统一身份管理系统单点登录和身份同步接入规范.docx
《统一身份管理系统单点登录和身份同步接入规范.docx》由会员分享,可在线阅读,更多相关《统一身份管理系统单点登录和身份同步接入规范.docx(14页珍藏版)》请在冰豆网上搜索。
统一身份管理系统单点登录和身份同步接入规范
国网统一身份管理系统单点登
录和身份同步接入规范
项目名称
〈国网统一身份管理系统〉
文档类别
〈接口规范〉
文档编号
<>
版本
<>
密级
<>
二O二一年三月十八日
•、国网统•身份管理系统介绍错误!
未定义书签。
系统槪述错误!
未定义书签。
1.2单点登录流程错误!
未定义书签。
1.3单点登录接入方式错误!
未定义书签.
二、国网应用系统单点登录集成错误味定义书签。
2.1国网应用系统集成分类错误!
未定义书签.
22应用系统权限管理模式错误!
未定义书签.
23单点登录集成要求错误!
未定义书签。
2.4单点登录集成流程错误!
未定义书签。
三、乃份同步规范错误!
未定义书签。
3.1用八Q•份数据流错误!
未定义书签。
3.2帐兮管理流稈错误味定义书签。
321帐号创建流程错误!
未定义书签。
322账号更新流程错误!
未定义书签。
叙厂林;芻性农涂卍错误!
未定义书签。
3.3帐号的纫分同步错误味定义书签。
3.4数据库改造错误!
未定义书签。
一、国网统一身份管理系统介绍
1・1系统概述
由上图可见国家电网统一身份管理系统由单点登录和目录管理两部分构成。
英中单点登录采用的是Novell的单点登录产品AccessManager,其单点登录通过AccessManager访问网关、单点登录认证管理模块、认证目录三部分协作实现。
统一身份管理系统中的目录包含三类:
认证目录、资源目录和身份目录。
认证目录是专用于NovellAccessManager做用户认证使用的目录,目录中包含所有登录总部门户的用户。
用户核心属性是用户名、密码以及单点登录到应用系统的帐号和密码。
资源目录是国网总部部门数据以及应用权限数据的权威数据源。
在该目录下管理用户所属的组织机构信息、各应用系统的信息、各应用系统的分组角色信息等。
组织机构信息、应用系统信息、分组角色信息等可供各应用系统认证管理模块做权限管理。
资源目录中的用户核心属性是用户爼、OU。
身份目录是国网用户的权威数据源。
所有国网总部的用户都从身份目录中开始创建、修改、删除。
该目录下的用户具有最全而的用户信息,它实时向认证目录和资源目录中同步用
户信息。
1-2单点登
对于NovellAccessManager产品实现的应用系统单点登录,其流程如下:
1、用户访问某个应用系统的单点登录url:
2、Novell访问网关截获该访问请求,展示统一的单点登录页而:
3、用户在统一的单点登录页而中输入统一的认证用户爼和密码(即在认证目录中的用户名和密码);
4、单点登录认证管理模块获取用户的录入信息,并与认证目录中的用户需和密码进行匹配验证,如果验证失败则返回:
用户登录失败:
5、验证通过后,单点登录认证管理模块将用户请求的应用系统url与内部的访问控制管理策略匹配,如果发现用户排除在允许访问的策略之外则返回:
用户对指左资源的访问遭到拒绝:
6、用户验证通过后,同时也被内部策略允许访问指立的资源,则单点登录认证管理模块从该用户的映射信息中提取岀当前用户在指定应用系统的认证信息,提交给应用系统的认证管理模块;
7、应用系统的认证管理模块验证接收到的用户映射信息,不通过则返回给单点登录认证管理模块,然后由单点登录认证管理模块自动删除认证目录中记录的错误映射信息,并要求用户填写正确的映射信息:
8、应用系统的认证管理模块验证用户映射信息通过,则向用户展示已登录信息,表示用户通过统一的认证入口单点登录到指左的应用系统中:
9、如果用户在已登录的应用系统中链接访问其他应用系统,由于用户已经通过统一的认证入口,因此用户对其他应用系统的访问将依照第5步开始单点登录到任意授权访问的应用系统中。
由以上过程可知,单点登录过程要跨越两个认证过程:
统一的认证入口和应用系统的认证管理模块。
在认证完成后,有两处可以控制用户的访问权限,分别是通过统一认证管理模块和应用系统认证管理模块来控制,其中应用系统认证管理模块可以进一步使用分组和角色的方式来管理用户的访问权限。
统一认证管理模块只能在访问控制策略中根据认证目录中的用户属性来控制哪些用户被允许或者被拒绝访问哪些Web资源(即应用系统url集合)。
1.3单点登录接入方式
根据Novell单点登录产品的特性,目前支持两种方式的单点登录接入方式:
ForniFill自动填表方式和身份注入。
这两种方式都可以实现在统一认证完申后,把特泄信息(用户LDAP属性信息或者与应用系统用户的映射信息)传递给应用系统自身的认证模块来实现单点登录。
通过表单进行登录的应用系统在登录时均有一个登录页面,可以对该登录页面上需要提交的表单项设苣自动填表策略。
例如,在某个登录页而中,用于实现登录的表单的名称为:
login,需要提交的用于表示用户划的变量冬为:
username,用于表示用户密码的变量名为password,那么填表策略就可以设巻如下:
表单名称:
login
提交的内容:
变量名称:
username;类型:
text
变量名称:
password;类型:
password
是否自动提交:
是
该策略工作的方式:
当用户访问到该页而时,如果该用户有权限访问该页而(由AM的保护资源设置决左),该策略首先确定该页而是否存在login这个表单,如果存在,就将策略里面定义的usernaine,password填写到login表单对应项中(由AM的ForinFIIl策略决定),并模拟用户自动提交表单。
应用系统接收到登录页而提交的用户信息后,应用系统认证模块验证用户名和密码,通过后返回登录成功的页面。
也就是说,应用系统使用自身的认证模块来认证用户,AM实现单点登录的方式是模拟用户填写表单并提交。
统一认证系统只负责判断用户是否允许访问资源以及传递后台应用系统所需要的信息。
除了通过表单提交来登录,另外一种比较常见的登录认证方式就是基本认证,简称基本认证。
该认证的自动登录可以使用身份注入策略实现。
身份注入策略默认支持基本认证的方式。
可以通过在认证目录中获取当前用戸的属性信息,并自动将用户属性添加到基本认证头信息里而以实现与应用系统的交互。
如果该用户合法,基本认证通过,用户就被允许登录应用系统。
同时,身份注入策略也可以提交自泄义的头信息。
也就是说如果应用系统需要英它用户信息也包含在头信息里而,可以通过身份注入策略自定义头信息来匹配应用系统所需要的其它信息。
进一步方便了应用系统同统一认证系统的集成。
例如,一个应用,使用基本认证,同时它还需要在头信息里面传递用户的邮箱信息,身份注入策略可以如下左义:
使用身份注入策略方式:
基本认证+用户自左义头信息
基本认证:
传递用户名和密码
用户自左义头信息:
传递用户邮箱信息
通过该策略,当用户访问该登录页面时,身份注入策略将自动获取该用戸的用户名和密码以及用户的邮箱传递给后台应用,通过基本协议实现自动登录应用系统。
二、国网应用系统单点登录集成
2.1国网应用系统集成分类
目前在国网统一身份管理系统中参与单点登录集成的应用系统可以分为如下四类:
1、应用系统认证模块(不包括CA认证)可直接指向LDAP目录系统。
某些应用系统使用产品(例如Bea的门户产品)管理应用系统的认证和授权,而这些产品可能支持把用户认证直接指向LDAP目录。
对于此种类型的应用系统,可以把用户认证直接指向总部的认证目录,用戸的存储和管理由总部目录来统一实现。
目前国网总部的门户即是采用该种方式完成门户系统的认证。
2、应用系统认证模块(不包括CA认证)不可直接指向目录系统,但是应用系统的用户管理系统待建。
应用系统的用户管理系统待建,即应用系统还没有建设好自身的用户管理系统。
对于此类型的应用系统,强烈推荐用户命名遵循国网总部认证目录命名规范。
按照此要求建设的应用系统,在实现单点登录集成时,可直接通过用户名与总部的用户建立关联。
应用系统的用户与总部目录的用户采用一致的命名规范,将来做一体化建设时应用系统的改造工作量最小化,用户体验感最好。
3、应用系统认证模块(不包括CA认证)已经建成,应用系统用户与国网总部目录中的用户不存在直接关联关系。
对于绝大多数已建系统,都属于此类型的应用系统。
单点登录时必须首次激活方式建立总部认证目录用户与应用系统中用户的映射关系,该映射存储在认证目录用户的特定属性中。
4、应用系统采用或者拟采用CA认证。
在国网统一身份管理系统中,用户单点登录时首先需要通过统一的认证入口。
目前统一认证入口正在建设CA认证,使单点登录认证模块接受CA认证。
因此,对于应用系统自身已有的CA认证,建议更改整个应用系统的架构。
改建后的应用系统应不包含CA认证。
如果要确保应用系统与单点登录认证模块之间的通信安全,可以采用SSL加密传输。
单点登录认证模块已支持CA认证的情况下,如果应用系统保持自己的CA认证,则需要将应用系统中用户的私钥信息保存在总部认证目录中。
这样做将存在严重的安全隐患:
(1)只要是有权查看这些私钥的用户(比如管理员)均可以将这些私钥挪做它用,比如重新签发证书,伪造档案等等,这对用H来说是非常不安全的做法。
(2)如果都将用户的私钥存储在统一认证系统中,将会导致统一认证系统中的证书十分难以管理,特别是对于一个用户比较多的系统来说,将会严重影响整个系统的执行效率。
2.2应用系统权限管理模式
以上是根据单点登录方式的应用系统分类。
应用系统单点登录成功后,还要进一步确认已登录用户的访问控制信息(即用户授权)。
以下是分别对应以上四类应用系统可采用的授权方式:
1、应用系统认证模块(不包括CA认证)可直接指向LDAP目录系统
这类应用系统的访问控制,直接由总部资源目录来控制。
在总部资源目录相应的分支下存储应用系统的相关信息以及应用系统的角色分组信息。
角色分组依照用户的属性和用户的组织机构信息设左。
当用户通过认证后,应用系统按照如下步骤实施访问控制:
(1)应用系统认证管理模块访问总部资源目录,根据已认证的用户ID获取英角色和分组信息:
(2)应用系统根据角色和分组信息实施应用系统资源的访问控制。
2、应用系统认证模块(不包括CA认证)不可直接指向目录系统,但是应用系统的用户管
理系统待建。
这类应用系统的访问控制,完全由应用系统自身来控制。
实现过程如下:
(1)应用系统的用户管理模块从总部身份目录同步用户信息到本地,保证用户的一致性:
(2)应用系统为本地用户设定组和角色信息来控制用户的访问;
(3)当通过统一认证的用户访问应用系统时,应用系统根据认证用户ID到本地用户中查找相同ID用户的组和角色信息,实施本地资源的访问控制。
3、应用系统认证模块(不包括CA认证)已经建成,应用系统用户与国网总部目录中的用户不存在直接关联关系。
这类应用系统的访问控制,同样完全由应用系统自身来控制,但是步骤更为复杂,实现过程如下:
(1)应用系统的用户管理模块从总部身份目录同步用户到本地,由应用系统管理员建立总部用户与应用系统用户之间的关联关系;
(2)应用系统为应用系统用户设左组和角色信息来控制用户的访问:
(3)当通过统一认证的用户访问应用系统时,应用系统根据认证用户ID到关联表中查找在应用系统中的对应用户;
(4)应用系统根据找到的对应用户来确认当前认证用户的组和角色信息,实施本地资源的访问控制。
4、应用系统采用或者拟采用CA认证。
如前所述,采用CA认证的应用系统需要经过系统框架改造才能接入统一身份管理系统。
在改造完毕后,应用系统的框架将是以上三类中的一种,因此访问控制也将遵循相应的规则,因此不再重复介绍。
2.3单点登录集成要求
通过Novell单点登录产品可以对应用系统提供统一认证接口,也可以方便地与应用系统进行集成。
同时,为了支持在多种情况下对应用系统进行集成,Novell单点登录产品还提供了多种方式对应用系统的登录环境进行支持,以提供对有特殊需求的应用系统的支持。
在应用系统中部署Novell单点登录产品后,部分应用系统现有的认证方式以及部分安全措施有可能导致和它集成比较困难。
为了提供对应用系统比较通用的支持,同时,为了简化访问控制,以及便于监控和跟踪统一认证系统的事件,应用系统需要满足以下条件。
对于新建应用系统,必须严格遵循本接口规范的要求,以便规范和统一管理。
2.3.1新建应用系统的集成要求
新建应用系统必须满足如下集成要求:
(1)新建应用系统不须自行认证
新建应用系统必须接收从认证系统传递的用户名及北它必要的认证信息,传递方式可通过HTTPHeader或FormFill
(2)新建应用系统进行自身内部功能模块的用户权限分配
根据不同的业务需要,各应用系统内部的角色与权限分配会有相当大的差异,现阶段还不便于统一、集中管理。
由各应用系统自身的授权模块,来进行内部的用户权限分配。
(3)新建应用系统应保留退出功能(用于终止应用系统用户会话)
用户退出应用系统时,需要终I上应用系统的用户会话,以节约与回收资源。
这就需要新建应用系统仍保留用户退出功能。
以上新建系统的三点集成要求,目的是为了使新建的应用系统成为第一类应用系统,即直接使用国网认证目录作为认证来源的应用系统。
2.3.2FormFill方式接入集成要求
当应用系统采用FormFill自动填表来实现单点登录时,必须满足如下集成要求:
(1)登录表单页面尽量少用Javascript
在对登录页面采用FormFill方式传递用户名和密码时,登录页而中尽可能少用Javascripto
AM提供了对页面中的Javascript动态执行的能力,即它可以动态的执行登录页而中的Javascript,并将执行的结果返回到需要提交的页面中,在登录的时候进行提交。
如果一个页而中在提交的时候需要执行大虽:
的Javascript,或者Javascript比较复杂的时候,AM需要耗费一沱的系统事件以及系统资源来动态执行页而中的JavaScript,将在一泄程度上加重AM的负载。
AM本身就既要管理用户访问,同时还要进行页而缓存以及反向代理功能,负载已经较大,在能够减少其负载的情况下应该尽虽:
减少苴负载,以使得整个统一认证系统的执行效率保持在一个比较良好的状态。
(2)登录表单域的变量名必须是静态值
登录表单域(无论是显式左义的,还是隐藏变量)的变量名必须是静态的,也就是不能通过后台生成。
AM中,在对需要提交的表单中有一个对表单进行自动提交的策略,策略里而预先泄义了需要提交的变疑以及提交的方式。
通过该策略,可以很方便的将当前页而上的内容进行自动提交。
由于策略里而需要预先立义提交的变量,也就说明,这些变量的名称应该是不变的,这样才能保证策略里而定义的变量能够唯一并且正确的对应到提交页而上的某个变量。
如果提交的变量的餌称是自动变更的,或者是由后台动态生成的,在使用策略进行提交的时候,很有可能导致提交的变量不完整,或者提交的变量与系统所需的变量内容不对应。
这种情况下,将严重影响AM和应用系统的集成。
(3)登录表单域的值不能动态创建
登录页面中,不使用由后台页面动态生成的参数,例如随机数,验证码,用于简化访问控制。
和上而一点一样,AM中最好不要涉及由后台动态生成的随机的,或者英它无法确泄其内容的变量。
其中,随机数和验证码只是为了保证应用系统的基本安全,和用户本身无关,这种情况下,AM的策略里而是无法找到与英相对应的属性进行提交。
举例来说,验证码主要是为了防止恶意提交或者恶意刷新。
但是其动态生成的内容是通过图片显示出来,并不能宜接通过读取页而的编码内容来获得其具体的值,这种情况下,AM是无法获取到这个验证码的内容,当然也就无法提交该内容。
也就是说,AM中提交的信息只需要能够直接从页面代码中直接获取并且有固左的值,其它随机生成的内容需要舍弃。
同时,验证码之类随机产生的信息主要是为了保证应用系统的安全,但是在目前的系统环境中,应用系统都是位于AM以及硬件防火墙之后,安全保证已经比较完善。
这种防止恶意提交以及刷新在AM端已经可以阻断,后台应用系统没有必要再对这一部分做更多的操作。
(4)应用系统应提供登录表单的资源绝对URL
对于需要执行登录策略的资源,应当能够左位到具体的页而或者资源。
登录策略需要绑定到某个具体的页而或者资源上才能执行,如果资源不确定,或者是通过动态生成,并且名称会变动,将导致登录策略无法执行。
(5)应用系统登剥登录出错/退出功能应使用不同的URL
在AM中,可设置对哪些具体的资源使用填表或者身份注入策略。
这些策略可以在当用户访问到这些页面的时候自动执行以实现自动登录。
由于需要对登录页面设置自动登录的策略,也就是当用户访问到登录页而的时候,AM通过事先对该页而设置的策略,自动将该页面所需要的内容进行提交,用户就不用手工输入这些信息并进行登录。
但是,如果将登岀的页面和登录的页而设宜为同一页而,当用户在登出系统后,页面又转回登录页而,当转回登录页而时,由于在AM中有对该页而的自动登录策略,该用户又会被该策略自动的登录进应用系统。
这种情况下用户将不能登出系统。
同样,如果将登录岀错页而和登录的页面设置为同一页而,当用户在登录系统失败后,页而又转回登录页面,当转回登录页而时,由于在AM中有对该页面的自动登录策略,该用户又会被该策略自动填表登录应用系统,造成死循环。
在AM中,可以通过判断一个具体的页而中某个表单的名字来区别不同的表单以实现在同一页而区别不同的操作。
也可以识別某个表单里而是否含有一个固左的字符串来确定唯一的符合条件的表单。
通过这两种方式,也可以解决上述问题。
但是如果使用这两种方式,AM会在每次访问该页而时对整个页而进行处理,这样会严重降低AM的处理能力以及速度。
所以,不推荐使用这两种方法来解决以上问题。
最好是将登录、登录岀错以及登出的页而区别开来。
(6)登录应用系统用户名为空时,不要弹出"用户名为空”对话框
有些应用系统在用户名或密码输错时会转入登录失败界面,但用户名为空则会弹出“用户名为空”对话框,这会使在单点登录时无法继续下去,应用系统应做相应改造,使用户名为空时也转入登录失败页而。
2.3.3身份注入方式集成要求
当应用系统采用身份注入方式来实现单点登录时需满足一下要求:
(1)应用系统应尽量避免在Header中需要密码
因为在Header中传递密码是非常危险的操作。
如果应用系统要求必须要有密码信息,则必须建立应用系统与AM网关之间的SSL加密通道。
(2)应用系统使用Header中的信息来认证时需要的Header信息必须是国网总部认证目录中用户已有的属性或者由这些属性衍生的角色信息或者常量信息
目前国网认证目录中包含的用户属性有:
用户在LDAP目录中的基本属性和密码、用户的部门信息、用户与各个应用系统用户的映射信息(映射的用户名和密码)。
如果应用系统需要根据用户的以上信息确左角色并在Header头部中获取相应的角色信息,则需要由应用系统详细罗列这方而需求匚
如果应用系统的Header认证还包含传递某些常量信息,同样需要在做单点登录前列岀需求。
如果应用系统采用Header认证时,需要的信息包含在以上三类信息之外,则必须改造Header认证方式,使认证需求控制在以上三种范用内。
2.4单点登录集成流程
1、应用系统单点登录改造。
改造的工作量决左于应用系统采用的单点登录接入方式以及应用系统采用的认证管理模式。
(1)如果应用系统是B/S结构,并且采用FormFill表单进行认证,则需要改造登录页而使之满足,还需要满足
(2)如果应用系统是B/S结构,并且采用身份注入方式进行认证,则需要确保Header认证信息的需求在,并做相应的材料提供。
(3)如果应用系统按照,可以考虑在集成时采用,改造登录、登岀和登错页而,使页面包含有固圧特殊字符,然后由AM产品遍历查找方式来匹配页而。
这是非常影响单点登录效率的一种改造方案,需谨慎使用。
应用系统改造完毕后,需与单点登录集成方确认改造后的系统是可被集成的。
2、认证需求确认
在应用系统改造完毕后,应用系统根据自身认证方式提供《应用系统认证说明文档》。
该文档指明应用系统独立运行时的访问控制流程、用户管理方式、权限管理方式,并指明应用系统拟采用的单点登录接入方式。
如果是采用FormFill方式接入,则提供登录、登出、登错页面的静态url地址以及登录页面中需提交的Fonn表单名称、表单项名称列表、表单项取值范围。
如果是采用Header方式接入,则提供在Header中应包含的项的划称以及取值特点,如果Header中需要传递用户的角色信息还需要提供角色夕i称列表以及角色左义规范。
3、设计应用系统单点登录集成后的权限管理方式,交由应用系统确认并做相应改造
而求
(1)如果应用系统的认证信息直接指向总部认证目录并且拟采用FormFill方式接入,则需要在总部资源目录中建立该应用系统的相关组、角色信息管理机制。
同时,应用系统需按照以下方式改造访问控制流程:
应用系统单点登录时,到总部认证目录中匹配用户名和密码:
应用系统权限管理时,到总部资源目录中获取用户的角色和分组信息,然后根据角色分组信息实施访问控制。
如果应用系统要改变分组或者角色,需同步修改总部资源目录中的应用系统信息。
(2)如果应用系统的认证信息信息直接指向总部认证目录并且拟采用Header注入方式接入,则需要在AM中预配這应用系统的角色机制。
同时,应用系统需按照以下方式改造访问控制流程:
应用系统单点登录时,接受总部认证目录中用户的属性信息注入;应用系统权限管理时,接受Header中传递的用户角色,然后根据角色分组信息实施访问控制。
如果应用系统修改角色,需同步修改AM中的角色配置策略。
(3)如果应用系统的认证信息存储在本地且用户命名遵循国网总部目录用户命划规范,则应用系统的权限由应用系统自身来管理和控制,流程遵照2.2肖中第二类应用系统权限管理模式。
(4)如果应用系统的认证信息存储在本地且用户命名不遵照国网总部目录用户命爼规范,应用系统的权限同样由应用系统自身来管理和控制,流程遵照2.3右中第三类应用系统权限管理模式。
4、确认与总部门户集成时的单点登录访问控制模式
由于某些应用系统只允许国网总部认证目录中的部分用户(某些部门分支下或者属性具有特定值的用户)访问,因此在单点登录集成后必须在总部门户上为应用系统的这种需求设置单点登录访问控制管理。
国网总部与应用系统共同确立总部认证目录中被允许从总部门户单点登录到应用系统的用户列表以及允许规则(即被允许的用户具有的特性),生成《从门户单点登录到应用系统访问控制说明文档》。
单点登录集成方根据该文档协调总部门户选择以下两种方式中的一种实现从门户单点登录应用系统时的访问控制管理:
(1)总部资源目录管理建立门户应用分支,并在门户下按照单点登录的应用系统建立分组。
各个应用系统允许访问的用户对应添加到分组中。
当用户通过统一认证后进入门户时,门户系统访问总部资源目录中门户应用分支下的分组信息,确认当前用户具有的应用系统访问url列表,并在门户界而上显示。
XX文库-il:
每个人平等地捉升门我
该方式的特点是用户的单点登录权限在总部资源目录中统一设定,符合一体化平台建设方针。
同时,分组也可以改成按照角色来分配,可批量设置用户的权限。
(2)门户的授权系统同步认证目录中的所有用户到本地,为每个用户单独设巻在
升级会员 