单点登录技术方案.docx
《单点登录技术方案.docx》由会员分享,可在线阅读,更多相关《单点登录技术方案.docx(15页珍藏版)》请在冰豆网上搜索。
单点登录技术方案
xxxx集团
单点登录技术方案
1.
xxxx集团系统建设现状
xxxx集团有限责任公司(以下简称集团公司)管理和运营省内11个民用机场,以及20多个关联企业(全资子公司、控股企业、参股企业)。
现有的信息系统主要有生产运营系统和管理信息系统,其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等,管理信息系统主要有财务系统、OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。
这些信息系统的用户包括集团公司所有机场以及关联企业。
各信息系统都有独立的用户组织体系,采用“用户名+密码”的方式来实现身份认证和授权访问。
从而与众多企业一样存在如下一些主要问题:
1、终端用户需要记住多个用户名和密码;2、终端用户需要登录不同的信息系统以获取信息;3、系统管理员难以应付对用户的管理;4、难以实施系统使用安全方面的管理措施。
1.1.Web应用系统
xxxx集团现有的Web应用系统包括:
办公自动化系统(OA)、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。
这些系统基本上是各自独立开发的、或者购买的商业软件。
每个应用系统都有自己的用户管理机制和用户认证机制,彼此独立。
每个应用系统用户名、口令可能各不相同。
1.2.C/S应用系统
xxxx集团目前的C/S应用只有一个:
财务系统,金蝶K3财务系统。
1.3.SSLVPN系统
xxxx集团有一套SSLVPN系统,集团局域网之外的用户(包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等)是通过SSLVPN系统进入集团局域网的,通过SSLVPN系统进入集团局域网访问的系统包括:
OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网站等。
用户经过SSLVPN系统进入集团局域网需要经过身份认证。
2.xxxx集团单点登录系统需求
现在信息系统建设的重要内容之一是信息门户建设,利用门户集成技术建立一个完整有效的内部信息门户,通过提供资源的管理和应用开发的支撑功能,把各业务系统的不同功能有效地组织起来,给用户提供一个统一的信息服务功能入口,集成现有的业务系统信息资源,减少信息孤岛的存在并降低重复投资,为用户提供更加完善的信息服务。
2.1.一站式登录需求
由于目前各应用系统独立设计、自成体系,不同系统采用不同的用户管理机制,所以进入每个应用系统均需独立的认证和登录,导致用户使用麻烦,无法体现以用户为中心的服务理念,无法给用户提供简单、方便、快捷、使用的信息服务。
xxxx集团要实现为各类专业应用系统(办公自动化系统、企业邮件系统、资产管理系统等)提供应用集成,必须首先解决各系统互联互通,资源共享需求所带来的统一身份认证需要。
应根据“统一规划,分步实施”,“需求主导,共建共享”,“先进实用,开放扩展”,“统一标准,保障安全”的四个指导原则,先期在信息系统中提供先进安全可靠的、符合国际标准的、高性能大规模的单点登录整体解决方案(“一站式登录SingleSign-On,SSO)”,以降低用户和密码管理成本,提高安全性,并提高用户的系统使用效率,为各系统的无缝集成打下坚实的基础。
3.
SSO(单点登录)技术简介
SSO就是通过一次登录自动访问所有授权的应用系统,从而提高整体安全性,而且用户无需记录多种登录过程、ID或口令。
需要部署SSO的原因:
◆口令越多,安全风险越大
◆需要简化用户访问
◆需要简化用户帐号和口令的系统管理
◆使用单点登录可以集中地提高整个系统的安全性
◆为企业提供统一的、集中的信息资源管理手段
◆提高应用系统数据信息的安全从而保护企业核心财产
目前单点登录技术主要分为两类,分别修改应用程序SSO技术方案和不修改应用程序SSO技术方案(即插即用)。
3.1.修改应用程序SSO方案
在这种方案中,SSO解决方案包括的组件为:
认证服务器、各种API(Java、C/C++、.Net、JSP、ASP、PHP等)、各种代理Agent。
这种解决方案需要用户改造以前的应用系统,采用方案提供的API或Agent对应用系统进行修改。
改变原有应用系统的认证方式、采用认证服务器提供的技术进行身份认证。
这种解决方案,一般要求用户先统一所有应用系统的用户数据库。
把用户的信息统一后,才可实现单点登录功能。
在修改应用的技术方案中,每个应用服务器中都需要安装一个代理程序完成用户的身份认证工作。
当用户访问目标应用服务器时,代理程序向SSO服务器询问该用户是否已经登录,如果是,则代理程序从SSO服务器中取得该用户的用户信息自动登录该应用系统。
登录成功后,用户直接访问该目标服务器。
如果未曾登录过任何应用服务器,则该应用要求用户进行身份认证,认证结束后,代理程序将认证结果发送给SSO服务器。
这种方案的优点是不用在单点登录服务器上保存各个应用系统的用户名/口令信息。
3.2.即插即用SSO方案
即插即用解决方案,不需要用户修改应用程序。
即插即用解决方案包括的组件为:
认证服务器、SSO客户端或浏览器控件(C/S结构的应用需要,B/S应用不需要)。
这种解决方案在认证服务器上保存用户所有应用系统的用户名/口令信息列表。
针对每个应用系统,在这种方案中都有一个对应的配置文件,这个配置用来代理用户登录应用系统。
即插即用解决方案工作的基本原理:
首先针对每个应用系统进行配置,产生一个配置文件;用户登录到单点登录服务器上;用户访问应用系统时,单点登录服务器调用对应于该应用的配置文件,将对应该应用的用户认证信息(用户名/口令)取出,代理用户登录应用系统;登录成功后,用户可以访问应用系统。
这种方案的特点是在单点登录服务器上保留各个应用的用户名/口令信息对应列表。
3.3.两种SSO方案比较
修改应用系统的SSO方案和即插即用SSO方案各有优缺点,先比较如下:
指标
修改应用程序方案
即插即用方案
实施性
实施周期长,一般月为单位
实施周期短,以天为单位
扩展性
跟应用的平台、环境有关
跟应用无关,高扩展
容错性
单点登录服务器失效,业务系统无法正常使用,容错性差
单点登录服务器失效,业务系统仍可正常使用,容错性好
认证信息
无需在单点登录服务上存储其他应用的用户认证信息
需在单点登录服务上存储其他应用的用户认证信息
表3.1两种SSO方案比较
3.4.惠普SSO
3.4.1.惠普SSO开发背景
近年来,随着信息化进一步发展,企业的应用系统越来越多。
部署这些应用面临双重的安全挑战。
首先,必须保证只有合法的用户才能访问相应的应用资源。
其次,实施安全保护措施时应尽量避免增加用户的负担。
随着业务系统的增加,每个用户需要记住多个口令,访问不同的应用系统采用不同的口令。
这虽然能够保证用户对应用资源的合法访问,但增加了用户的负担。
一方面,为了方便记忆,用户会采用简单的口令或将口令记录下来,这大大降低了应用系统的安全性;另一方面,用户每访问一个应用资源都需要登录一次,这大大降低了工作效率。
惠普SSO应用软件系统正是在这种背景下开发的。
3.4.2.惠普SSO的功能
通过组合简单的访问控制和SSO功能,惠普SSO为客户提供一个即插即用的SSO解决方案。
用户无须修改应用系统(包括WEB应用系统和C/S结构应用系统),自由选择前置代理和后置代理或组合使用方式。
只需简单的配置,即可使用SSO应用功能。
惠普SSO系统主要功能包括:
◆单点登录:
用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。
后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。
◆即插即用:
通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。
解决了当前其他SSO解决方案实施困难的难题。
◆多样的身份认证机制:
同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用;
◆可无缝集成Windows域认证模式,登录的域用户访问惠普SSO服务器无须再次身份认证;
◆基于角色访问控制:
根据用户的角色和URL实现访问控制功能
◆基于Web界面管理:
系统所有管理功能都通过Web方式实现。
网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。
此外,可以使用HTTPS安全地进行管理。
◆全面的日志审计:
精确地记录用户的日志,可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。
审计结果通过Web界面以图表的形式展现给管理员。
◆双机热备:
通过双机热备功能,提高系统的可用性,满足企业级用户的需求。
◆集群:
通过集群功能,为企业提供高效、可靠的SSO服务。
可实现分布式部署,提供灵活的解决方案。
◆传输加密:
支持多种对称和非对称加密算法,保证用户信息在传输过程中不被窃取和篡改。
◆防火墙:
基于状态检测技术,支持NAT。
主要用于加强SSO本身的安全,也适用于网络性能要求不高的场合,以减少投资。
◆分布式安装:
对物理上不在一个区域的网络应用服务器可以进行分布式部署SSO系统
◆后台用户数据库支持:
LDAP、Oracle、DB2、Win2kADS、Sybase等。
可以无缝集成现有的应用系统的统一用户数据库作为SSO应用软件系统的用户数据库。
◆领先的C/S单点登录解决方案:
无需修改任何现有的应用系统服务端和客户端即可实现C/S单点登录系统。
3.4.3.惠普SSO的特点
同其他SSO产品相比,惠普SSO具有如下特点:
◆即插即用:
惠普SSO以完全独立于应用系统的方式工作,应用系统完全感觉不到惠普SSO的存在。
◆高可扩展性:
企业新部署应用系统通过简单的配置即可纳入SSO系统。
◆应用无关性:
同应用系统的平台、开发环境、结构、编程语言以及脚本无关。
支持所有的TCP/IP协议的应用环境,能够满足各种Web应用开发环境。
◆无客户端化:
通过配置,对于C/S的应用,可以通过插件的方式来实现单点登录,无需安装惠普单点登录客户端。
◆满足企业级应用的需求:
通过双机热备、集群等功能解决大型企业对应用系统高可靠性和高带宽需求。
◆用户认证信息多样化:
支持Web的BA和Form认证方式,Web应用系统的用户名口令可各不相同,支持数字证书认证、支持用户已有的用户数据库等。
通过定制开发也可支持动态口令等认证方式。
3.4.4.惠普SSO结构
图3.1惠普SSO体系结构
4.
xxxx集团单点登录技术方案
4.1.应用系统中部署惠普SSO单点登录
xxxx集团的单点登录需求特点是:
已经实现了多个应用系统,而且为异构系统(不同的平台上,使用不同的应用服务器建立不同的业务系统),没有独立的单点登录门户。
单点登录系统想作为企业的门户使用。
在单点登录技术领域,惠普抛弃了系统综合集成、应用大包大揽的整合、以及异构系统异构解决(插件方式)等实现方法。
而是将重点放在已有应用系统的单点登录的无缝集成上,着重实现具有“即插即用”、“应用无关”、“不知不觉中的单点登录”等功能。
为了更好的保护已有投资,使单点登录系统具有更好的扩展性。
在xxxx集团应用系统的单点登录规划中我们推荐惠普SSO单点登录产品。
下面各个章节里将详细描述惠普SSO单点登录系统如何无缝解决企业的单点登录需求。
4.1.1.解决全局的单点登录
图4.1xxxx集团部署单点登录系统网络结构图
上图为xxxx集团部署惠普SSO单点登录系统的示意图,为了保证系统高可用性,可采取SSO系统的双机热备部署方案。
部署完成后,xxxx集团用户登录业务系统将不在面临分散式登录方式,用户只需登录惠普SSO系统一次即可。
用户在访问某个业务系统时,惠普SSO单点登录系统会截获用户信息,并对用户进行安全可靠的身份认证(登录SSO服务器,只需一次),登录成功后(假定用户身份正确)用户再使用其他业务系统时将不再需要身份认证,惠普SSO单点登录系统会自动代理该用户完成必要的认证过程,并且确保该用户的正确性、合法性和安全性。
4.1.2.应用系统的整合
在提供SSO单点登录方案时,应尽量避免修改原有的应用系统,不要修改应用系统结构和设计。
对Web应用,惠普SSO同应用系统的操作系统平台、应用开发平台、开发语言、开发脚本、Web服务器和应用服务器的类型完全无关。
这样可以确保惠普SSO系统支持所有的Web应用系统。
对于C/S结构的应用,采用惠普SSO的单点登录客户端或浏览器插件,可以方便的实现C/S结构应用系统的单点登录功能,无需用户修改应用程序。
以透明的方式实现,达到“不知不觉”地实现单点登录的功效。
惠普SSO最大限度地避免用户修改已有的应用系统,为项目的顺利实施提供了可靠的保证。
一方面,因无需定制开发,修改应用程序,避免了部门协调的麻烦;另一方面,可以在短时间内完成项目的部署,避免因实施周期长带来的不必要的麻烦。
图4.2单点登录主页面
根据xxxx集团的实际需求,对于C/S的应用我们建议用户采用浏览器插件的方式进行管理。
采用浏览器插件的用户不需要安装客户端,使用比较方便。
上图是默认配置下,用户登录到惠普SSO服务器后显示的页面。
点击主页面上的所有应用,用户都可以直接进入该系统,不需要用户再次输入密码。
4.1.3.用户如何过渡到使用单点登录
部署惠普SSO单点登录系统应用后,企业用户访问和使用原有的业务系统时,其使用方式不进行任何变动,这主要是惠普SSO单点登录系统使用了透明转发技术,也就是说,单点登录系统的使用在用户看来是透明的。
其中企业用户能看到的变化如下:
●一次性登录到SSO服务器后,访问任何业务系统不用进行身份认证;
●企业用户需要在SSO服务器上维护自己用户名/口令列表。
每个用户维护自己的列表,管理员无法干预,也无需干预。
4.1.4.管理员部署业务系统单点登录功能
系统管理员通过管理控制台对单点登录系统进行管理。
惠普SSO单点登录系统自身携带图形化的基于Web界面的管理控制台,通过Web界面管理单点登录系统。
惠普SSO无需配置修改其他业务系统,最大化的减少了同各个业务系统管理部门之间的协调工作,保证项目的顺利部署。
其管理界面如下:
图3.2管理控制台截图
每个需要单点登录的业务系统在惠普SSO单点登录系统中都需要进行配置,主要配置内容包括:
●网络地址,子网掩码等等相关信息进行配置
●业务系统名称
●业务系统IP
●业务系统开放的端口
●用户管理
●用户授权
这些配置完成后用户即可使用单点登录,针对单点登录的管理配置相当简单、明确。
在配置和使用开始后,管理员的管理工作变得非常少,只剩下用户管理和日志查询审计工作,对用户的管理包括增、删、改等,而日志审计有非常直观的图形化界面可用,其截图如下:
图3.3惠普SSO单点登录系统日志报表截图
日志审计部分是全局统一审计的,图形化报表审计日志对管理员非常直观外,企业决策层进行系统分析和数据采样也是非常适合的。
4.1.5.建立高扩展、高容错单点登录环境
惠普SSO单点登录系统无需修改应用程序,因此新上线的应用系统,通过配置即可纳入单点登录系统。
系统具有良好的扩展性。
惠普SSO单点登录系统不修改应用系统,采用旁路工资模式。
因此,当单点登录系统出现故障时,除了无法使用单点登录功能外,不影响原有业务系统的正常运行,保证了系统的高容错功能。
这是同修改应用程序实现单点登录功能解决方案的一个重要区别。
采用修改应用程序的方法,一旦单点登录系统出现问题,整个业务系统也会受到影响,可能无法正常工作。
4.1.6.建立稳定、安全、高速网络环境
在企业的业务系统中增加单点登录系统后首要的问题是要稳定、安全、高速,然后在这个基础上进行单点登录。
惠普SSO单点登录系统采用双机热备、集群技术,这些技术保证SSO服务器不会影响业务系统的数据处理,可以适应任何流量压力下的正常数据传输。
安全方面,惠普SSO单点登录系统采用专用内核,并且自身携带安全的防火墙模块,保证单点登录系统自身安全性和稳定性。
4.2.定制工作
4.2.1.SSLVPN结合
xxxx集团有一套SSLVPN系统,采用的艾克斯通的SSLVPN系统。
惠普SSO系统可以和艾克斯通SSLVPN无缝集成。
通过配置,用户登SSLVPN后访问惠普SSO系统,无须再次输入密码。
移动办公用户的最终感觉是:
登录SSLVPN,输入一次口令,然后访问其他应用系统时,无须再输入口令。
4.2.2.密码同步
xxxx集团现有一个基于LDAP用户数据库,现有的Web应用系统(OA、资产管理、企业邮件、网站发布、决策支持)和SSLVPN都使用该数据库。
有的直接使用,有的同步使用。
同步使用时出现同步周期太长问题。
为了解决这个问题,通过定制,用户以后修改口令,统一经过惠普SSO进行修改,由惠普SSO将修改后的口令同步到各个应用系统中。
5.
项目实施进度
5.1.基本安装配置
惠普SSO安装需要一台专用服务器(裸机)。
惠普SSO系统是自成体系的系统,自带操作系统、数据库。
安装完毕后,首先进行SSO系统基本参数配置,包括:
●IP地址
●默认路由
●域名服务器
5.2.配置认证脚本
每个需要单点登录的业务系统在惠普SSO单点登录系统中需要进行配置,主要配置内容包括:
●业务系统名称
●业务系统IP或域名
●业务系统使用的端口
●配置业务系统认证脚本
这些配置完成后,用户即可使用认证脚本完成该业务系统的单点登录功能。
5.3.总体进度
xxxx集团的网络应用相对比较规范,按照平均一天2-3个应用系统的实施速度,应用系统实施大概需要2天时间;对管理员需要1天管理培训;如果需要定制显示首页面,需要1天时间;集成SSLVPN需要1天时间。
总共需要5天时间。
应用系统配置
2天
培训
1天
首页面定制
1天
SSLVPN集成
1天
共
5天
如果要同步用户密码,要根据应用系统的实际情况来估算工作量:
同步DominoLDAP服务器需要2天定制工作;SQLServer需要2天;Oracle数据库需要2天。
其他的数据库视具体情况而定。
6.
硬件清单
由于惠普SSO系统只在用户认证的时候登录一次,因此压力不大。
另外,惠普SSO系统采用多进程多线程模式,是一个非常高效的服务系统。
所以,惠普SSO系统对硬件的要求不高。
惠普SSO支持Intel构架的PC服务器。
内部按1000用户算,需要的硬件最低配置如下:
CPU
内存
硬盘
1*2.8GXeon
1G
RAID1/73G
7.软件清单
惠普SSO系统自成体系,自带操作系统、数据库、服务器软件。
和其他类似的解决方案相比,无须为单点登录系额外购买:
操心系统、数据库等配套软件。
xxxx集团单点登录解决方案需要的软件清单:
惠普SSO软件系统
版本4.8.6,一套