|
http://www.huilan.com/tabid/70/Default.aspx???? 中科匯聯網站
SSO
統一用戶認證介紹:
?
SSO
(
Single Sign-on
)即單次登錄,指用戶只需向網絡驗證(即證明他或她的身份)一次身份,之后無需另外驗證身份,就可訪問所有被授權的網絡資源。這里的網絡資源包括從打印機和其它硬件,到應用程序、文件和其它數據的一切資源,它們可以散布于整個企業內運行不同操作系統的不同類型的服務器上。
企業用戶在構建
SSO
系統的時候,一般采用建立獨立認證平臺的方式進行構建,在這個認證平臺上實現用戶賬號的集中統一管理,實現對用戶操作的權限控制,實現對用戶操作行為的審計。
?
1.?????????
用戶通過認證客戶端登錄認證服務器,認證服務器根據該用戶的授權返回相應的授權信息
2.?????????
用戶根據授權信息訪問相應的服務器
3.?????????
中科匯聯
SSO
管理器通過遠程和本地管理認證和授權平臺
目前實現
SSO
的技術主要有兩種:
?
1.?????????
利用自動化登錄技術,來屏蔽用戶登錄不同系統的過程;
?
2.
????????
采用一個具有
SSO
功能的協議來完成。無論用哪一種方式來實現
SSO
,都有一個共同的過程需要完成,就是最初的登錄過程。
?
采用自動化登錄技術,就是屏蔽用戶登錄目標系統的過程,原來用戶在使用目標系統的時候,需要輸入用戶名和口令(或者其他認證方式),自動化技術能夠通過一些腳本自動為用戶輸入口令和用戶名,而整個登錄過程對用戶透明。這種方式一般對目標系統較為透明,能夠通過腳本完成對絕大多數目標系統的登錄過程。但是登錄腳本的編寫和使用對于用戶比較專業,要求較高。
采用具有
SSO
功能的協議來完成的一個典型代表就是使用
Kerberos
協議,
Kerberos
協議提供了采用票據來訪問目標系統,這也是目前采用的一種比較流行的單點登錄技術;但是這種技術有一定的不足,就是它需要對目標系統或目標服務進行
Kerberos
化,這就限制它對一些封閉系統的應用如網絡設備上的應用;因為在目前的很多的網絡設備上都不支持
Kerberos
認證。
如果把以上兩種技術進行有機的結合,就能比較好地解決這些問題,中科匯聯
SSO
訪問管理平臺,可以以任意組合方式支持以上兩種認證技術,實現靈活。其訪問流程如左圖所示。
中科匯聯
SSO
管理平臺基于開放性設計架構,為企業應用間實現賬戶統一管理,為企業用戶提供單次登錄,為企業管理提供基于角色的授權機制,平臺支持包括應用程序,網絡設備、網絡資源訪問、操作系統等多層面的資源訪問管理。
?
SSO
統一用戶認證系統功能:
?
l?????????
SSO
單點登陸服務
:
單點登錄為用戶提供統一視角的、個性化的
Web
內容與服務,通過對于基于
Email
的方式,也可以設置為其他唯一用戶認證方式,實現良好的用戶體驗、更好的安全性,并降低了由于密碼遺失所產生的支持費用。并可以根據每個用戶的需求和訪問權限輕松地為其提供個性化的頁面,而那些沒有被授權訪問的內容在頁面上則不顯示,這樣就減少了被黑客攻擊的機率,提高了安全系數。
l?????????
權限管理與群組管理
:系統提供對于統一用戶認證系統自己的管理員權限的分派與管理,方便管理員維護用戶權限和安全。群組的管理,可以大大提高管理者的效率,降低管理者的工作量。
?
l?????????
安全管理和
IP
過濾
:包括對于用戶信息的加密處理和傳輸,保證用戶信息的安全性和不可盜用性。并通過
IP
地址過濾的功能,實現對于用戶或用戶組的
IP
過濾的功能,解決系統的管理的方便性和應用的安全性的問題。
?
l?????????
系統日志和數據備份恢復
:系統提供對于系統日志的記錄和用戶數據的備份和恢復的管理,解決各種黑客攻擊或災難備份的需要,保證系統的安全。
?
l?????????
其它應用
SDK
接口
:系統的
SDK
接口包括用戶登陸認證接口,用戶信息修改接口,多語言支持接口等,方便其他應用系統調用使用。
?
l?????????
應用系統統一消息接口
:為了實現對于
OA
,業務系統等各種審批事項以及消息提醒的功能,在系統中,我們采用統一消息接口,實現對于同步和異步消息的傳輸處理,這樣可以在自己的工作臺面上實現快速的消息查看功能,方便各種業務的快速處理能力。同時系統可以提供對于
MSN
的
Message
的支持能力以及對于手機短信
SMS
的消息擴展支持的能力。這樣就可以形成一整套完整的消息相應機制,實現統一的消息管理。
|