UTrust SSO单点登录和门户建设技术方案建议书北京神州融信信息技术有限公司 UTrust SSO单点登录和门户平台建设技术方案建议书 目 录1. 企业应用系统现状 32. 企业单点登录(SSO)需求分析 53. SSO(SINGLE SIGN ON)单点登录技术 63.1. 后置代理 63.2. 即插即用 73.3. 两种SSO技术比较 74. UTRUST SSO单点登录系统描述 84.1. UTrust SSO系统概述 84.2. UTrust SSO系统架构 94.3. UTrust SSO系统工作流程 104.4. UTrust SSO系统特点 115. 企业门户和单点登录系统建设方案建议 125.1. UTrust单点登录解决方案建议 135.1.1. 原系统的整合 135.1.2. 新系统的集成 135.1.3. 统一身份认证 135.1.4. 统一资源授权 145.1.5. 统一安全审计 145.1.6. 统一安全管理 155.2. 统一身份管理 165.2.1. 采用基于标准的统一身份管理架构 165.2.2. 数据集中管理 175.2.3. 委托管理和自注册管理 185.3. UTrust SSO门户集成解决方案 195.3.1. 简单门户 195.3.2. 与办公系统集成门户 205.3.3. 与专业Portal系统整合 205.4. 与Windows域结合实现单点登录 205.5. UTrust SSO外网接入解决方案 215.6. UTrust 系统的部署 216. 安装环境配置 237. 系统实施建议 231. 企业应用系统现状目前,企业经过多年的信息化建设,已经形成了一大批比较成熟的应用系统,其涉及的业务面基本覆盖了企业的大部分生产业务,其中包括办公系统,财务系统、档案管理系统、人力资源系统,设备缺陷检测系统、综合管理系统、材料计划系统、生产统计系统等信息管理系统。
这些系统来源不一,开发的初期大多是独立进行的,有些系统是由集团单位统一分发的,有些是企业根据自己的现状和实际生产需求而开发的企业用户为了得到一组数据往往要反复多次进入不同的系统,而每一个系统都需要用户输入用户名和口令才能登录随着业务的发展,企业内部可能会有十几个或几十个应用系统在网上运行,而对每一个系统都需要他们进行口令的验证,那么用户对访问业务系统的不便性可想而知企业用户需要频繁登录应用系统,增加了业务操作的复杂性,有效工作时间减少,工作效率降低用户面对多个系统需要记忆多个账号+密码,从而导致登录时的安全风险当企业用户访问不同的应用系统时,需要记忆大量的用户名+口令密码,这时他们经常采用的一种方式就是将多个系统设置成同一口令密码(如生日、门牌、号码等)或是将记不住的口令标贴在明显的地方,登录操作是变得相对简单了,但应用系统的终端接入带来了极大的安全隐患,一些别有用心的工作人员一旦有机会利用他人密码登录系统,进行非法操作,也会给重大事故发生后的责任追查带来困难系统管理员难以应对分散应用系统的用户管理为了对用户帐号信息进行管理,每个分散的应用系统都会配有一个用户数据库,系统管理员要花费大量的时间对包括用户名密码在内的身份信息进行管理,系统管理员辗转于不同应用系统数据库之间删除或添加用户,缺乏统一的针对整体用户帐号和身份信息、安全策略的管理。
企业用户认证和管理现状结构2. 企业单点登录(SSO)需求分析针对这种状况,企业希望通过建立单点登录系统和企业级的门户,为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台,使用户只需一次登录就可以根据相关的访问权限和策略设置规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;给用户提供简单方便、快捷有效的信息服务企业的门户和单点登录具体需求如下:1. 减少用户的系统登录次数,实现一次登录就可访问其权限内的所有应用系统2. 根据需要配置雇员身份认证的强度,保护合法用户的身份唯一性3. 对用户的身份,权限,访问行为进行统一管理,设置统一的安全策略4. 建设门户平台,列出用户有权访问的所有应用系统5. 搭建企业统一的身份认证框架,可为新系统的开发利用由于历史的原因,企业的各个业务系统大都采用异构系统(在不同平台上建立不同应用服务器的业务系统)因此,在企业内部建设单点登录系统,需要不影响原有系统的工作模式,以“简便,快速,高效,实用”为原则,提供先进的,安全可靠的、符合国际标准的单点登录(Single Sign-On,SSO)”整体解决方案,以降低用户和密码管理成本,提高安全性,并提高用户的系统使用效率,为各系统的无缝集成打下坚实的基础。
针对用户的需求,我们建议使用UTrust SSO 系统来建设企业门户和单点登录系统,UTrust SSO研发人员具有多年的统一身份认证,统一授权管理,统一应用管理,单点登录领域的研发经验,并熟知国内各行业应用系统发展现状和SSO实际需求为用户提供了完善的门户和单点登录解决方案3. SSO(Single Sign on)单点登录技术单点登录简称SSO,是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统它无需用户记忆多个用户名、密码,也无需用户进行多次登录系统才能访问应用系统l 从用户角度来看,单点登录解决了他们记忆多个用户名、密码的烦恼,解除了使用多个应用系统必须进行多次认证的重复劳动l 从系统管理员来看,单点登录系统可以使他们从繁琐的账号密码管理工作中解脱出来,不必每天为用户重置密码而苦恼,使IT人员真正的发挥他们在单位中的作用l 从应用系统生产商角度来看,单点登录使他们不必再开发身份认证模块,从而可以把更多精力投入到具体业务中l 从企业管理角度来看,单点登录提高了员工的工作效率,减少了管理成本,提高了企业信息系统的安全性,也节约了后续开发系统的成本,提高了经济效益。
3.1. 后置代理这种SSO实现原理是,SSO 系统提供各种API,Agent代理,对原有应用系统进行改造,改变原有应用系统的认证方式,同时采用认证服务器提供的技术进行身份认证这种解决方案,一般要求用户先统一所有应用系统的用户数据库把用户的信息统一后,才可实现单点登录功能在这种技术方案中,每个应用服务器中都需要安装一个代理程序完成用户的身份认证工作当用户访问目标应用服务器时,代理程序向SSO服务器询问该用户是否已经登录,如果是,则代理程序从SSO服务器中取得该用户的用户信息自动登录该应用系统登录成功后,用户直接访问该目标服务器如果未曾登录过任何应用服务器,则该应用要求用户进行身份认证,认证结束后,代理程序将认证结果发送给SSO服务器3.2. 即插即用即插即用解决方案,它对企业内部的各种应用程序不进行修改,通过系统配置的工作来实现它的实现机制采用二次登录技术,与原有系统的开发语言,操作系统,数据库,应用平台类型等无关这种解决方案在认证服务器上保存用户所有应用系统的用户名/口令信息列表,认证服务器上采用透明转发机制,自动帮用户实现登录过程它的基本工作原理为:首先针对每个应用系统进行配置,产生一个配置文件;用户登录到单点登录服务器上;用户访问应用系统时,单点登录服务器调用对应于该应用的配置文件,将对应该应用的用户认证信息(用户名/口令)取出,代理用户登录应用系统;登录成功后,用户可以访问应用系统。
3.3. 两种SSO技术比较后置代理SSO方案和即插即用SSO方案各有优缺点,先比较如下:比较项目后置代理方案即插即用方案经济性实施成本很高实施成本很低实施性实施复杂,涉及开发者较多,实施周期长 实施简单,涉及相关人员少,实施周期短 扩展性跟应用的平台、环境有关,有些系统不能进行单点登录改造跟应用无关,扩展性好,对于所有的应用系统都可实现可靠性单点登录服务器失效,业务系统无法正常使用,可靠性低单点登录服务器失效,业务系统仍可正常使用,可靠性高用户信息处理无需在单点登录服务上存储其他应用的用户身份信息需在单点登录服务上存储其他应用的用户身份信息4. UTrust SSO单点登录系统描述4.1. UTrust SSO系统概述面对用户的重复登录和管理员繁琐的管理工作,以及如何控制用户的访问权限等问题,UTrust SSO单点登录平台提供了完善的解决方案,在异构的IT系统中实现集中和便捷的身份认证、单点登录、身份管理,资源管理和集中审计,以满足企业对信息系统使用的方便性和安全管理的需求UTrust SSO系统是针对国内企业信息化发展现状而开发的应用系统管理软件, 支持C/S和B/S架构的单点登录实现机制。
根据中国企业应用系统开发的特点,采用“即插即用”方式,实现方式与应用系统的操作平台、开发平台、开发语言、数据库、Web服务器无关,在不改变现有软硬件及网络环境的前提下,无缝地将用户各种现有的应用系统整合到单点登录平台上,实现“一次登录,全网漫游”的效果真正体现了与“应用无关”的完美集成概念4.2. UTrust SSO系统架构UTrust 单点登录系统组成结构图UTrust单点登录系统由浏览器控件(C/S结构的应用需要,B/S应用不需要),SSO服务器,认证授权子系统,日志审计子系统和用户数据库,审计数据库组成SSO服务器又由单点登录模块,身份认证模块,访问控制模块组成,这些模块可以独立使用也可以结合一起使用,并且不同的模块可以根据企业需求和发展阶段不同,实现不同粒度的功能,可以为企业逐步实施单点登录、统一身份认证、授权和审计工程4.3. UTrust SSO系统工作流程UTrust 单点登录系统工作流程图l 用户通过SSO服务器在客户端展现的登录界面,用主帐号登录UTrust SSO服务器,并保持与SSO服务器的连接l 用户通过SSO服务器的认证后,通过SSO服务器提供的访问资源列表来访问应用系统。
如果与门户结合,SSO服务器上对用户授权的应用系统将展示在门户界面上,用户通过门户界面链接就可直接访问应用系统l 访问请求被SSO客户端发送到SSO服务器,由SSO服务器将原系统中的用户登录信息和访问请求转发给所请求的应用系统服务器l 应用系统服务器接收到转发的认证信息后,与用户建立连接4.4. UTrust SSO系统特点1) 应用无关性¨ 保护所有类型的应用系统,可以保护基于各种协议,平台和开发语言的应用系统,无论是B/S结构的还是C/S结构的 2) 即插即用 ¨ 无需对系统做任何改造,保持现有的软硬件及网络环境不变,保持用户原有的使用习惯3) 高安全性 ¨ 基于数字证书的强身份认证机制,通过UTrust-CA数字证书认证系统为用户发放数字证书(见UTrust-CA系统技术白皮书),同时兼容第三方CA认证机构颁发的证书¨ 自带防火墙安全防范机制,以确保系统本身的安全性和业务系统的安全性¨ 移动用户可使用加密机制,将用户访问内部系统时在网上传输的数据进行加密处理,实现安全的远程访问4) 高可靠性¨。