搜索
1基础支撑平台第一章统一身份认证平台一、概述建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能:为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。系统遵循自由联盟规范的LibertyAllianceWeb-BasedAuthentication标准和OASISSAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。单点登录场景如下图所示:一次登录认证、自由访问授权范围内的服务单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。二、系统技术规范单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认2证平台。Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的Liberty规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。Liberty规范的联盟化单点登录SSO(SingleSignOn)系统有以下特点:(1).可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点登录服务;(2).联盟的应用系统无需大量改造,不需要用户信息大集中,不影响系统原有业务逻辑与性能;(3).以用户为中心,保护用户信息安全和隐私;(4).支持多种、多等级的、安全的用户登录认证方式等。支持的认证技术联盟化单点登录原理与场景图示:同域单点登录跨域单点登录三、单点登录系统功能1.单点登录(1).支持单点登录、单点登出(2).支持平台安全域下用户的“一点认证,全网通行”和“一点登出,整体退出”。(3).支持多个IDP/SP间的联合互信(4).支持符合LibertyAlliance的SP或IDP间的联合互信,可根据SP的信任程度决定是否联盟。(5).支持联盟信息的管理(6).支持IDP联盟信息的管理或配置功能。(7).不影响正常的业务逻辑与性能。2.支持LibertyID-FFv1.2规范(1).系统提供一个完整的联合互信平台以支持最新的LibertyAlliance联合互信标准3LibertyID-FF1.2规范;(2).支持Liberty规范中的所有功能,包括单点登录、整体退出、账号联盟和解盟、注册名重新注册(AccountLinking)、联合互信等功能;(3).系统本身提供了一个完整的LibertyAlliance联合互信平台,以部署在各个需要通过联合互信标准集成的SP方,以加快IDP和各SP的集成;(4).提供扩展的站点转送功能,为客户提供更符合实际应用的功能;(5).一个IDP服务器可以同时支持一个或多个SP服务器;(6).一个SP服务器可以同时支持一个或多个IDP服务器;(7).系统提供标准的Java的认证、单点登录和LibertyAlliance联合互信的SDK以支持方便和灵活的应用集成;3.支持多种、多级别认证方式(1).支持多种认证方式,已经支持的就包括LDAP认证、JDBC认证、SecurID认证等;(2).系统具有标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证;(3).支持分布式认证的部署方式:即将认证界面部署在任何一个Web应用服务器上,而实现多种认证支持的统一认证服务器部署在内网中,以保证认证的安全性和扩展性;(4).系统本身支持session的互信机制;(5).系统支持多级别认证方式:用户名/密码认证、数字证书认证、动态口令认证,等等。通过适配器的扩展,可以支持更多的认证方式;(6).支持多种应用场景的认证请求(7).门户认证:支持接收自服务门户的认证(个人用户门户、SP门户、运营商门户)请求;(8).支付认证:支持支付流程中需要用到的支付安全认证请求;(9).业务认证:支持业务流程中需要用到的用户身份认证请求;(10).单点登录认证:支持单点登录的认证请求;(11).支持认证方式的生命周期管理;(12).支持认证方式的注册、修改、删除;(13).支持认证方式状态的变更(开通、暂停、恢复、注销);(14).支持认证方式相关参数的配置;(15).支持认证等级的配置。44.认证的安全控制主要保障身份认证的安全,基本要求如下:(1).平台用户身份认证安全控制凡是输入用户名/密码的页面均由平台提供;凡是输入用户名/密码的地方均采用HTTPS的方式进行通信;(2).第三方系统用户身份认证安全控制对于第三方系统身份识别主要依赖于第三方系统,身份识别流程应综合考虑用户体验和流程安全性,所有传送过程中都对信息进行加密操作。(3).其它认证安全手段控制服务器与服务器之间都采用数字证书认证,保障通讯双方的安全性,防止盗链等现象的发生。5.兼顾灵活性和通用性(1).单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器,不需要依赖其它的应用服务器;(2).集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括:Apache,MicrosoftIIS,Sun/NetscapeWebServer;Tomcat,BEAWebLogic,IBMWebSphere,SunJavaSystemApplicationServer;等等。(3).单点登录支持保护型单点登录方式(即将应用通过Agent保护起来的安全方式),也支持代理单点登录方式;(4).支持同域或跨域的联合互信、单点登录。6.在一台机器上运行多个服务器(1).在一个单点登录服务器上同时运行IDP和SP服务器;(2).在一个单点登录服务器上同时运行多个SP服务器;(3).在一个单点登录服务器上,就可以建立起一个完整的信任圈和联盟化商业网络;(4).在学校内部运行一个单点登录服务器,可以支持所有的Web应用系统的单点登录;(5).电信或ASP只需一个单点登录,就可以为所有的SP提供基于Liberty的Web单点登录功能;(6).强大的管理功能,可以独立管理单点登录中的每个服务器实例,包括IDP服务器和所5有的SP服务器;7.灵活的Web管理界面(1).同一个管理界面,管理所有的IDP和SP服务器;(2).管理界面根据服务器的角色(IDP、SP、或者同时是IDP和SP)而自动调整管理功能;(3).统一管理所有合作伙伴的联盟信息;(4).提供快速建立合作和联盟关系的功能;(5).管理一个或多个数据源,包括关系数据库和LDAP目录的数据源,同时提供数据源连接测试的功能,以保证配置无误;(6).可以为每个服务器独立配置数据源;(7).改动服务器配置而不需要重新启动服务器,为客户提供24x7的可用时间;8.全方位的证书管理功能(1).提供全方位的证书和密钥管理功能,包括签名密钥和证书、SSL服务器证书、SSL客户端密钥和证书等;(2).生成新的公钥和私钥对,支持标准的算法(RSA和DSA),支持不同长度的密钥,包括1024位、2048位、4096位等;(3).生成自己签发的证书,支持X.509v3的证书格式;(4).生成和导出证书请求信息;(5).最容易使用的证书导出和导入的功能,包括导入从证书机构接到的、和从合作伙伴接到的证书。9.易用的元数据交换功能(1).提供快速建立合作和联盟关系的功能;采用单点登录,建立联盟关系不再是复杂的事情,只需要点击几下就可以完成的工作;(2).全方位的元数据导出和导入的功能,加快建立联盟关系的速度和避免无谓的错误;(3).元数据导出和导入的功能,一步到位,一次性把所有建立联盟关系的工作完成;610.强大的机群部署功能(1).强大的机群部署功能,管理员通过一个Web管理界面,可以管理机群中的所有服务器节点;(2).所有服务器节点都是平等的,没有主从的概念,任何一台服务器节点都可以独立运行;(3).所有服务器配置和SSO会话信息在机群的节点上实时同步,自动提供故障转移(FailOver)的功能;(4).可横向扩展的机群部署,支持最严格的容错(FaultTolerance)需求;(5).支持基于硬件或基于软件的负载均衡器。四、系统功能特点单点登录单点登录平台单点登录技术基于国际联盟Liberty1.2规范,同时与市场同类技术相比有着以下优点:(1).全方位支持标准LibertyID-FFv1.2规范,支持从中型到最大型的联盟化部署,支持规范中所有功能:单点登录、整体退出、账号联盟和解盟等功能;(2).扩展站点转送功能,为客户提供更符合实际应用的功能;(3).支持SAML(SecureAssertionMarkupLanguage安全性断言标记语言)规范、XML(ExtensibleMarkupLanguage扩展性标识语言)数字签名规范、SOAP(SimpleObjectAccessProtocol简单对象访问协议)和Web服务协议等;(4).支持跨域部署模式,提供跨域单点登录功能;(5).支持多种多级登录认证机制,如用户名/密码、动态口令、等等;(6).支持现有的用户管理系统,包括LDAP(LightDirectoryAccessProtocol,轻量级目录访问协议)目录、数据库,等等;(7).支持多种多级认证方式:普通口令、数字证书、动态口令、指纹识别、IC智能卡等认证方式,支持第三方认证系统、权限管理系统;(8).系统功能强大:单点登录的设计就是要能支持多服务器合为一体的身份联盟服务器,在同一个机器上同时支持身份提供方(统一身份管理与认证服务提供方)和SP(ServiceProvider应用服务提供方)的服务器角色,而同时又能在统一个机器上运行多个SP服务器。对于整个信息化平台只需要一个单点登录服务器就可以为所有的应用服务体统无论是同域还是跨域的提供单点登录功能,为用户提供全面的单点登录服务;(9).基于应用场景的系统管理方式:基于Web的管理界面可以帮助第一次接触Liberty或经验丰富的管理员,按循序渐进的步骤,完成端到端的系统配置,从而将配置错误7和复杂性降至最低限度,同时管理界面能具有当场检查和验证配置参数的功能,捕获和甚至防止在配置时的错误,从而将人为的可能错误降至最低限度,这为管理员大大降低了运行时调试的时间;(10).快速的联盟系统集成方式:采用单点登录解决方案,应用系统的单点登录服务的集成是一件最简单不过的事情。一般只需点击几下就能完成与联盟合作伙伴的连接,而且管理员可以很容易的从一个中央管理平台管理整个网络的服务器,和所有集成单点登录服务的应用服务的信息;(11).支持联盟的部署架构:采用单点登录的解决方案,管理员可以在同一个地方管理所有的协议定义、PKI私钥/公钥和证书、连接方式等信息,而不需要维护多个版本、多份服务器配置和信任关系的信息,单点登录能将部署在不同安全域里的高校Web应用系统联盟起来的能力使业务与业务系统间的联盟部署更方便,而且可以大幅度的降低管理成本;(12).系统支持