OA系统指纹统一身份认证服务平台解决方案.doc
《OA系统指纹统一身份认证服务平台解决方案.doc》由会员分享,可在线阅读,更多相关《OA系统指纹统一身份认证服务平台解决方案.doc(35页珍藏版)》请在冰豆网上搜索。
指纹统一身份认证平台设计方案
1 总体 4
1.1 应用背景 4
1.2 UIAS系统体系架构 5
1.3 UIAS网络应用结构 6
1.4 UIAS的典型应用(单点登录) 8
2 系统总体设计 9
2.1 系统体系结构 10
2.2 系统功能特点 11
2.3 系统环境 12
2.4 体系架构示意图 12
2.5 系统备用策略部署模式 13
2.6 平台故障的应急处理 14
2.7 设备配置选择 14
2.7.1 数据库服务器 14
2.7.2 统一身份认证服务器 14
2.8 设备部署方案 14
2.9 硬件、软件要求 15
2.9.1 硬件列表 15
2.9.2 软件列表 15
2.10 系统安全设计 16
2.10.1 身份认证 16
2.10.2 权限管理 16
2.10.3 数字签名和加密 16
2.10.4 数据安全性 16
2.10.5 安全审计 17
3 单点登录方案概述 17
3.1 概述 17
3.2 账号关联流程 18
3.3 单点登录流程 18
3.4 接口规范 18
3.4.1 采用协议 18
3.4.2 接口安全 19
3.4.3 连接方式 19
3.4.4 技术实现 19
3.4.5 接口列表 19
3.4.6 第三方业务系统开放的接口 20
3.4.7 单点登录系统开放的接口 21
4 统一身份认证接口 22
4.1 业务描述 22
4.2 业务场景 22
4.3 HESSIAN接口 22
4.3.1 接口定义 22
4.3.2 调用实例 23
4.4 WEB服务接口 23
4.4.1 接口定义 23
4.4.2 调用实例 23
4.5 Socket接口 23
4.5.1 接口定义 23
4.5.2 调用实例 24
5 项目开发方案 24
5.1 编码阶段 24
5.1.1 阶段概述 24
5.1.2 人员配置 24
5.2 第三方系统集成阶段 25
5.2.1 阶段概述 25
5.2.2 人员配置 26
6 项目实施及后期服务方案 27
6.1 实施和培训阶段 27
6.1.1 阶段概述 27
6.1.2 人员配置 27
6.2 系统试运行阶段 29
6.2.1 阶段概述 29
6.2.2 人员配置 29
6.3 系统维护阶段 30
6.3.1 阶段概述 30
6.3.2 人员配置 30
6.4 系统售后服务 31
6.4.1 人员配置 31
7 实施案例 32
8 平台截图 35
9 平台报价 36
1总体
1.1应用背景
现代企业的信息建设化越来越完善,各种电子邮件系统、网络办公、电子财务、人事管理、针对特定行业的业务系统的信息网络化等进入了千百个企业。
而企业业务正常运营时,企业用户需要同时访问多个业务系统,并经常浏览企业内部网络中的相关信息资源。
由于用户在访问不同业务系统时需要独立访问业务系统;同时,用户需要在各系统间频繁地切换,操作较复杂,无法快速地获得相关业务信息并加以分析利用,此外,用户在进行业务操作时,需要分别登录到不同的应用系统中,由于系统较多,用户帐号或密码遗忘现象时有发生,或者一套简单用户名和密码多系统使用,造成保密度降低等问题;而在安全性和系统管理方面,企业需要大量的IT技术管理人员,分别管理和维护不同系统(如:
ERP、系统分析、OA、财务、Notes系统等)的用户信息。
需要建立可靠、安全、保密的业务系统网络环境,保证企业业务系统网络环境,保证企业业务不受破坏和干扰。
针对这种情况,企业希望通过实施建立企业级的统一身份认证系统,为企业用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台;通过实施统一身份认证、单点登录功能,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现企业用户告诉协同办公和企业知识管理功能。
企业的各个业务系统大都采用异构系统(在不同平台上建立不同应用服务器的业务系统)。
因此,在确保业务系统独立运行的前提下,要解决统一认证、单点登录、安全防护和信息保密的问题,需要满足如下需求:
Ø对多个系统实现统一身份认证功能的需求
Ø业务系统可以在不同的硬件架构中的需求
Ø业务系统可以为异构系统,其运行的操作系统平台和应用服务器可以各不相同,客户端可以使用不同的浏览器的需求
Ø用户单点登录时满足用户名/口令,用户名/指纹,证书认证,还能实现少数用户通过USBKEY等硬件认证的需求
Ø最少改动现有的应用模式和业务系统的需求
Ø对后续的业务系统扩充和扩展有良好的兼容性的需求
1.2UIAS系统体系架构
基于UIASServer的统一身份认证系统的在企业IT架构中的位置和其他企业应用系统的关系如图所示:
图一UIAS系统在企业IT架构中的关系图
统一身份认证系统(UIAS)作为企业应用环境中的一个子系统,按照一种企业自定义规则的基于角色的用户管理机制,统一了各种企业应用系统五花八门的用户管理体系。
UIAS系统通过统一存储和管理企业应用系统中的用户组织和管理体系,提供了统一的用户信息管理界面和统一的认证访问接口,可以使各应用系统专注于处理其业务功能,而不用在用户的级别管理、归属管理、授权管理等部分上大费周章。
以上图为例,用户在访问某一个应用系统(比如办公系统时)的某一种功能时,如果是有安全性需求的保护模块,则办公系统要求用户通过输入口令、指纹、UKey、动态口令等各种验证方式进行身份或者访问权限的认证。
用户输入完成后,办公系统自动地将调用UIASServer提供的相关接口,到UIASServer上去验证此用户的身份及权限。
UIASServer按照企业自定义规则的基于角色的用户认证机制,对此用户进行身份认证和权限判断,并返回办公系统此用户的权限许可是或否,办公系统即可决定是否让该用户继续执行此功能的操作。
UIASServer提供统一的用户信息管理界面,各种认证信息及用户的基本资料在UIASServer上通过在客户端使用浏览器的方式进行设置和管理,不通过具体某一个应用系统完成。
而作为单独的应用,办公系统无需再对例如口令、密码、用户基本资料等信息进行设置和管理。
在UIASServer上设置的用户认证信息,可统一为各种应用系统进行服务,提供用户身份认证的功能。
所以,各种应用系统可以无需建立自己的用户管理系统,而将其集中到UIAS系统中。
对系统的使用者来说,无需为各种系统记忆不同的用户名和密码以及不同的登录方式;对系统的管理者来说,只需维护UIAS系统这一套用户数据和访问规则即可,无需分别管理不同应用系统中不同的使用者数据库,并且无需为不同的应用系统中无法共享和同步用户登录信息而烦恼。
此外,将用户身份认证的功能部分从各应用系统中独立出来,可以方便的随时增加新的应用系统,而无需为每个使用者重复地在新增系统上建立用户信息。
同时,由于统一身份认证系统跨越各个应用系统,所以为各个独立的应用系统建立了一个公共的联系,从而是单点登录功能的实现成为可能,即在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
1.3UIAS网络应用结构
系统的网络应用典型结构图如下图所示:
图二统一身份认证平台网络示意图
UIAS服务器(UIASServer)是实现统一身份认证系统的中心,是提供统一身份认证服务的核心设备。
在企业应用系统网络中,一般配置两台UIASServer(也可一台,如一台则无法实现数据实时备份及负载分配),两台UIASServer的硬件和软件配置完全一致并建立相同的数据库结构,并同步初始数据。
如果系统中配置两台UIASServer,则两台服务器的MySql数据库数据通过配置,以数据库复制的方式实现双机数据的实时互同步镜像。
应用户要求,系统也可采用外联数据库服务器的方式,不使用UIASServer上自带的MySql数据库,而通过JDBC连接不同种类的用户数据库系统,如Oracle、SqlServer、DB2、Sybase,Informix等等。
如果采用外联数据库系统,则无需配置数据库的镜像功能,数据的安全性和完整性由用户通过原有手段完成。
两台服务器由于具备同样的数据和执行功能,因此除了具备数据的相互实时备份外,通过对调用端的访问顺序配置,可以实现负载平衡的效果。
1.4UIAS的典型应用(单点登录)
单点登录系统作为UIASServer的一种典型应用,其应用结构图如下图所示:
图三统一身份认证应用(单点登录)逻辑图
在UIASSERVER的Tomcat应用服务器上,部署单点登录系统服务端软件。
其中,用户信息管理APP模块提供给前端管理员使用浏览器方式进行用户信息的设置和管理(比如人员信息的录入及指纹的采集等等)。
身份认证接口用WebService/hessian的方式提供,提供给后端的企业应用系统调用,完成用户身份的验证。
前端管理员可以输入UIASServer1或者UIASServer2的URL地址,进行用户信息的设置和系统管理方面的操作;
用户在使用企业应用系统前,可以输入UIASServer1或者UIASServer2单点登录系统APP的URL地址。
用户登录单点登录系统时,通过单点登录系统用户表中的字段来验证用户身份,登录后得到其被授权使用的各种企业应用系统的信息。
用户可在显示的各种应用系统账户图标上,进入需使用的应用系统而无需再次单独登录。
在对某应用系统实现自动登录的功能前,用户需要设置各个系统到该系统用户的映射关系,以保证自动登录功能得以实现:
数据加密保存在UIASSERVER的数据库中。
2系统总体设计
统一身份认证服务平台,将用户信息、应用资源信息以及用户对网络应用资源的访问权限等在关系型数据库进行存储,并在此基础上提出一套统一身份认证、单点登录、集中鉴权以及网络应用资源的统一管理、有效解决了用户重复登录和多点帐号管理的问题。
Ø方案1:
对第三方业务系统基本不作任何改变,用户通过UIAS认证后,配置业务系统帐号/密码,随后用户访问业务系统时,由UIAS向业务系统提交认证,业务系统完成认证和授权。
Ø方案2:
第三方业务系统需进行代码修改和配置,支持统一认证,分布授权。
即统一身份认证系统实现用户身份认证,而授权等操作则由老系统完成。
系统设计方案比较表:
方案名称
介绍
B/SWEB系统
单点登录实现
C/S桌面系统
单点登录实现
方案1
l对业务系统基本不做任何改变
l实施和维护相对简单
l一旦出现故障,系统复原相对简单
l业务系统需进行身份认证、授权
1、统一平台用户注册
2、平台用户与业务系统账号关联
3、统一平台配置B/S系统参数
4、使用IE控件往B/S系统推送账号/密码等相关参数,进行登录
(登录时需要验证码校验的第三方业务系统要单独进行处理,IE控件对校验码图片进行分析(随机英文字母、随机数字、随机颜色、随机位置、随机长度等参数)
1、统一平台用户注册
2、平台用户与业务系统账号关联
3、在统一平台设置C/S系统基本参数
4、使用客户端工具,在每个用户客户端都需初始化C/S系统的相关参数
5、使用IE控件往C/S系统推送账号/密码等相关参数,进行登录
方案2
l每个业务系统需代码修改和配置,与统一身份认证平台进行联调
l由统一身份认证平台实现统一的身份认证功能,业务系统只负责对用户授权
l一旦出现故障,系统复原相对复杂
l实施和维护相对复杂
1、统一平台用户注册
2、平台用户与业务系统账号关联
3、统一平台配置B/S系统参数
4、统一平台与第三方业务系统单点登录接口调用
l同上
建议
1、老系统整合,使用方案1。
2、新系统接入,采用方案2。
2.1系统体系结构
统一身份认证服务平台主要包括资源层、目录服务系统和客户端三部分。
资源层是系统的核心,包含关系型业务数据库和关系型审计数据库,关系型业务数据库用于存储用户数据,关系型审计数据库用于存储用户访问日志;
认证服务系统用于提供基于Web方式的用户管理、身份认证、服务授权、审计管理和外部访问接口;
客户端由若干应用系统和普通用户组成。
2.2系统功能特点
Ø实现用户单点登录
对于B/S结构应用系统,用户只需通过浏览器界面登录一次,即可通过统一身份认证系统访问后台的多个用户权限内的Web应用系统,无需逐一输入用户名、密码登录。
对于C/S结构应用系统,通过Active控件或客户端Plugin来实现对C/S系统客户端的单点登录,用户输入一次用户名、密码,即可访问所有被授权的C/S系统资源。
Ø统一用户身份管理
用户注册:
用户在UIAS中心注册帐号,该帐号可用于所有使用UIAS的应用系统中;
帐号关联:
对于用户在相关应用中已建立的帐号,可与UIAS的帐号进行关联,以便在不改变原有帐号的情况下仍能访问应用系统。
Ø统一身份认证
UIAS系统提供开发接口给新建系统,可为后续新的应用系统开发提供了统一的身份认证接口和标准。
Ø多种身份认证方式
UIAS支持多种身份认证方式,如指纹认证,同时也保留了传统的静态口令认证,并且为其他认证方式如短信,数字证书,USBKey,动态口令身份认证等认证方式预留接口,以适应企业对认证方式扩展的需求。
Ø日志和审计报告
UIAS依靠记录最终用户和管理人员的访问过程,建立一套全面的、有效的回溯和追查机制。
同时系统管理员可以实时监测用户对企业各应用系统的访问状态,及时发现非法访问事件,对出现的问题进行事后追溯和责任追究提供实证。
通过对系统运行状态实时监控审计,还增强了系统的可维护性。
主要完成访问行为审计、审计信息查询、审计信息防窜改等几大功能。
Ø系统集中管理
UIAS提供管理功能,实现对用户身份信息,权限,应用系统,审计信息的集中管理。
系统管理员通过这个管理中心可对用户,资源,权限及审计信息进行统一的管理,并对UIAS系统本身进行维护管理。
同时系统支持分级授权管理功能,支持总部授权下属单位管理自身的用户,并对其授权,减少总部管理员的负担。
2.3系统环境
Ø客户端支持的浏览器:
单点登录、指纹采集等页面使用ocx控件,仅支持IE,其它页面支持firefox等主流浏览器
Ø客户端支持的操作系统:
Windows
Ø服务器端支持的操作系统:
Windows、Unix、Linux
Ø数据库:
Oracle、SQLServer或MySQL等关系型数据库
Ø中间件:
Tomcat、Weblogic等开源或商用中间件
2.4体系架构示意图
从逻辑架构上,统一身份认证平台由三层组成:
客户端、服务层和数据库层。
客户端也称为系统接入层,它可以使用API接口或者浏览器。
服务层由应用服务器构成,实际是由“应用中间件”+“WEB应用”形成的B/S系统中的服务端系统。
数据库层由数据库服务器组成,为整个指纹认证系统提供数据库支持。
数据库服务器采用PPRC双备的策略,保证数据的安全性、可靠性和高可用性。
体系架构说明:
统一身份认证平台部署在核心业务区。
建立有技术接口规范的统一身份认证平台,可以保证网络上数据传输的保密性、可认证性、完整性及不可抵赖性。
实现与第三方业务系统的对接,以此为基础可以将更高安全性需求的业务操作建设在互联网之上,并且使这一操作得到更高效、更安全、更便捷的执行。
统一身份认证平台架构图:
(系统架构图)
2.5系统备用策略部署模式
接入和应用服务层:
统一身份认证平台采用双中心双活方式部署,两个数据中心各部署一套系统同时对外提供服务,当其中一套系统故障时,另一套系统保持对外服务。
数据库和存储:
统一身份认证平台数据库使用部署在X3950服务器上的4core/16G和DS8100存储700G。
主数据中心和备数据中心的数据库自动进行存储级别的数据同步(PPRC方式)。
2.6平台故障的应急处理
如遇平台故障,无法在短时内有效修复,为保证业务的正常运行,人力资源系统、CBS系统、网站系统等对接类系统,可以通过前台调整参数,将各自系统设置为不通过统一身份认证平台的方式绕行。
如遇用户个人由于手指受伤或者其它特殊原因导致指纹无法识别,可通过前台,将该用户设置为不启用指纹认证的方式绕行。
2.7设备配置选择
设备配置满足“双中心双活”要求,且服务器部署满足平台的设计指标:
总注册用户数1万,同时1000用户在线,应答在4秒以内到达客户端。
2.7.1数据库服务器
平台数据库使用部署在核心业务区X3950服务器(虚机4core/16G)上,存储使用DS8100(700G)。
2.7.2统一身份认证服务器
每个数据中心配置1台2CPU/4G/146G×4R01的机架式服务器,安装Linux操作系统和Tomcat软件,支持双中心双活,部署在核心业务区的S1区。
2.8设备部署方案
统一身份认证平台在方案设计上采用双中心双活方案部署。
如下图所示的部署方案:
服务器部署表:
机房
分区
服务器
台数
机房1
S1区
统一身份认证服务器×1
1
K1区
数据库服务器(主用)×1
1
总计
2
机房2
S1区
统一身份认证服务器×1
1
K1区
数据库服务器(备用)×1
1
总计
2
2.9硬件、软件要求
2.9.1硬件列表
所需资源类型
配置
数量
服务器(生产环境)
2U机架,2C/4G,146G×4,RAID0+1
2台
服务器(数据库)
X3950虚机4Core/16G和DS8100存储700G
2台
2.9.2软件列表
种类
类型
软件名称
版本号
操作系统
操作系统
LinuxRedhat(64bit)
4.0
WEB服务
应用软件
Tomcat(32bit)
6.0
数据库
数据库
Oracle(64bit)
10g
2.10系统安全设计
2.10.1身份认证
系统是为广大工作人员提供服务的,为了区分各个用户以及不同级别的用户,需要对他们的身份和操作的合法性进行检查。
体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管理要求。
2.10.2权限管理
权限管理系统是保证业务系统安全的一项重要手段,系统将采用一种基于角色的访问控制RBAC(Role-BasedpoliciesAccessControl)模型的权限管理系统的设计和实现。
基于RBAC模型的权限管理系统具有以下优势:
权限分配直观、容易理解,便于使用;扩展性好,支持岗位、权限多变的需求;分级权限适合分层的组织结构形式。
RBAC模型中包含的基本元素主要有:
用户(Users)、角色(Role)、资源(Resource)、操作(Operation)。
对用户来说,可能拥有几个角色,而不同的角色拥有若干种操作或功能点。
这就规定了该用户所拥有的权限是各个角色的操作或功能点之和。
用户隶属于用户组,而用户组可能拥有几个角色,因此用户所拥有的权限是所在用户组的权限之和。
在本方案中,系统可以提供URL、方法、实体等细粒度的权限控制,同时系统也可以提供模块级的粗粒度权限控制。
2.10.3数字签名和加密
对关键业务数据和电子文档进行数字签名和加密,保证关键业务数据和电子文档的在网络环境下的保密性、不可抵赖性和完整性。
2.10.4数据安全性
在保证了系统的安全性之后,我们要确定数据的安全性,完整性和可恢复性。
对于数据服务器可采用双机热备份。
一台作为主机,另一台作为备用机。
备用机一直监视主机的工作状态,主机一旦出现故障,备用机取代主机。
这样可以保障系统的安全运行。
对服务器系统采用数据备份策略。
为系统运行过程设计如下3种备份功能:
①数据实时备份:
凡是信息中心接收到的数据作在线备份;②数据定时备份:
定时将磁盘上的数据备份在磁带上,备份时间长短由数据的重要性决定。
关键数据做到异地备份,或者备份到Web服务器上或分公司的服务器上;③系统灾难性备份:
信息中心的系统软件做到两套以上的灾难备份,最好做到异地备份或者外部存储备份。
在遇到破坏时,就可从本地或外部磁带保存地点获得灾难备份磁带,安装应用服务器操作系统并配置网络,配置存储设备,装上灾难备份磁带,从存储设备中取得最新的引导信息,恢复数据库,确认数据库为最新版本,批准系统运行,进行灾难恢复。
系统管理员可以通过操作系统和数据库软件提供的数据备份功能,结合相应的硬件和存储设备,对数据备份进行集中管理,以此实现自动化的备份,文件归档,数据分级存储以及灾难恢复等。
2.10.5安全审计
安全审计是网络安全中尚待开发的一个新领域。
在目前已有的审计软件中,大多数是基于主机的,或者是基于网络的。
他们本身存在着各种各样的缺陷。
为此,我们依据在安全技术中已有的开发经验,结合其他新的网络技术,提出并设计了一种崭新的分布式审计系统,以期更好地解决应用系统的安全问题。
系统能够记录每个用户的重要操作,拥有权限的人员可以查看审计日志记录。
对网络行为、各种操作进行实时的监控;对各种行为进行分类管理,规定行为的范围和期限。
3单点登录方案概述
3.1概述
用户登录单点登录系统时,通过单点登录系统用户表中的字段来验证用户身份。
登录以后,用户需要设置各个系统到该系统用户的映射关系。
设置好以后,当通过该系统进入其他某个Web应用系统时,该系统会为该用户和该系统生成一个临时会话票据(st),并转到Web应用系统中的登录检测页面,登录检测页面通过获取到的临时会话票据,来调用单点登录系统的获取用户名密码等相关信息API接口,如果用户名密码正确,则转到正常登录后的页面,如果不正确,则转到登录错误的页面。
这里,API接口在返回用户名和密码后,将删除单点登录系统数据库中相应的临时会话,这样不但用户名、密码都是在服务器之间进行传递的,并且临时会话存在的时间也是尽可能的短,因此只要保证服务器之间的对话不能被监听,即可保证安全性。
第三方业务系统需要增加一个用于单点登录系统的登录验证页面,该页面工作过程大致如下:
Ø获取单点登录系统的票据st值(提供HTTPURL地址)
Ø通过票据值得到用户名和密码(HTTPServlet方式调用)
Ø通过用户名和密码进行身份验证
Ø返回身份验证后的页面
3.2账号关联流程
登记新的第三方业务系统账号关联:
1、用户向统一身份认证服务发出账号关联注册请求,用户提供了应用系统的标识A,同时提供了可以在该应用系统中使用的用户信息(如用户名和密码等)。
2、服务首先向该应用系统A征询,用户信息是否合法。
如果合法则响应服务。
3、如果收到合法响应,那么服务就将这个账号关联注册信息保存到用户注册库中,在该用户登录统一身份认证服务之后,就能够使用相应的应用系统A。
4、当注册库完成保存操作后,统一身份认证服务响应用户,最后注册完成。
3.3单点登录流程
流程描述如下:
1、用户使用在统一认证服务注册的用户名和密码(也可能是其他的授权信息,比如数字签名等)登陆统一认证服务;
2、统一认证服务创建了一个会话,同时将与该会话关联的访问认证令牌返回给用户;
3、用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统,不过用户并不将请求消息直接交给应用系统,而是传给统一身份认证服务,在消息中标识了最终的应用系统
升级会员 