银行统一门户解决方案.docx
《银行统一门户解决方案.docx》由会员分享,可在线阅读,更多相关《银行统一门户解决方案.docx(23页珍藏版)》请在冰豆网上搜索。
银行统一门户解决方案
银行统一门户解决方案
2016年12月
修订历史记录
日期
版本
说明
作者/修改人
审核
批准
2016-12-9
<1.0>
初始化创建
张尘
一、概述
目录管理是为了方便用户访问组织机构内所有的授权资源和服务,简化用户管理,基于LDAP或基于数据库,对组织机构内中所有应用实行统一的用户信息的存储、认证和管理。
统一用户目录管理要遵循以下两个基本原则:
★统一性原则:
实现对目前已知用户类型进行统一管理;对包括分支机构在内的整个组织机构内的所有用户进行用户目录复制和统一管理;对门户的用户体系和各应用系统各自独立的用户体系进行统一管理;对新进员工/用户到员工/用户离开进行整个生命周期的管理。
★可扩充性原则:
能够适应对将来扩充子系统的用户进行管理。
二、用户分类模型
2.1基于部门岗位树的角色模型
基于部门岗位树的角色模型是组织机构内最常见的模型,提供了用户目录管理、目录复制、权限控制的多种属性。
角色管理是用户权限管理的重要基础。
基于部门岗位树的角色模型如下所示:
在部门岗位角色树状模型中,用户职位称为岗位,或称用户角色,包含岗位角色的组织机构称为部门,大部门可以包含小部门。
其最重要的特点是:
★用户隶属于岗位/角色(可以隶属于多个岗位/角色);
★岗位/角色具有时间范围;
★部门包含下属部门及岗位/角色中的所有用户。
用户信息以组织/部门/岗位角色以树状的层次结构来组织和管理,有以下好处:
★同实际组织机构体系相一致;
★同LDAP目录对数据的组织方式保持一致,便于利用LDAP目录服务的强大进行用户目录的管理;
★有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送到单独的用户目录服务器上,提高相关应用对用户信息的访问效率;
★有利于根据目录树的结构给予不同的员工/用户组不同的权限。
2.2级别分层树模型
级别分层树模型如下图所示,是对部门岗位角色树状层次模型的补充。
在级别分层树模型中,不同层次的节点具有上下级或涵盖关系。
相同层次的节点相互独立,之间没有上下级或涵盖关系。
其最重要的特点是:
★用户只能属于一个级别;
★在同一层次节点下可以有多个级别;
★可用大于、小于或等于,以上、以下等词汇来指定多个或一个层次的级别。
利用级别分层树模型,可辅助实现更为灵活的用户授权控制。
三、用户信息存储管理
3.1用户信息存储分类
统一的用户信息存储可基于:
◎数据库方式:
支持将统一的用户信息存储于各大主流数据库中,如Oracle、DB2、SQLServer、Sybase、MySQL等;
◎LDAP目录方式:
支持将统一的用户信息存储于LDAP目录中,如Domino、LDAP、SunOneDirectoryServer、OpenLDAP、MSActiveDirectory、Novell、NDS、NetscapeDirectoryServer等。
此外,可以基于LDAP目录或数据库方式,新建一个用户信息目录库,供门户和应用系统使用;
也支持可以使用现存应用系统的已有用户数据库,作为门户和其他应用统一的用户信息存储管理库,如可以考虑基于现存的OA办公自动化系统、或者HR人事系统、或者一卡通系统等现有系统的RDBMS用户数据库或LDAP用户目录进行用户信息管理和身份验证。
鉴于基于LDAP目录服务存储和管理用户的身份认证等信息,可更有效更灵活地管理用户及资源,我们推荐采用LDAP目录服务作为各组织机构信息化建设统一用户管理的基础平台。
下面主要阐述LDAP目录服务的相关内容。
3.2LDAP目录服务定义
LDAP协议:
轻量级目录访问协议(LDAP),英文全称是LightweightDirectoryAccessProtocol,是一个用于访问存储在信息目录中的信息的Internet协议,是目录服务在TCP/IP上的实现(RFC1777V2版和RFC2251V3版)。
它是对X500的目录协议的移植,但是简化了实现方法,所以称为轻量级的目录服务。
LDAP协议是跨平台的和标准的协议;实际上,LDAP作为一种Internet标准,得到了业界的广泛认可。
LDAP的核心规范在RFC中进行了定义,LDAP协议集规定了区别名(DN)的命名方法、存取控制方法、搜索格式、复制方法、URL格式、开发接口等,描述了客户端应该如何访问存储在服务器上的数据,但没有定义应该如何存储数据。
通过使用LDAP,可以在信息目录的正确位置读取(或存储)数据。
目录服务:
所谓目录服务是在分布式计算机环境中,定位和标识用户以及可用的各网络元素和网络资源,并提供搜索功能和权限管理功能的服务机制。
各组织机构为了实现各个分立的“信息孤岛”走向连通和融合,一方面业务系统需要将自身的职能和业务协作要求公布出去;另一方面,也希望能够检索并获取其他业务系统的信息和公共的信息资源。
这些需求采用目录服务都能够得到满足。
目录服务是其对象具有属性及名称的命名服务,是命名服务的自然扩展。
目录服务与命名服务的关键区别在于,目录服务允许属性(比如用户的电子邮件地址)与对象相关联。
目录服务的核心是一个树状结构的信息目录,由一系列具有属性和名称的目录入口对象(Entry)组成,将网络中的数据资源、数据处理资源和用户信息按有次序的结构进行组织,并且专门针对海量查询的使用情况进行了优化,极大地提高了数据读取和查询性能。
目录服务不仅可以提供分布式计算网络的视图,以逻辑的观念来管理网络,而且它能实现以人为本的网络管理方式。
它可以记载网络的所有文件以及所有在网络上运行的资源,以及使用者帐号、身份口令、密码、卷、文档,应用程序以至于域名服务器DHCP、IP地址以及认证的公钥等。
此外,目录软件还保存和管理对包括人员、业务过程和供内部使用的资源等有关组织机构详细信息的访问。
目录服务树中的一个目录对象可以通过它的名字检索,或者通过使用一组搜索标准(表示目录对象的名字和属性)检索。
在分布式计算环境中,各单位对其他单位有用的信息可以在目录服务注册、解除注册和查询。
在整个组织机构范围内部署和实现LDAP,可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。
3.3、LDAP目录的结构
LDAP目录以树状的层次结构来组织和存储数据,目录由目录入口对象(Entry)组成,目录入口对象(Entry)相当于关系数据库中表的记录,可直接成为LDAP目录记录,是具有区别名DN(DistinguishedName)的属性(Attribute)集合,DN相当于关系数据库表中的关键字(PrimaryKey);属性由属性类型(Type)和多个值(Values)组成,相当于关系数据库中的域(Field)由域名和数据类型组成,只是为了方便检索和灵活性的需要,LDAP中的Type可以有多个Value,而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。
这样,有以下好处:
一般按照地理位置和组织关系进行组织数据,同现实世界相一致,非常的直观;
有利于根据目录树的结构给予不同的员工/用户组不同的权限;
属性类型可以多个属性值,LDAP目录就有很大的灵活性,不必为加入一些新的数据就重新创建表和索引;
LDAP把数据存放在文件中,可以使用基于索引的文件数据库,大大方便了检索,提高了检索效率;
有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送到单独的用户目录服务器上,提高相关应用对用户信息的访问效率;
把LDAP存储和复制功能结合起来,可以定制目录树的结构以降低对WAN带宽的要求。
LDAP目录记录的标识名(DistinguishedName,简称DN)是用来读取单个记录,以及回溯到树的顶部。
基准DN:
LDAP目录树的最顶部就是根,也就是所谓的“基准DN”。
基准DN通常使用下面的格式,如:
o=(用组织机构的域名/Internet地址作为基准DN,这种格式很直观,这也是现在最常用的格式)。
在目录树中怎么组织数据:
LDAP目录树的最顶部就是根。
在根目录下,因为历史上(X.500)的原因,大
多数LDAP目录用OU从逻辑上把数据分开来。
OU表示“OrganizationUnit”,在X.500协议中是用来表示单位内部的机构部门。
现在LDAP还保留ou=这样的命名规则,但是扩展了分类的范围,可以分类为:
ou=people,ou=groups,ou=devices,等等。
更低一级的OU有时用来做更细的归类。
例如:
LDAP目录树(不包括单独的记录)可能会是这样的:
o=
ou=employees
ou=office
ou=hr
ou=finance
ou=sales
ou=rd
ou=groups
ou=customers
ou=china
ou=asia
ou=europe
ou=rooms
ou=assets-mgmt
单独的LDAP记录:
DN是LDAP记录项的名字。
在LDAP目录中的所有记录项都有一个唯一的“DistinguishedName”,也就是DN。
每一个LDAP记录项的DN是由两个部分组成的:
相对DN(RDN)和记录在LDAP目录中的位置。
RDN是DN中与目录树的结构无关的部分。
在LDAP目录中存储的记录项都要有一个名字,这个名字通常存在cn(CommonName)这个属性里。
在LDAP中存储的对象都用它们的cn值作为RDN的基础。
完整的DN,比如,为一个员工“张三”设置一个DN:
cn=zhangsan,ou=employees,o=(基于姓名)
uid=szhang,ou=employees,o=(基于登录名,推荐)
推荐采用基于登录名的方式设置DN,因为基于姓名这种格式有一个很明显的缺点---如果名字改变了,LDAP的记录就要从一个DN转移到另一个DN,但是,我们应该尽可能地避免改变一个记录项的DN;而大多数单位都会给每一个员工唯一的登录名,因此用这个办法可以很好地保存员工的信息,而不用担心以后还会有一个叫“张三”的加入,或者“张三”改变了名字,也用不着改变LDAP
记录项的DN。
记录项:
LDAP目录以一系列“属性对”的形式来存储记录项,每一个记录项包括属性类型和属性值(这与关系型数据库用行和列来存取数据有根本的不同)。
例如,机构单位的员工“张三”的LDAP记录。
这个记录项的格式是LDIF,用来导入和导出LDAP目录的记录项。
dn:
uid=szhang,ou=employees,o=
objectclass:
person
objectclass:
organizationalPerson
objectclass:
inetOrgPerson
objectclass:
orgnamePerson
uid:
szhang
givenname:
zhang
sn:
san
cn:
ZhangSan
cn:
ZhangShan
cn:
张三
cn:
张总
telephonenumber:
8610-82825858
roomnumber:
122G
o:
orgname,Inc.
dept:
sales
role:
salesmanager
mailRoutingAddress:
szhang@
mailhost:
userpassword:
{crypt}3x1231v76T89N
uidnumber:
1234
gidnumber:
1200
homedirectory:
/home/szhang
loginshell:
/usr/local/bin/sh
LDAP目录可以定制成存储任何文本或二进制数据,到底存什么要由你自己决定。
LDAP目录用对象类型(objectclasses)的概念来定义运行哪一类的对象使用什么属性。
在几乎所有的LDAP服务器中,你都要根据自己的需要扩展基本的LDAP目录的功能,创建新的对象类型或者扩展现存的对象类型。
属性的值在保存的时候是保留大小写的,但是在默认情况下搜索的时候是不
区分大小写的。
某些特殊的属性(例如,password)在搜索的时候需要区分大小写。
请注意LDAP目录被设计成允许某些属性有多个值,如一个员工可能拥有
多个名字,可以用其任何一个名字检索都可以找到该员工的电话号码、电子邮件
和办公房间号,等等;而不是在每一个属性的后面用逗号把一系列值分开。
因为用这样的方式存储数据,所以LDAP目录就有很大的灵活性,不必为
加入一些新的数据就重新创建表和索引。
更重要的是,LDAP目录不必花费内存或硬盘空间处理“空”域,也就是说,实际上不使用可选择的域也不会花费你任何资源。
3.4、LDAP目录的存储内容
LDAP目录是有关用户、系统、分组、网络、服务和标识的集合;LDAP目录中可以存储各种类型的数据,LDAP对于这样存储这样的信息最为有用,也就是数据需要从不同的地点读取,但是不需要经常更新。
例如,这些信息存储在LDAP目录中是十分有效的:
单位员工的人力资源数据:
员工的姓名、登录名、口令、员工号、主管经理的登录名、邮件地址、等等;
电话号码簿和组织结构图;
用户、系统、分组;
电子邮件地址、邮件路由信息;
公用证书和安全密匙;
客户联系列表:
客户的单位名称、主要联系人电话、传真和电子邮件等;
资产管理信息:
计算机名、IP地址、标签、型号、所在位置,等等。
会议室信息:
会议室的名字、位置、可以坐多少人、电话号码、是否有投影机,等等;
计算机管理需要的信息,包括网络资源、DNS域名系统、NIS映射等等;
软件包的配置信息;
以及其他,如食谱信息:
菜的名字、配料、烹调方法以及准备方法;
等等。
对于用户管理而言,LDAP目录中存储的信息可包括:
用户UserID(或LoginID、使用者帐号);
用户身份:
用户角色(可以多个角色)、用户组;
用户名称Name:
正式名称、常用名、别名、中英文名等;
用户口令/密钥Pswd(加密存储,区分大小写,禁止任何人查询,但是可以允许用户改变他或她自己的口令);
认证公钥;
员工号、部门名称、部门号、房间号、工位号、工作岗位、职务名称、上级主管经理;
联系电话、手机、分机;
家庭联系信息:
家庭住址、邮编、家庭电话、其他联系人信息;
电子邮件地址、邮件服务器、邮件路由地址;
员工计算机信息:
计算机名、IP地址、标签、型号、所在位置,等等;
验证用户的LDAP地址
用户在LDAP中的标识码-路径
用户其他信息等。
四、用户身份认证
4.1、认证类型
统一用户目录管理系统支持多个安全级别的身份认证方式,参与SSO的各个应用系统和受保护资源可以根据自身的安全需要设置安全等级,通过低级别登录的用户在访问高级别的应用时需要进行高级别的登录。
身份认证方式的安全级别由低到高分别为:
普通口令级:
用户输入用户名和口令进行身份认证;
动态密码级:
用户使用动态密码卡来输入动态密码;
数字证书级:
用户使用智能卡等设备通过数字证书和数字签名进行身份认证;生物测量级:
用户使用指纹仪、虹膜仪等生物物理测量设备进行身份认证;
生物测量+数字证书级:
数字证书和生物测量的结合使用。
支持多种身份验证方式:
支持多个生产商的动态密码卡、数字证书卡、DSAKey和指纹仪等设备。
身份认证模块是以插件方式配置的,确保快速的实施和灵活的调整。
系统可以使用客户现存应用系统的已有用户数据库或LDAP用户目录进行身份验证;通过配置即可实现通过LDAP或JDBC进行用户身份验证。
4.2、用户身份密码验证
LDAP作为存储用户信息的目录服务,可提供基本的用户身份密码验证。
为了加强用户口令信息的安全,将口令信息采用国际标准的MD5摘要加密
算法进行摘要加密,使摘要信息可明文存储且不可逆。
门户或使用该用户目录的应用系统在验证口令时,首先将用户输入的口令进行MD5处理,再与存储的MD5加密摘要信息进行匹配比较,如下图所示。
用户身份密码验证的流程如下:
(1)用户在门户首页中输入用户名/口令,进行登录。
(2)门户调用用户身份验证WebService,通过对加密后的密码摘要匹配,进行用户身份验证。
(3)如果验证用户非法,提示错误信息并返回
(1)。
(4)用户身份验证WebService返回该用户的ID,该ID将作为通过门户访问应用系统的会话标识。
4.3、与CA认证接口
门户通过CA认证网关支持用户数字证书的验证,如下图所示;
系统提供BJCA、协卡SheCA、中国金融认证中心CFCA、吉大正元CA等主流CA系统接口的支持。
4.4、用户登录控制
用户登录控制包括:
★系统无操作时间限制:
超过10分钟,系统将自动退出,所有进一步操作必须重新登录。
★IP限制:
登录IP限制(特别是管理员用户);相同用户同时登录IP数限制;
★密码错误次数限制:
密码连续输入错误次数超过比如3次或累计次数超过比如6次,强制退出,不允许登录,直至系统管理员为直重置密码;
★强制口令修改:
◎第一次登录时强制口令修改;
◎用户口令被重置后登录时强制口令修改;
◎口令期限:
超期口令强制口令修改。
五、分布式用户目录管理
5.1、分布式目录服务体系
分布式目录服务体系如下图所示。
可配置集中目录,将所有员工信息保存到一台中央目录服务器上。
中央目录信息可以向所有用户和所有应用提供,为所有用户和组信息提供单个身份认证中心。
集中目录服务可提供更多的控制,可以降低开销,并可以易于管理,具有较大的优势。
可创建多机构目录,确保用户只能访问到其所属机构的信息,如针对某个下属单位,可创建该下属单位的目录服务;再如,针对大学,可专门创建可允许学生访问的目录服务。
中央目录服务器与某类用户/下属单位/部门/分支机构/远程办公室子目录服务器之间可进行选择性复制,可节约磁盘空间和复制周期。
5.2、目录复制
复制技术是内置在LDAP目录服务器中的而且很容易配置。
LDAP服务器可以使用基于“推”或者“拉”的技术,用简单或基于安全证书的安全验证,复制一部分或者所有的数据。
例如:
可以把数据“推”到远程的上海的办公室,可以建立从中央LDAP服务器:
1389到sh-:
389的有选择的数据复制,不复制需要隐藏的信息,像下面这样:
periodicpull:
ou=northchina,ou=customers,o=
periodicpull:
ou=hk,ou=customers,o=
immediatepush:
ou=eastchina,ou=customers,o=
“拉”连接每15分钟同步一次,在上面假定的情况下足够了。
为了保持数据始终是最新的,主目录服务器被设置成即时“推”同步。
“推”连接保证任何华东的联系信息发生了变化就立即被“推”到上海。
用上面的复制模式,用户为了访问数据只需简单地连接到本地服务器。
如果改变了数据,本地的LDAP服务器就会把这些变化传到主LDAP服务器,以保持数据的同步。
这对本地的用户有很大的好处,因为所有的查询(大多数是读)都在本地的服务器上进行,速度非常快。
当需要改变信息的时候,最终用户不需要重新配置客户端的软件,因为LDAP目录服务器为他们完成了所有的数据交换工作。
我们推荐中央主LDAP目录服务器与子LDAP目录服务器选用同一目录服务产品。
不同目录服务器之间的数据移植和同步:
对于中央主LDAP目录服务器与子LDAP目录服务器选用不同厂商的产品时,首先可考虑将原有的LDAP目录服务器的数据移植到新的LDAP目录服务器中;
此外,目前,有些不同厂商的LDAP目录服务器之间也可以实现目录同步和复制。
比如,若您正在使用Windows2000,可在DominoLDAP目录与MS活动目录AD之间同步管理用户和分组;如在活动目录中执行此操作,ADSync允许您注册、同步属性和口令、重命名和删除DominoLDAP目录中的用户和分组。
六、统一用户信息的方式分类
门户基础平台建立一个中央统一用户目录管理系统,并支持所有应用的合法性访问。
有两种方法可以完成所有应用的统一用户目录管理。
第一种:
完全重新定制应用,改变应用自身的用户体系为中央统一用户管理系统。
第二种:
用户信息同步:
在应用的用户管理系统与中央统一用户管理系统之间,建立用户/用户组同步复制关系。
即在统一用户管理系统中发生任何变更,则及时反映到应用用户管理系统。
(同步更新用户数据)
第一种方法可以获得最大的灵活性,但是由于要对应用系统的用户认证进行变更,工作量较大。
并且仅适用于应用系统提供用户管理系统接口的前提下。
第二种方法优点在于开发较为便捷,但在后期的实际运行过程中,由于用户信息的频繁更新,有可能造成系统实际运行过程中的效率低下。
在应用系统提供用户管理接口的前提下,建议采用第一种方法:
基于LDAP目录实现统一用户目录管理。
七、用户信息同步
随着信息技术和网络技术在组织机构中的广泛应用,很多机构单位已经拥有了各种各样的应用系统,如OA办公自动化系统、HR人力资源管理系统、财务系统、CRM客户关系管理系统、企业ERP系统、政府网上审批系统、学校一卡通系统、以及各种业务应用系统。
而通常情况下,各个应用系统都存在自己独立的用户信息数据库和授权管理机制,故而如何实现中央用户目录数据、门户用户数据与各应用系统用户数据之间的同步是信息化建设面临的重要挑战之一。
基于用户信息同步技术,只需在单点进行增加新用户、修改用户信息、或者删除老用户,其他相关应用系统的用户信息和基于用户角色等的用户授权信息都能同步发生变化,并且能够立即生效,从而简化了用户管理工作,避免了安全隐患的发生。
中央用户目录、门户与各应用系统之间的用户信息交换体系架构如下图所
示。
用户信息总线是基于EAI技术的数据总线技术,支持用户信息数据的发布/订阅、请求/应答模式;发布/订阅通信模式完全是一种“推”(Push)的技术;而请求/应答通信模式是对传统Clie
升级会员 