UTrust统一身份认证和单点登录系统技术白皮书30.docx

1、UTrust统一身份认证和单点登录系统技术白皮书30UTrust SSO统一身份认证和单点登录平台技术白皮书Version 4.0神州融信信息技术 .chinautrust. 1 为什么需要统一认证和单点登录企事业经过多年的信息化建设，已经形成了一大批比较成熟的应用系统，其涉及的应用面覆盖了企事业的大部分生产或业务，政府部门包括办公系统，人事系统，财务系统、信息管理系统等，对于企业还有生产调度系统、劳资管理系统、设备管理系统、PDM或ERP系统等。由于历史的原因，各应用系统在开发的初期都是独立进行的，造成了彼此之间操作上的割裂和数据之间通信的割断。每一个系统都需要用户输入用户名和密码才能登录。

2、随着业务的发展，企事业将来会增加到几十个应用系统在网上运行。尤其对于一些权限较高或是涉及业务较多的用户，如果每一个系统都需要他们进行密码的验证，那么用户使用系统的不便性是可想而知的。因此经常会有一些用户将多个系统设置成同一密码或是将记不住的密码写在纸上贴在桌子上，这样，对业务系统的访问存在着极大的安全隐患，使一些别有用心的工作人员有机会利用他人密码登录系统，进行非法操作，也会给发生重大事故后的责任追查带来困难。并且随着企业控要求的加强，需要企业部应用系统加强密码管理，每一个应用系统都需要在三个月更换一次密码，记不住密码变得经常发生。而系统管理员的也被拖入了繁琐的重置用户密码的工作之中，无形中增

3、加了管理员的Help Desk工作。针对于上述情况，企事业单位需要建设一个单点登录平台，通过一次认证登录后就可访问所有有权访问的应用系统，避免频繁登录，并且能够保证用户身份的合法性和唯一性，对于应用系统的访问建立一套完整的安全防护和用户管理机制，当然在IT信息化规划初期建立这一平台是较好的考虑，以解决如下问题： 如何避免记忆多个密码？ 如何避免频繁登录？ 如何确保用户身份的唯一性，确保系统访问的安全性？ 如何减少help-desk花费在用户上的时间？ 如何为新建系统架构统一用户身份和认证平台？ 如何对企业各应用系统的访问进行监控和跟踪，确保访问的安全性？ 如何不更改用户应用程序的情况下实现上述

4、需求？ 如何在异构的环境中实现上述的需求？2 单点登录技术单点登录简称SSO，SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它无需用户记忆多个用户名、密码，也无需用户进行多次登录访问应用系统。 从用户角度来看，单点登录解决了他们记忆多个用户名、密码的烦恼，解除了使用多个应用系统必须进行多次认证的重复劳动。 从系统管理员来看，单点登录和统一认证系统可以使他们从繁琐的账号密码管理工作中解脱出来，不必每天为用户重置密码而苦恼，使IT人员真正的发挥他们在单位中的作用。 从应用开发商角度来看，单点登录和统一认证使他们不必再开发身份认证模块，从而可以把更多精力投入到具

5、体业务流程开发中。 从企业管理角度来看，单点登录和统一认证提高了员工的工作效率，减少了管理成本，提高了企业信息系统的安全性，也节约了后续开发系统的成本，提高了经济效益。3 UTrust SSO简介面对用户的重复登录和系统管理员的繁琐工作，UTrustSSO单点登录平台提供了完善的解决方案，在异构的IT系统中实现集中和便捷的身份认证、单点登录、身份管理，资源管理和集中审计，以满足企业对信息系统使用的方便性和安全管理的需求。国领先的支持C-S和B-S架构的单点登录实现机制UTrust SSO（Single sign-on）系统是针对国企业信息化发展现状而开发的应用系统管理软件。它摈弃了传统的单点登

6、录技术的实现方式，抛弃了系统改造，应用大包大揽的整合方案，采用“即插即用”方式，达到“一点登录，全网漫游”的访问机制。其实现方式与应用系统的操作平台、开发平台、开发语言、数据库、Web服务器无关。可以在不改变现有软硬件及网络环境的前提下，无缝地将用户各种现有的应用系统整合到单点登录平台上，实现一次登录后就可访问所有的应用系统。真正体现了与“应用无关”的完美集成概念。4 UTrust SSO原理4.1. 后置代理这种SSO实现原理是，SSO 系统提供各种API，Agent代理，对原有应用系统进行认证改造，改变原有应用系统的认证方式，或是对新建系统提供认证接口，同时采用认证服务器提供的技术进行身份

7、认证。在修改应用的技术方案中，每个应用服务器中都需要安装一个代理程序完成用户的身份认证工作。当用户访问目标应用服务器时，代理程序向SSO服务器询问该用户是否已经登录，如果是，则代理程序从SSO服务器中取得该用户的用户信息自动登录该应用系统。登录成功后，用户直接访问该目标服务器。如果未曾登录过任何应用服务器，则该应用要求用户进行身份认证，认证结束后，代理程序将认证结果发送给SSO服务器。4.2. 即插即用即插即用解决方案，它对企业部的各种应用程序不进行修改，通过系统配置的工作来实现。它的实现机制采用二次登录技术，与原有系统的开发语言，操作系统，数据库，应用平台类型等无关。这种解决方案在认证服务器

8、上保存用户所有应用系统的用户名/口令信息列表，认证服务器上采用透明转发机制，自动帮用户实现登录过程。它的基本工作原理为：首先针对每个应用系统进行配置，产生一个配置文件；用户登录到单点登录服务器上；用户访问应用系统时，单点登录服务器调用对应于该应用的配置文件，将对应该应用的用户认证信息（用户名/口令）取出，代理用户登录应用系统；登录成功后，用户可以访问应用系统。5 UTrust SSO功能 系统功能结构如下图所示：4.3. SSO单点登录用户只需登录一次就可访问其所有有权访问的系统。当用户持有的USB Key、数字证书或是静态密码通过统一认证平台的认证后，即可访问其有权限的所有应用系统，用户无需

9、再输入原有系统的登录密码，后台的各应用系统上的用户名和密码可以不相同。简化了用户的登录过程，节省了在各系统间工作切换浪费的时间。而且也无需再记忆大量的密码，方便用户对系统的访问。5.1.1 基于B/S结构的应用系统单点登录对于 B/S结构应用系统，用户只需通过浏览器界面登录一次，即可通过UTrust SSO单点登录系统访问后台的多个用户权限的Web应用系统，无需逐一输入用户名、密码登录。对于B/S结构的单点登录实现采用透明转发技术，对系统无需改造。与后台系统的开发平台，开发结构没有任何关系。5.1.2 基于C/S结构的应用系统单点登录对于 C/S结构应用系统，通过安装UTrust SSO客户端

10、，来实现对C/S系统的单点登录。用户输入一次用户名、密码后，即可访问所有被授权的C/S结构的应用系统资源。无需对C/S结构的应用系统进行改造，通过系统配置的方式实现。5.1.3 与Windows域结合的单点登录UTrustSSO4.0可以与Windows域进行整合，不需另行单独维护自己的用户信息，UTrust统一身份认证平台中的用户身份直接使用AD域中的用户身份信息，UTrustSSO系统实现对用户的部分的划分，角色的划分。UTrustSSO与AD域之间实现了单点登录，当用户登录AD域后，用户无需再登录，就可访问其所有有权限访问的系统，无需再次输入用户名和密码。 4.4. 统一身份认证4.4.

11、1. 多种身份认证方式单点登录是一次登录后就能访问所有的系统，因此对于用户的身份认证方式要求较高，确保单点登录安全性的重要因素是对用户实行增强的身份认证方式，以免用户的密码被盗取后，所有的应用系统面临被他人非法访问的危险。因此，面对传统的静态密码的各种不安全问题，UTrust SSO采用基于PKI技术的增强身份认证方式。支持数字证书认证，并可使用软证书或是USB Key电子钥匙等认证多种身份认证方式。结合UTrust CA数字证书认证系统，可以为用户分配数字证书，对用户密钥进行安全管理。并且系统也支持第三方CA认证机构颁发的数字证书。除了数字证书认证方式之外，同时也保留静态密码认证，并且为其他

12、认证方式如动态密码认证，短信认证等预留接口，以适应企业的不同发展阶段的安全需求。4.4.2. 统一用户身份认证UTrust SSO采用轻量目录存取服务LDAP来建构统一用户信息数据库，它以树状的层次结构来存储数据，实现对服务、组织、人员、组、策略以及其他资源的集中、分层、分组管理。LDAP作为一个公开和开放的目录服务标准，已成为未来身份认证和身份管理的标准，具有很好的互操作性和兼容性，可以为企业搭建一个统一身份认证和管理框架，UTrust SSO采用LDAP技术，并提供开发接口给新建系统，可为后续新的应用系统开发提供了统一的身份认证平台和标准。4.4.3. 统一用户身份管理UTrust SSO

13、 4.0可以结合UTrust IDM用户账号同步管理模块，将用户的身份信息和密码同步到各个系统的数据库中，系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。UTrust SSO管理平台对用户身份信息进行统一的管理。不仅管理方便，也防止过期的用户身份信息未及时删除给企业资产带来的安全风险。在人员离职、岗位变动时，只需在UTrust SSO管理中心一处更改，即可限制其访问权限，消除对后台系统非法访问的威胁。4.4.4. 用户自注册管理根据定制的策略，最终用户可以自助完成某些工作，无需管理员介入，包括用户主账号和二级账号自注册、密码丢失重置和个人管理等，从而提高了工作和管理效率。4.4.5

14、. 用户批量导入导出管理对于用户可以批量导入导出，将大量用户通过工具导入到UTrust SSO服务器中，同时也可以在UTrust SSO的用户管理界面将用户分类导出报表，以便管理用户。4.5. 统一授权管理4.5.1. 访问资源管理在UTrust SSO平台上注册企业或组织所有需要保护的应用系统，对其进行描述，管理。列出每一个应用系统下所具有的用户情况。在每个系统下查询用户情况，以直观的方式显示每一个资源下有权访问的用户信息。并对所有用户进行统一的授权。采用基于角色的授权机制，按照企业部的组织结构划分角色，并为用户绑定角色。对于不同的角色分配不同的应用系统，以决定其是否可以访问还是不能访问某个

15、系统。授权后，在单点登录平台上将只会显示其有权访问的系统。4.5.2. 访问策略管理为不同的角色定制不同的访问策略。访问策略包括可以访问的资源和访问控制规则。访问规则设置灵活，如按时间段，按网段等。能够根据不同的情况定制不同的策略，对各种不同情况进行访问控制。针对不同类型的用户提供了简单策略管理和高级策略管理两种模式，满足了易用性和灵活性。4.5.3. 分级授权管理UTrust SSO 4.0可对用户进行分级管理，设定不同级别的系统管理员，本级的管理员只能管理本级的用户，并为用户分配权限，不能管理其他组的用户。超级管理员可以管理所有的用户。解除了总部管理员的管理负担，明确管理职责，方便企业的用

16、户管理工用。4.6. 统一审计UTrust SSO提供了统一审计功能，审计用户对应用系统访问的情况，为后续发生事故时提供了一个可追查的机制。为管理员提供了一个统一的监控平台。审计容：管理员对UTrust系统的管理行为；普通用户的访问行为；UTrust系统的运行情况。UTrust SSO提供强大的查询功能，可以按异常事件查询，也可以按一般事件组合查询。并对审计信息进行分析统计，其结果以报表或图形的方式进行展现，以利于安全事件的快速、直观把握。通过对保存的审计信息数据进行签名处理，可以防止人为修改系统记录下来的审计容。一旦发现审计容被修改，审计信息将会出现特殊标识，以直观的方式呈现给管理人员。4.

17、7. 安全管理1) 基于Web的管理端，管理设置灵活简单。在任何地点都可进行实时管理；2) 强身份认证保护，管理员需要使用数字证书登录后才能进行相应操作；3) 采用了SSL连接，实现安全的远程管理，对敏感信息具有很好的性和安全性。6 UTrust SSO特点1) 应用无关性保护所有类型的应用系统，可以保护基于各种协议，平台和开发语言的应用系统，无论是B/S结构的还是C/S结构的。2) 即插即用 无需对系统做任何改造，保持现有的软硬件及网络环境不变 保持用户原有的使用习惯3) 高安全性 基于数字证书的强身份认证机制，通过UTrust-CA数字证书认证系统为用户发放数字证书（见UTrust-CA系

18、统技术白皮书），同时兼容第三方CA认证机构颁发的证书。 自带防火墙安全防机制，以确保系统本身的安全性和业务系统的安全性。 移动用户可使用加密机制，将用户访问部系统时在网上传输的数据进行加密处理，实现安全的远程访问。4) 高可靠性 对于大用户量的访问，UTrust SSO支持主备部署方式，以避免单点故障。用户可以在网部署多台UTrust SSO服务器，以平衡不同服务器之间的认证请求。5) 可扩展性对于用户的需求，可以定制开发，按企事业自身的特点和实际情况实现不同的功能。 提供不同的开发API，使用认证API可以将应用系统的认证被UTrust系统整合。并为其他认证方式，如动态密码认证，预留接口等，

19、以适应企业的认证需求。 对于新建设的应用系统提供开放的标准的接口规，在此标准指导下，可将应用完全纳入UTrust平台的统一管理中，实现统一认证，单点登录。6) 跨平台性 基于J2EE技术：系统基于J2EE技术开发，与平台无关，可以方便的在任何操作系统上实施，与其他系统具有很好的兼容性。 基于LDAP技术：提供了强大的跨平台性和跨应用管理能力，为企业其他系统共享资源提供基础。也便于其他应用系统采用同一标准开发纳入统一认证管理平台。7 UTrust SSO解决方案1、部署UTrust SSO UTrust SSO系统网络部署图 UTrust SSO的部署不影响网络结构，通过地址映射与各应用系统进行

20、结合。 UTrust SSO自带防火墙功能，或是部署在企事业部网络的防火墙之后，以保证UTrust SSO自身和部应用系统的安全性。 对于大用户量访问时可使用双机热备部署。 同时可以选择部署UTrust CA系统，颁发数字证书，实现增强的身份认证方式和加密处理。 可单独部署LDAP目录服务器，作为企业部用户进行统一身份信息存储和管理工具。也可利用UTrust SSO自带的LDAP用户信息目录服务器，与UTrust SSO服务器部属在一台服务器上。2、应用系统整合企业单点登录的需求一般是已经建立了多个应用系统，而且开发公司不一，开发平台不一，互相形成了独立的异构系统。传统的单点登录解决方案需要对

21、原有系统进行改造才能实现，但是由于企事业单位所建系统时间已久，有些原开发公司已无法找到相关的人员进行配合改造，因此，经常是单点登录工程拖的时间久，花费的钱无法预计，经常做到一半时已无法进行下去。并且开发改造严重影响了原有业务系统操作人员的工作。UTrust SSO对原有系统的整合方案根据国企事业单位这种现状，对异构系统实现SSO提出了全新的完善的解决方案，对原有系统不改造，采用系统配置的方式来将原有系统与UTrust SSO平台进行结合。配置容简单，易操作，具体如下：网络配置；应用系统名称；应用系统IP地址和端口；应用系统上用户信息；用户单点登录信息；用户授权。通过这种简单的配置工作，就可将企

22、事业单位的所有应用系统完全整合到UTrust SSO平台上，无论是基于Web方式的B/S结构应用系统，还是安装客户端的基于C/S结构的应用系统。尤其对于C/S结构的应用系统，通过安装UTrust SSO客户端来实现单点登录，无需修改任何应用程序，透明的为用户实现登录过程。UTrust SSO与新建系统集成非常简单，它提供了认证接口，给新开发的应用系统使用，新开发的应用系统通过调用UTrust的认证接口，可以实现与UTrust SSO系统的集成，用户在UTrust SSO系统上通过一次认证后，就可以被与其接口的应用系统认可，当用户访问应用系统时不需再进行认证，就可直接进入应用系统进行访问操作。U

23、TrustSSO为新系统的建设提供一个统一的身份认证，授权，和用户管理平台和标准，新系统只注重业务流程开发，而无需再建独立的用户数据库。为企事业单位规划了一个统一的身份认证，统一用户管理，统一授权管理，统一资源管理和单点登录平台。3、门户集成方案UTrust SSO系统在企事业门户建设中也可提供完善的解决方案。如企业门户，校园门户，政府门户，建设这些门户系统时，UTrust SSO整合各应用系统，实现单点登录功能。结合UTrust SSO，各行业或单位可根据自身的情况，还可实现不同程度的门户解决方案。1) 简单门户解决方案利用UTrust SSO的门户平台来实现简单的门户实现方式，将企事业各系

24、统或是个人个性系统显示在UTrust SSO平台页面上，用户通过UTrust SSO登录界面的一次认证后，就可看到其有权访问的一些应用系统列表，访问时直接点击就可进入。2) 与部系统结合门户解决方案企事业单位中一般经常访问的是办公系统，或是企业部系统，UTrust SSO还可以与单位原有的办公系统进行整合，将办公系统登录与UTrust SSO主登录集成，并将其他应用系统到办公平台，形成办公门户。将部系统上其他应用系统，当用户在上登录后，直接点击就可进入其他应用系统，实现企业门户解决方案。3) 与专业Portal系统解决整合方案一些大公司提供了专业的门户解决方案，并提供建设大型门户系统的中间平台

25、，如IBM，Oracle等，UTrustSSO系统也可以与这样的专业门户系统进行集成，在专业的Portal系统中实现单点登录功能。这些大型的Portal开发公司使用Portlet集成应用系统时，也会面临一个如何将老的应用系统以尽少量改造的方式整合到Portal系统中，在前台实现单点登录功能。UTrust SSO可以嵌入到Portal中，作为一个单点登录模块，完美的实现企事业单位专业的Portal解决方案。4) 个性门户解决方案随着互联网资源的开放，个人拥有了越来越多的网上资源可以利用。如外部的个人，个人论坛，个人电子商务，个人股票交易，个人聊天交流工具等等。这些系统也是需要进行用户名和密码验证

26、的，太多的系统增加了使用者的不方便性。UTrust SSO拥有个人个性配置专栏，用户可以自行定义自己拥有的这些个人系统，通过UTrust SSO一次登录后，也可访问其所有的应用系统，无需再到每一个系统上都要输入用户名和密码。4、UTrust SSO实施效益工作效率提高：单点登录的实现提高了员工的工作效率，提高了使用应用系统的方便性。增加了安全性：减少了因密码问题而带来的安全风险，不同的增强的身份认证也增加了安全性。降低管理成本：减少了管理员的管理成本和工作强度，使得信息化工作人员可以投入到更多有意义的IT建设工作中。实施风险最少：UTrust SSO的技术特点最大的保障了单点登录工程在短期成功的实现，避免了部门间协调的麻烦和实施周期长而带来的经济损失。投资利用率高：UTrust SSO采用的先进技术体系，为后续的应用开发提供了统一的用户身份权限管理框架，投资后利用率高，并且可扩展性好，可满足企事业单位不同发展阶段的需求。一次投资可长期使用，所有系统使用。