《单点登录技术方案设计》由会员分享,可在线阅读,更多相关《单点登录技术方案设计(23页珍藏版)》请在金锄头文库上搜索。
1、xxxx集团单点登录技术方案目录1 / 19应用系统3应用系统31.3.SSL VPN 系统 32. xxxx 集团单点登录系统需求 42.1. 一站式登录需求 4 单点登录技术简介 53.1. 修改应用程序SSO方案53.2 即插即用 SSO 方案 63.3.两种SSO方案比拟6 34惠普 SSO73.4.1. 惠普SSO开发背景73.4.2. 惠普SSO的功能73.4.3. 惠普SSO的特点93.4.4. 惠普SSO结构104. xxxx集团单点登录技术方案104.1. 应用系统中部署惠普SSO单点登录104.1.1. 解决全局的单点登录 11 4.1.2应用系统的整合124.1.3. 用
2、户如何过渡到使用单点登录 134.1.4. 管理员部署业务系统单点登录功能144.1.5. 建立高扩展、高容错单点登录环境154.1.6. 建立稳定、安全、高速网络环境 154.2. 定制工作1 6 4.2.1.SSL VPN 结合 164.2.2. 密码同步1 65. 项目实施进度1 75.1. 根本安装配置1 75.2. 配置认证脚本1 75.3 .总体进度1 76. 硬件清单 187. 软件清单 181.XXXX 集团系统建设现状XXXX 集团某某公司以下简称集团公司管理和运营省内 11个民用机场, 以与20 多个关联企业全资子公司、控股企业、参股企业。现有的信息系统主 要有生产运营系统
3、和管理信息系统,其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系 统、控制区证件管理系统等,管理信息系统主要有财务系统0A系统系统、资产管理系统、决策支持系统、信息发布审批系统、视频点播系统等。这些信息 系统的用户包括集团公司所有机场以与关联企业。各信息系统都有独立的用户组织体系,采用“用户名+密码的方式来实现身份 认证和授权访问。从而与众多企业一样存在如下一些主要问题:1终端用户需要记住多个用户名和密码;2终端用户需要登录不同的信息系统以获取信息; 3系统管理员难以应付对用户的管理;4难以实施系统使用安全方面的管理措施。1.1.
4、 Web应用系统xxxx集团现有的Wet应用系统包括:办公自动化系统0A系统 资产管 理系 统内部信息发布审批系统决策支持系统视频点播系统等。这些系统根本上是各 自独立开发的或者购置的商业软件。每个应用系统都有自己的用户管理机制和用户 认证机制,彼此独立。每个应用系统用户名口令可能各不一样。1.2. C/S应用系统xxxx集团目前的C/S应用只有一个:财务系统,金蝶K3财务系统。1.3.SSL VPN 系统xxxx集团有一套SSLVPN系统,集团局域网之外的用户包括各地州机场 局部 关联企业用户自己家住房出差旅馆 无线上网等是通过SSLVPN系统进入集团局域网的,通过SSL VPN系统进入集团
5、局域网访问的系统包括:OA系统系统资产管理系统决策支持系统信息发布审批系统与内部等。用户经 过SSL VPN系统进入集团局域网需要经过身份认证2. xxxx集团单点登录系统需求现在信息系统建设的重要内容之一是信息门户建设,利用门户集成技术建立一个 完整有效的内部信息门户,通过提供资源的管理和应用开发的支撑功能,把各业务系 统的不同功能有效地组织起来,给用户提供一个统一的信息服务功能入口,集成现有 的业务系统信息资源,减少信息孤岛的存在并降低重复投资,为用户提供更加完善的 信息服务。2.1. 一站式登录需求由于目前各应用系统独立设计、自成体系,不同系统采用不同的用户管理机制, 所以进入每个应用系
6、统均需独立的认证和登录, 导致用户使用麻烦,无法表 现以用户为中心的服务理念,无法给用户提供简单、方便、快捷、使用的信息服务。XXXX集团要实现为各类专业应用系统办公自动化系统、企业系统资产管理系统等提供给用集成,必须首先解决各系统互联互通,资源共享需求所带来的统一身 份认证需要。应根据“统一规划,分步实施,“需求主导,共建共享,“先进实用,开放 扩展,“统一标准,保障安全的四个指导原如此,先期在信息系统中提供先进安 全可靠的符合国际标准的高性能大规模的单点登录整体解决方案“一站式登录 Single Sign-On, SSO ,以降低用户和密码管理本钱,提高安全性,并提高用户的 系统使用效率,
7、为各系统的无缝集成打下坚实的根底。3. SSO单点登录技术简介SSO就是通过一次登录自动访问所有授权的应用系统,从而提高整体安全性,而 且用户无需记录多种登录过程、ID或口令。需要部署SSO勺原因:口令越多,安全风险越大需要简化用户访问需要简化用户某某和口令的系统管理 使用单点登录可以集中地提高整个系统的安全性 为企业提供统一的、集中的信息资源管理手段 提高应用系统数据信息的安全从而保护企业核心财产目前单点登录技术主要分为两类,分别修改应用程序SSO技术方案和不修改应用 程序SSC技术方案即插即用3.1.修改应用程序SSO方案在这种方案中,SSC解决方案包括的组件为:认证服务器、各种APIJa
8、va、 C/C+、.Net、JSP、ASP PHP等、各种代理Age nt。这种解决方案需要用户改 造以 前的应用系统,采用方案提供的API或Age nt对应用系统进展修改。改变原 有应用系 统的认证方式、采用认证服务器提供的技术进展身份认证。这种解决方案,一般要求 用户先统一所有应用系统的用户数据库。把用户的信息统一后,才可实现单点登录功能。在修改应用的技术方案中,每个应用服务器中都需要安装一个代理程序完成用户 的身份认证工作。当用户访问目标应用服务器时,代理程序向SSOK务器询问该用户 是否已经登录,如果是,如此代理程序从SSOK务器中取得该用户的用户信息自动登 录该应用系统。登录成功后,
9、用户直接访问该目标服务器。如果未曾登录过任何应用 服务器,如此该应用要求用户进展身份认证,认证完毕后,代理程序将认证结果发送 给SSOK务器。这种方案的优点是不用在单点登录服务器上保存各个应用系统的用户名 /口 令信 息。32即插即用SSO方案即插即用解决方案,不需要用户修改应用程序。即插即用解决方案包括的组件为: 认证服务器、SSO客户端或浏览器控件C/S结构的应用需要,B/S应用不需要。这种 解决方案在认证服务器上保存用户所有应用系统的用户名 / 口令信 息列表。针对每个应用系统,在这种方案中都有一个对应的配置文件,这个配置用来代 理用户登录应用系统。即插即用解决方案工作的根本原理: 首先
10、针对每个应用系统进展配置,产生 一个 配置文件;用户登录到单点登录服务器上;用户访问应用系统时,单点登录服务器调用 对应于该应用的配置文件,将对应该应用的用户认证信息用户名 / 口令取出,代理 用户登录应用系统;登录成功后,用户可以访问应用系统。这种方案的特点是在单点登录服务器上保存各个应用的用户名 /口令信息对 应列表。3.3.两种 SSO 方案比拟修改应用系统的SSO方案和即插即用SSO方案各有优缺点,先比拟如下:指标修改应用程序方案即插即用方案实施性实施周期长,一般月为单位实施周期短,以天为单位扩展性跟应用的平台、环境有关跟应用无关,咼扩展容错性单点登录服务器失效,业务系统单点登录服务器
11、失效,业务系统无法正常使用,容错性差仍可正常使用,容错性好认证信息无需在单点登录服务上存储其他需在单点登录服务上存储其他应应用的用户认证信息用的用户认证信息3.4. 惠普 SSO3.4.1. 惠普 SSO 开发背景近年来,随着信息化进一步开展,企业的应用系统越来越多。部署这些应用 面临 双重的安全挑战。首先,必须保证只有合法的用户才能访问相应的应用资源。 其次, 实施安全保护措施时应尽量防止增加用户的负担。随着业务系统的增加, 每个用户需 要记住多个口令,访问不同的应用系统采用不同的口令。 这虽然能够 保证用户对应用 资源的合法访问,但增加了用户的负担。一方面,为了方便记忆, 用户会采用简单的
12、 口令或将口令记录下来, 这大大降低了应用系统的安全性;另 一方面,用户每访问一 个应用资源都需要登录一次,这大大降低了工作效率。惠普SSC应用软件系统正是在 这种背景下开发的。3.42惠普SSO的功能通过组合简单的访问控制和SSO功能,惠普SSO为客户提供一个即插即用的SSC 解决方案。用户无须修改应用系统包括 WE 应用系统和 C/S 结构应用系统, 自 由选择前置代理和后置代理或组合使用方式。只需简单的配置,即可使用SSO应用功能。惠普SSO系统主要功能包括:单点登录:用户只需登录一次,即可通过单点登录系统SSO访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统 的用户
13、 名和口令可以各不一样,并且实现单点登录时,后台应用系统无 需任何修 改。即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。解决了当前其他SSO解决方案实施困难的难题。多样的身份认证机制:同时支持基于 PKI/CA 数字证书和用户名/口令身 份认证方式,可单独使用也可组合使用;可无缝集成Windows域认证模式,登录的域用户访问惠普SSO服务器 无须再 次身份认证;基于角色访问控制:根据用户的角色和 URL 实现访问控制功能基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员 和系统管理员可以通过浏览器在任何地方进展远程访问管理。此 外,可以使
14、用 HTTPS 安全地进展管理。全面的日志审计:准确地记录用户的日志,可按日期、地址、用户、资 源等信息对日志进展查询、统计和分析。审计结果通过Web界面以图表的形式展 现给管理员。双机热备:通过双机热备功能,提高系统的可用性,满足企业级用户的需 求。集群:通过集群功能,为企业提供高效、可靠的SSO服务。可实现分布式部 署,提供灵活的解决方案。传输加密:支持多种对称和非对称加密算法,保证用户信息在传输过程中不 被窃取和篡改。防火墙:基于状态检测技术,支持NAT。主要用于加强SSO本身的安全,也 适用于网络性能要求不高的场合,以减少投资。分布式安装:对物理上不在一个区域的网络应用服务器可以进展分
15、布式部署SSO系统后台用户数据库支持:LDAP、Oracle DB2、Win2k ADS、Sybase等。可以无缝集成现有的应用系统的统一用户数据库作为SSO应用软件系统的用户数据 库。领先的C/S单点登录解决方案:无需修改任何现有的应用系统服务端和客户 端即可实现C/S单点登录系统。3.43惠普SSO的特点同其他SSO产品相比,惠普SSQm有如下特点:即插即用:惠普SSQ以完全独立于应用系统的方式工作,应用系统完全 感觉 不到惠普SSQ的存在。高可扩展性:企业新部署应用系统通过简单的配置即可纳入SSQ系统。应用无关性:同应用系统的平台、开发环境、结构、编程语言以与脚本无 关。支持所有的TCP/IP协议的应用环境,能够满足各种Web应用开发环境。 无客户端化:通过配置,对于C/S的应用,可以通过插件的方式来实现
