《单点登录技术方案》由会员分享,可在线阅读,更多相关《单点登录技术方案(22页珍藏版)》请在金锄头文库上搜索。
1、单点登录技术方案(欢迎学习)目录1. xxxx集团系统建设现状 31.1. Web应用系统 31.2. C/S应用系统 41.3. SSL VPN系统 42. xxxx集团单点登录系统需求 52.1. 一站式登录需求 53. SSO(单点登录)技术简介 63.1. 修改应用程序SSO方案 63.2. 即插即用SSO方案 73.3. 两种SSO方案比较 73.4. 惠普 SSO 83.4.1. 惠普SSC开发背景 83.4.2. 惠普SSO的功能 83.4.3. 惠普SSO的特点 103.4.4. 惠普SSO吉构 114. xxxx集团单点登录技术方案 124.1. 应用系统中部署惠普 SSC单
2、点登录 124.1.1. 解决全局的单点登录 134.1.2. 应用系统的整合 144.1.3. 用户如何过渡到使用单点登录 154.1.4. 管理员部署业务系统单点登录功能 154.1.5. 建立高扩展、高容错单点登录环境 174.1.6. 建立稳定、安全、高速网络环境 174.2. 定制工作 184.2.1. SSL VPN结合 184.2.2. 密码同步 185. 项目实施进度 195.1. 基本安装配置 195.2. 配己置认证脚本 195.3. 总体进度 206. 硬件清单 217. 软件清单 221. XXXX集团系统建设现状XXXX集团有限责任公司(以下简称集团公司)管理和运营省
3、内11个民用机场,以及20多个关联企业(全资子公司、控股企业、参股企业)。现有的信息系 统主要有生产运营系统和管理信息系统,其中生产运营系统包括机场生产运营管 理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信 息管理系统、控制区证件管理系统等,管理信息系统主要有财务系统、0A系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系 统等。这些信息系统的用户包括集团公司所有机场以及关联企业。各信息系统都有独立的用户组织体系,采用“用户名 +密码”的方式来实现 身份认证和授权访问。从而与众多企业一样存在如下一些主要问题:1、终端用户需要记住多个用户名和密码
4、;2、终端用户需要登录不同的信息系统以获取信 息;3、系统管理员难以应付对用户的管理;4、难以实施系统使用安全方面的管 理措施。1.1. web应用系统xxxx集团现有的 Wet应用系统包括:办公自动化系统(0A、邮件系统、资 产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这 些系统基本上是各自独立开发的、 或者购买的商业软件。每个应用系统都有自己 的用户管理机制和用户认证机制, 彼此独立。每个应用系统用户名、口令可能各 不相同12 CS应用系统xxxx集团目前的C/S应用只有一个:财务系统,金蝶 K3财务系统1.3. SSL VPN系统xxxx集团有一套SSLVPN系统
5、,集团局域网之外的用户(包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等)是通过SSLVPN系统进入集团局域网的,通过 SSL VPN系统进入集团局域网访问的系统包括:0A系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网 站等。用户经过SSL VPN系统进入集团局域网需要经过身份认证。2. xxxx集团单点登录系统需求现在信息系统建设的重要内容之一是信息门户建设,利用门户集成技术建立 一个完整有效的内部信息门户,通过提供资源的管理和应用开发的支撑功能, 把 各业务系统的不同功能有效地组织起来,给用户提供一个统一的信息服务功能入 口,集成现有的业务系统信
6、息资源,减少信息孤岛的存在并降低重复投资,为用户提供更加完善的信息服务。2.1. 一站式登录需求由于目前各应用系统独立设计、自成体系,不同系统采用不同的用户管理机 制,所以进入每个应用系统均需独立的认证和登录,导致用户使用麻烦,无法体现以用户为中心的服务理念,无法给用户提供简单、方便、快捷、使用的信息服 务。xxxx集团要实现为各类专业应用系统(办公自动化系统、企业邮件系统、 资产管理系统等)提供应用集成,必须首先解决各系统互联互通,资源共享需求 所带来的统一身份认证需要。应根据“统一规划,分步实施”,“需求主导,共建共享”,“先进实用,开放 扩展”,“统一标准,保障安全”的四个指导原则,先期
7、在信息系统中提供先进安 全可靠的、符合国际标准的、高性能大规模的单点登录整体解决方案(“一站式登录Single Sign-On,SSO”,以降低用户和密码管理成本,提高安全性,并提 高用户的系统使用效率,为各系统的无缝集成打下坚实的基础3. SSO(单点登录)技术简介SSO就是通过一次登录自动访问所有授权的应用系统,从而提高整体安全性,而且用户无需记录多种登录过程、ID或口令。需要部署SSO勺原因:口令越多,安全风险越大需要简化用户访问需要简化用户帐号和口令的系统管理使用单点登录可以集中地提高整个系统的安全性为企业提供统一的、集中的信息资源管理手段提高应用系统数据信息的安全从而保护企业核心财产
8、目前单点登录技术主要分为两类,分别修改应用程序SSO技术方案和不修改 应用程序SSC技术方案(即插即用)。3.1. 修改应用程序SSO方案在这种方案中,SSC解决方案包括的组件为:认证服务器、各种 API (Java、C/C+、.Net、JSP、ASP PHP等)、各种代理Age nt。这种解决方案需要用户改 造以前的应用系统,采用方案提供的API或Age nt对应用系统进行修改。改变原 有应用系统的认证方式、采用认证服务器提供的技术进行身份认证。 这种解决方 案,一般要求用户先统一所有应用系统的用户数据库。把用户的信息统一后,才可实现单点登录功能。在修改应用的技术方案中,每个应用服务器中都需
9、要安装一个代理程序完成 用户的身份认证工作。当用户访问目标应用服务器时,代理程序向SSOK务器询 问该用户是否已经登录,如果是,则代理程序从SSOK务器中取得该用户的用户 信息自动登录该应用系统。登录成功后,用户直接访问该目标服务器。如果未曾 登录过任何应用服务器,则该应用要求用户进行身份认证, 认证结束后,代理程 序将认证结果发送给SSO服务器。这种方案的优点是不用在单点登录服务器上保存各个应用系统的用户名/口令信息。32即插即用SSO方案即插即用解决方案,不需要用户修改应用程序。即插即用解决方案包括的组件为:认证服务器、SSO客户端或浏览器控件(C/S结构的应用需要,B/S应用 不需要)。
10、这种解决方案在认证服务器上保存用户所有应用系统的用户名 / 口令信 息列表。针对每个应用系统,在这种方案中都有一个对应的配置文件,这个配置 用来代理用户登录应用系统。即插即用解决方案工作的基本原理: 首先针对每个应用系统进行配置,产生 一个配置文件;用户登录到单点登录服务器上;用户访问应用系统时,单点登录 服务器调用对应于该应用的配置文件,将对应该应用的用户认证信息(用户名 / 口令)取出,代理用户登录应用系统;登录成功后,用户可以访问应用系统。这种方案的特点是在单点登录服务器上保留各个应用的用户名/口令信息对应列表。3.3. 两种SSO方案比较修改应用系统的SSO方案和即插即用SSO方案各有
11、优缺点,先比较如下:指标修改应用程序方案即插即用方案实施性实施周期长,一般月为单位实施周期短,以天为单位扩展性跟应用的平台、环境有关跟应用无关,高扩展容错性单点登录服务器失效,业务系统无法正常使用,容错性差单点登录服务器失效,业务系统仍可正常使用,容错性好认证信息无需在单点登录服务上存储其他需在单点登录服务上存储其他应应用的用户认证信息用的用户认证信息表3.1两种SSC方案比较3.4. 惠普 SSO3.4.1. 惠普SSO开发背景近年来,随着信息化进一步发展,企业的应用系统越来越多。部署这些应用 面临双重的安全挑战。首先,必须保证只有合法的用户才能访问相应的应用资源。 其次,实施安全保护措施时
12、应尽量避免增加用户的负担。随着业务系统的增加, 每个用户需要记住多个口令,访问不同的应用系统采用不同的口令。 这虽然能够 保证用户对应用资源的合法访问,但增加了用户的负担。一方面,为了方便记忆, 用户会采用简单的口令或将口令记录下来, 这大大降低了应用系统的安全性;另 一方面,用户每访问一个应用资源都需要登录一次,这大大降低了工作效率。惠 普SSC应用软件系统正是在这种背景下开发的。3.42惠普SSO的功能通过组合简单的访问控制和SSC功能,惠普SSC为客户提供一个即插即用的 SSC解决方案。用户无须修改应用系统(包括WE应用系统和C/S结构应用系统), 自由选择前置代理和后置代理或组合使用方
13、式。只需简单的配置,即可使用SSO应用功能。惠普SSO系统主要功能包括:单点登录:用户只需登录一次,即可通过单点登录系统(SSO访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的 用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需 任何修改。即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统, 即可使用。解决了当前其他SSO解决方案实施困难的难题。多样的身份认证机制:同时支持基于 PKI/CA数字证书和用户名/ 口令身 份认证方式,可单独使用也可组合使用;可无缝集成Windows域认证模式,登录的域用户访问惠普 SSO服务器无须再次身份认证;基
14、于角色访问控制:根据用户的角色和 URL实现访问控制功能基于Web界面管理:系统所有管理功能都通过 Web方式实现。网络管理 人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。 此外, 可以使用HTTPS安全地进行管理。全面的日志审计:精确地记录用户的日志,可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。审计结果通过Web界面以图表的形式展现给管理员。双机热备:通过双机热备功能,提高系统的可用性,满足企业级用户的 需求。集群:通过集群功能,为企业提供高效、可靠的SSO服务。可实现分布式部署,提供灵活的解决方案。传输加密:支持多种对称和非对称加密算法,保证用户信息在传输过程
15、中不被窃取和篡改。防火墙:基于状态检测技术,支持 NAT主要用于加强SSO本身的安全, 也适用于网络性能要求不高的场合,以减少投资。分布式安装:对物理上不在一个区域的网络应用服务器可以进行分布式部署SSO系统后台用户数据库支持:LDAP Oracle、DB2 Win2k ADS Sybase等。可 以无缝集成现有的应用系统的统一用户数据库作为 SSO应用软件系统的 用户数据库。领先的C/S单点登录解决方案:无需修改任何现有的应用系统服务端和客户端即可实现C/S单点登录系统3.43惠普SSO的特点同其他SSO产品相比,惠普SSQM有如下特点:即插即用:惠普SSQ以完全独立于应用系统的方式工作,应用系统完全 感觉不到惠普SSQ的存在。高可扩展性:企业新部署应用系统通过简单的配置即可纳入SSQ系统。应用无关性:同应用系统的平台、开发环境、结构、编程语言以及脚本 无关。支持所有的TCP/IP协议的应用环境,能够满足各种 Wet应用开发 环境。无客户端化:通过配置,对于 C/S的应用,可以通过插件的方式来实现 单点登
