和效率的重 要措施 应用开展迫切需要 防止身份假冒 防止越权访问 防止信息篡改 防止推卸责任我们在这里源于GARTNER互联互通的障碍 信息安全问题:担心互 连互通会对信息系统失 去控制,给系统带来新 的安全风险; 管理问题:缺乏信息共 享的管理机制,共享范 围不清,责、权、利不 明。 我们希望:实现的是有 效控制下的局部资源共 享用户户名输输入用户户名/口令登录口令多应用环境下用户
2、安全管理的需求对于管理员 每个应用都对应一套用户管理,针对一个 用户,无论增/删/改,都需要多次操作 每个应用都有不同的权限管理,复杂的操 作带来安全隐患对于应用系统 各应用信息资源不共享,形成信息孤岛 应用系统对认证、访问控制的安全措施不 完善,满足不了安全需求,影响整个安全保 障体系的建设管理员工作人员应用1应用2应用3对于用户 记忆针对多个应用的多个凭证 访问多个系统需要多次登陆用户只需一个凭证只需一次登录应用系统信息资源整合信息统一标识规范和 接口规范管理员信息的一致性集中管理安全保障体系用户管理统一的安全策略服务解决之道 统一认证管理如果统一认证管理统一认证管理1 1、集中统一管理用
3、户、机构、集中统一管理用户、机构、角色、应用等信息、角色、应用等信息 2 2、统一认证,实现单点登录、统一认证,实现单点登录 3 3、基于角色的访问控制基于角色的访问控制 4 4、应用间信息同步和共享、应用间信息同步和共享 5 5、安全策略和安全管理、安全策略和安全管理所需解决的重要问题 认证 多种认证凭证的管理 授权 分级授权,自由授权路由 交叉授权 单点登录 协议安全性 异构环境的集成 用户管理 集中与分级管理模型 安全审计 安全策略设定 审计审计(Audit)用户管理 Administration授权管理 Authorization单点登陆 Single sign-on认证管理 Auth
4、enticationUAMS应用1应用2应用3工作人员身份认证 服务统一认证管理系统信息服务管理员后台 管理数据库数据库统一认证 单点登录用户信息共享同步 用户管理机构管理角色管理应用管理UAMS系统架构管理(Administation) 认证(Authentication) 授权(Authorization ) 审计(Audit)身份认证管理 统一认证服务 不同安全等级的认证 用户名/口令,数字证书, USBKey,生物识别(指纹) 认证凭证的生命周期管理 口令有效性检查、定时更换 数字证书申请、吊销、更新 认证策略管理 对特定系统、用户认证等级要求安全可靠的单点登录基于属性令牌,包含有效期
5、 和数字签名,安全可靠 适用异构环境,易用集成灵活的授权模型 灵活的授权模型 基于角色 基于业务权限 收放自如的控制粒度 系统级授权 系统功能级用户授权 访问角色访问角色业务权限业务权限业务权限业务权限应用系统用户用户 资源(业务权限)资源(业务权限)角色角色用户用户角色定义角色定义角色关联角色关联授权模型一: 基于角色的授权直接授予业务权限直接授予业务权限授权模型二: 基于业务权限的授权东城区财政管理员东城区财政管理员方便可扩展的分级授权授权路由可控并能灵活设计 上级管理员制定下级管理员 路由范围 自动继承的业务权限 下级两种授权模型,继承业 务权限 可以无限制扩展授权级别 授权情况可方便的
6、监控东城区预算管理员角色东城区预算管理员角色预算审核角色预算审核角色市财政管理员市财政管理员市预算管理员角色市预算管理员角色预算审核角色预算审核角色生成授权规范可控的系统管理统一身份认证系统本身的管理 可采用集中或分级管理 安全审计员 系统管理员 单位管理员 分级管理分级授权模式。 用户身份信息和用户的访问控 制相关的授权信息均分级管理 上级管理员确定下级管理员的 管理范围统一身份认证系统统一身份认证系统安全审计员安全审计员系统管理员系统管理员 (初始)(初始)系统初始化安全审计管理员管理用户管理授权管理单位管理员单位管理员系统管理员系统管理员角色管理用户管理机构管理资源管理配置管理产生管理员
7、用户管理授权管理产生下级管理员下级单位管理员下级单位管理员 信息共享与同步同步机制 与基于关系型数据库(DB)的应用系统同 步 WebServices技术(SOAP协议) 与基于目录(LDAP)的应用系统同步 采用LDAP协议和JNDI技术实现 与基于域控制器的应用同步 JNDI或ADSI(Active Directory ) 同步策略 操作及时同步 操作批量同步:根据机构、角色、应用系统 等选择批量用户进行同步 事后同步。 应用系统集成单点登录集成 信息共享同步集成 统一编码规范体系 BJCABJCA统一认证系统接入的应用系统总数达统一认证系统接入的应用系统总数达200200多个多个 C/S
8、结构系统15个,B/S结构系统190个 数据库方式同步数据的系统9个,接口方式同步数据的系统累计为: 190多个,LDAP目录方式同步的系统6个两级平台的对接统一编码规范 构建统一身份认证与管理体系,实现统一入口、统一认证、单点登录和 统一访问控制的目标,需建立起统一命名规则的认证管理规范,包括用 户标识、角色标识、机构标识等,方便各个信息系统之间用户信息共享 与交换 基本信息同步(用户、机构) 授权属地管理 两级平台协同认证、单点登录 用户在一级平台身份认证后,可直接访问另一级平台, 单点登录管理BJCABJCA在市资源共享交换平台和领导决策平台中实现在市资源共享交换平台和领导决策平台中实现
9、 了市级平台与区县平台的对接了市级平台与区县平台的对接 形成了统一的编码规范 石景山区、宣武区等区县平台与市级平台实现统一认证BJCA统一认证系统典型案例北京市领导决策支持平台北京市领导决策支持平台北京市公务员门户北京市公务员门户北京市资源共享交换平台北京市资源共享交换平台北京市城市管理市级平台北京市城市管理市级平台河南省济源市河南省济源市。市级电子政务平台市级电子政务平台北京市东城区北京市东城区北京市西城区北京市西城区北京市宣武区北京市宣武区北京市海淀区北京市海淀区北京市石景山区北京市石景山区北京市丰台区北京市丰台区北京市怀柔区北京市怀柔区北京市经济技术开发区北京市经济技术开发区。区县电子政
10、务平台区县电子政务平台北京市委组织部北京市委组织部北京市卫生局北京市卫生局北京市统计局北京市统计局北京市药监局北京市药监局北京市文化局北京市文化局北京市监狱管理局北京市监狱管理局北京市建筑交易中心北京市建筑交易中心。委办局电子政务平台委办局电子政务平台20062006年,年,BJCABJCA自主研发的自主研发的UAMSUAMS统一认证平台获统一认证平台获 得国家科技部、财政部得国家科技部、财政部“ “科技型中小企业技术创新基金科技型中小企业技术创新基金 ” ”资助支持资助支持BJCABJCA的统一认证产品,已经在市、区县委办部署的统一认证产品,已经在市、区县委办部署 各级系统各级系统2020多
11、个,接入应用多个,接入应用200200多个,积累了大量实施多个,积累了大量实施 与集成经验与集成经验典型案例北京市资源共享交换平台北京市信息资源共享交换平台定位于构建全京市政务信息资源目录体系 和交换体系,支撑全市基础信息数据库及其应用,支持全市各个委办局 及区县之间的信息共享和业务协同。制定统一身份编码规范制定统一身份编码规范 实现分级授权、交叉授权管理实现分级授权、交叉授权管理 两级平台信息共享与同步两级平台信息共享与同步 两级平台协同认证两级平台协同认证/ /单点登录单点登录实施效果在市资源共享交换平台中在市资源共享交换平台中 统一认证管理系统已经整合40个应用系统 全市40多家委办局,1万多个公务员通过其认证及授权,来安全获取全市政务信息资源 石景山区、宣武区等区县平台与市级平台实现统一认证统一认证的建设思想 建立统一认证授权标准体系规范,实 现统一身份认证系统建设 围绕整合用户、应用系统等资源的管 理,构建网络信任体系的基础设施平 台 身份认证多种认证登录方式、数字证 书管理 授权管理基于角色授权 责任认定安全审计、电子签章管理谢谢 010-82031677-8090可信规范的运营可信规范的运营 随需应变的服务随需应变的服务
