• 1. 统一认证平台解决方案 胡新学 2013-09-28
  • 2. 我们要建成什么样的系统用户只需一个凭证 只需一次登录应用系统信息资源整合 信息统一标识规范和接口规范管理员信息的一致性 集中管理安全保障体系用户管理 统一的安全策略服务如果… 统一认证管理 1、集中统一管理用户、机构、角色、应用等信息 2、统一认证,实现单点登录 3、基应用于角色的访问控制 4、间信息同步和共享 5、安全策略和安全管理
  • 3. 我们要建成什么样的系统 我们要建设的是统一的、基于角色的和个性化的信息访问、集成平台的、为用户提供统一信息资源认证访问入口的单点登录平台系统。该系统具备如下特点: 单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。 多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。 基于角色权限访问控制:根据用户的角色和URL实现访问控制功能。 基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使 用HTTPS安全地进行管理。 全面的日志审计:精确地记录用户的日志,可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。审计结果通过Web界面以图表的形式展现 给管理员。 后台用户数据库支持:LDAP、Oracle、DB2、Win2k ADS、Sybase等。可以无缝集成现有的应用系统的统一用户数据库作为SSO应用软件系统的用户数据库。 C/S单点登录解决方案:无需修改任何现有的应用系统服务端和客户端即可实现C/S单点登录系统 资源整合:各个应用系统的资源整合。
  • 4. 需要解决的问题认证 多种认证凭证的管理 授权 分级授权,自由授权路由 交叉授权 单点登录 协议安全性 异构环境的集成 企业模型管理 集中与分级管理模型 安全审计 安全策略设定 审计审计(Audit)企业模型管理 Administration授权管理 Authorization单点登陆 Single sign-on认证管理 AuthenticationSSO平台
  • 5. 怎样建设统一认证平台 一个完善的统一认证平台不可能一次做好,需要一个非常长的时间来不断的完善和优化。我们根据五征的实际信息化情况,将统一认证平台建设分为了四个阶段进行处理。 第一阶段:使用员工工作平台数据库,快速将部分系统实现SSO效果。 这个阶段主要的工作: 1、进行SSO技术的学习和CAS的源码分析。 2、搭建CAS服务器,改造内部系统,实现单点登录。 达到的效果: 1、只需登录一次系统即可访问所有自己开发的应用系统。 2、用户权限由各个应用系统自己授权。每个应用系统有自己的一套权限控制模块和企业模型. 第二阶段:实现企业模型的统一管理以及企业模型信息的同步。 这个阶段的主要工作: 1、学习并掌握LDAP的处理方式。 2、设计并完善员工工作平台中企业模型的管理模块。 3、实现将员工工作平台中的企业模型同步到其它应用系统和邮箱系统中。 4、改造CAS服务端,构建统一登录平台。 达到的效果: 1、将邮箱纳入单点登录体系。 2、企业模型由单一入口管理,其它应用系统将不再有企业模型的管理功能。 3、构建并优化公司统一登录平台界面。
  • 6. 第三阶段:实现应用系统的统一授权及安全审计 这个阶段主要的工作: 1、继续完善统一认证平台,加入安全审计功能 2、继续完善统一认证平台加入权限管理模块,改造应用系统实现应用系统的统一授权。 达到的效果: 1、对登陆用户的操作进行审计并记入系统安全日志中。 2、各应用系统不再各自进行授权,由统一认证平台进行统一授权。 第四阶段:将已存在的应用系统和CS系统纳入SSO。 怎样建设统一认证平台
  • 7. 一期总体设计方案介绍CAS中央认证服务器员工工作平台数据库员工工作平台文档管理系统工作流系统 … 访问加入SSO的系统
  • 8. LDAPAD目录服务器人力资源数据库员工工作平台文档管理系统 … 管理控制台公司邮件系统最终总体设计方案介绍访问加入SSO的系统获取人员信息管理员用户管理 机构管理 角色管理 应用管理集中 身份 认证 服务统一认证平台信息共享服务后台 管理信息共享同步
  • 9. 集中身份认证服务集中身份认证服务的主要功能包括: 1、支持多种认证方式,包括用户名/口令、数字证书、Windows域认证和通行码,并且为其他认证技术留有接口; 2、支持多种认证协议,包括支持数字证书认证的SSL协议, Windows域认证,SAML协议等; 3、支持单点登录 4、支持会话管理 5、管理用户的认证凭证信息,如数字证书等; 6、制定身份认证的安全策略,如定义认证模式和安全等级等; 7、认证系统模块管理,如对应用认证网关的管理等。
  • 10. 集中身份认证服务认证的流程如图: 统一认证平台
  • 11. 集中用户管理服务集中用户管理系统主要是完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统用户管理的安全风险。集中用户管理功能示意图
  • 12. 集中审计管理服务集中审计系统提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息,支持应用系统、用户登录、管理操作等审计管理。 其中具体的审计功能和内容主要包括以下部分: 对账号分配情况的审计。包括主账号与自然人的对应关系,主账号与从账号的对应关系,主账号的创建时间、创建人,从账号的创建时间、创建人,将从账号分配给从账号的分配时间、分配者,主、从账号的有限期、密码更改规则等。 对账号授权的审计。包括查询主、从账号的访问权限,查询资源的授权访问者,权限的分配时间、分配者等。 对登录过程的审计。包括什么人用什么账号在什么时间登录了什么系统。 对身份认证的审计。包括成功的身份认证统计,失败的身份认证统计等。 对登录后用户行为的审计。如果集中授权模块能够达到实体内部资源级,或者应用经过改造后能够向集中审计模块提供日志记录,或者集中审计模块能够读取应用的日志记录,则统一认证平台下的集中安全审计模块还可以对登录后的用户行为进行审计,包括用户访问了哪些资源、对资源进行了什么操作等,在此基础上可以实现对误操作过程的追溯。
  • 13. 集中授权管理服务集中授权管理服务主要是解决一下两个问题: 1)系统权限分散:员工的流动及职位的变更,需要更改员工的系统使用权限,而多个系统权限的分散,使管理员工作量增加,且容易带来安全漏洞。 2)应用系统的独立性:各种应用系统都使用独立的登录方式,员工需要记忆所有应用系统的帐号、密码等,逐一登录,给工作带来极大的困扰,特别是对工作效率影响非常大,甚至简化记忆问题,所有应用系统统一使用相同的密码,由此为黑客或者木马程序提供机会,而对应用系统的安全防护带来极大地威胁。 集中授权的最大特点,就是集中在一个接口对组/角色进行资源的合理分配。集中授权的过程,就是集中对用户(组/角色)通过何种方式(证书/口令)使用某种资源(应用/功能)的权限的分配。
  • 14. 集中授权管理服务授权管理模块角色模块组模块资源管理模块授权访问控制模块..................定义权限(某些角色/组享有系统应用的哪些权限) …………….通过授权管理模块的定义,对相应权限进行调用 …………….系统中所有应用资源的集合……..……..通过口令、证书等执行对权限的调用集中授权的工作原理
  • 15. 集中授权管理服务集中授权模式 1)基于组/角色的访问授权: 对于属于某一组/角色的用户,管理员可以为其授权于可访问的应用系统和资源(应用系统的功能)。授权后组内的所有成员均具备该组编辑、查看、分配的权限。 2)基于应用系统和资源的授权: 对于某一选定应用(或其包含的功能、功能组),管理员可以授权为其指派访问资源(用户、组、角色)
  • 16. 集中证书管理服务集中证书管理功能主要是针对用户的CA系统,包括: 1)证书申请 2)证书制作 3)证书生命周期管理(有效期、审核、颁发、吊销、更新、查询、归档) 4)证书有效性检查 集中证书管理功能集支持多种CA建设模式(自建和第三方服务)、多RA 集中管理、扩展性强等特性,从技术上及管理上以灵活的实现模式满足用户对证书集中管理的迫切需求,解决管理员对多平台进行操作及维护困难的问题。
  • 17. 信息共享与同步同步机制 与基于关系型数据库(DB)的应用系统同步 WebServices技术(SOAP协议) 与基于目录(LDAP)的应用系统同步 采用LDAP协议和JNDI技术实现 与基于域控制器的应用同步 JNDI或ADSI(Active Directory ) 同步策略 操作及时同步 操作批量同步:根据机构、角色、应用系统等选择批量用户进行同步 事后同步。
  • 18. 用户信息数据源对比一、邮箱数据库(AD) 优点: 1、可以将邮箱登录模拟成单点登录,实现登录密码的统一。 2、使用LDAP方式访问活动目录,存取速度比访问数据库快。 缺点: 1、开发量大,开发周期长(1、用户的增删改。2、用户的查询验证。3、Ldap技术的学习)。 2、用户信息需要二次维护 二、人力资源数据库 优点: 1、人员信息全并及时,减少了人员信息的二次维护,保障了人员信息的唯一性。 缺点: 1、可能需要对人力资源数据库进行改造。 2、无法兼容邮箱的登录信息 三、员工工作平台数据库 优点: 1、系统改动小,实现比较容易 2、兼容邮箱的登录信息 缺点: 1、用户信息需要二次维护