统一认证与单点登陆.docVIP

统一认证和单点登陆 通过统一身份认证和访问控制为用户提供方便的访问接口和安全的信息服务，使用户只需一次登陆就可方便、快捷地访问多个应用系统和资源。建设统一身份认证和访问控制管理平台的主要目标是： 建立一套完整的身份认证体系； 建立统一身份认证中心； 建立OA系统身份认证和各业务应用系统的身份认证接口标准，以使各个业务应用系统和新增系统的身份认证机制与OA系统保持一致； 建立合理的资源访问控制机制以及相应的资源访问策略，准确定义用户、角色、权限三者之间的关联映射； 通过统一身份认证和访问控制管理平台，提供一个统一的用户认证、授权、审计和管理框架。 通过安全平台做统一的用户管理，提供单一注册的安全解决方案可以使安全管理得到大大简化，并实现统一的用户访问授权模型的建立和维护，提供基于门户系统上的单点认证，安全访问其他B/S应用。 XXXX办公自动化系统一期建设实现与U9系统的单点登录功能。 用户登陆双因素认证 身份认证是网络安全的基础。而目前最常用的身份认证手段就是密码。静态密码的高风险性众所周知，因此，采用动态口令的强认证技术做为身份认证的手段已成为越来越普遍和迫切的选择。 RSA强认证原理极为简单，令牌（内置了电池和芯片）和认证服务器采用相同的算法，这个算法是与时间因素相关联的。令牌里面已经内置了唯一的128位种子文件(初始值)，当把该块令牌的种子文件导入到认证服务器的时候，在同一时间，令牌和认证服务器所运算出来的结果是一致的。这样，当用户使用这个令牌进行登录的时候，认证服务器通过比对运算结果即可识别访问者的身份。这就是时间同步的专利技术（RSA是该专利发明者和持有人）。 而双因素认证则是指，用“所知道的”再加上“所能拿到的”这二个要素组合到一起才能确认合法的身份。RSA的双因素令牌要求使用者在第一次使用令牌登录系统时即设定一个静态PIN码（即“所知道的”）。以后，这个用户每次登录系统的时候要先输入自己的PIN码（“所知道的”）再连续输入所看到的令牌码（令牌是“所能拿到的”）即构成一个完整的双因素口令，这也就是我们通常所说的强认证。 使用RSA强认证解决方案可以保护各种需要保护的资源。 例如，客户可根据自身业务发展和IT安全管理需要灵活定义并保护自己的各种敏感资源，以便确保合适的人在合适的时间访问适当的资源。这些资源包括网络设备、防火墙、远程接入与访问(VPN)、无线网络接入、操作系统登录、Windows离线认证、应用系统的保护(Oracle、Web Server等等)、业务系统的登录保护、对网银用户在线交易的身份保护……。 图 SEQ 图 \* ARABIC 25 RSA双因素口令的构成 图 SEQ 图 \* ARABIC 26 RSA双因素身份认证系统的原理 图 SEQ 图 \* ARABIC 27 RSA双因素身份认证系统可以保护各种资源 用户目录服务 门户系统使用统一的帐户管理，利用IBM Directory Server构建企业级的用户目录数据库，为用户的主动管理和规范管理奠定了基础。借助IBM Tivoli Directory Server目录服务系统使得采用一致的用户帐户和密码，一次登录企业所有的信息系统，包括办公自动化系统。门户系统利用权限的控制和个性化的知识展示，使得企业面向内部员工采用一致的信息门户和登陆场所，提供集成化的信息服务。 IBM Tivoli Directory Server 是一个功能强大、足够安全并且符合标准的企业目录，目录服务器起着身份数据基础的作用，它通过提供强大的管理、复制和安全功能，实现 Web 应用程序的快速开发和部署以及安全和身份管理计划。 有了 IBM Tivoli Directory Server，可以选择自己的身份验证策略，可以使用单一用户 ID 和口令来进行身份验证，或者可以实现更安全的基于数字证书的身份验证结构。 统一用户管理 解决方案以LDAP来构建用户管理中心，往下通过元目录系统与原有应用系统中的用户进行整合，采用Portal技术实现统一的界面展示。通过IDI（IBM Directory Integrator）同步不同系统的用户目录IDS（IBM Directory Server），提供业务系统一致的用户管理信息的基础上，IBM Tivoli Identity Manager基于角色和工作流进行用户的批量创建，删除和管理，实现系统统一，高效的用户管理。 图 SEQ 图 \* ARABIC 28 统一用户管理系统架构 利用IBM Tivoli Identity Manager，管理员可以为用户ID、用户密码、ID部署等工作创建可以重用的策略，从而简化用户属性和访问权限的管理和定义工作。 用户信息的同步 用户信息的整合将是实现统一用户管理和单点登录首要考虑