TRS身份服务器软件产品说明书

1、TRS身份服务器软件产品说明书 ( SPD )一、 产品描述随着互联网的普及和发展，组织利用Internet在客户、雇员、合作伙伴与供货商之间提供服务和共享信息。为了控制成本和减少开放的管理安全风险，组织需要一套完整的安全管理方案来确保安全的访问。因此身份管理作为安全管理的核心组件正逐步成为组织整体解决方案的必备组件。健全而可靠的身份管理系统不仅提升用户访问体验和系统安全性，而且能够有效的加快应用系统的部署、降低管理和维护的成本。TRS身份服务器(TRS Identity Server，以下简称TRS IDS)帮助管理访问组织Web应用的安全策略，用于满足TRS应用及第三方基于Web的应用对身

2、份管理的需求。TRS IDS主要解决用户供应、用户认证和单点登录的问题，不涉及应用系统的权限管理。TRS IDS提供基于关系数据库的用户供应和认证策略，同时支持LDAP/CA等第三方认证系统的用户供应和认证策略。在采用第三方认证系统时，TRS Identity Server通过标准协议（LDAP、OCSP等）和第三方认证系统交互实现用户的供应和认证。在此基础之上，TRS Identity Server还提供单点登录（Single Sign-On）等增强功能。从应用的角度来说，TRS Identity Server是对LDAP/CA的有益补充，特别是在加强安全和保护已有投资方面。TRS身份服务器

3、（TRS Identity Server）涉及的名词有：l 服务器（TRS Identity Server）：指负责进行身份管理的身份服务器主体；l 应用系统（基于Web的应用）：指解决组织业务需要的计算机信息产品，比如TRS内容协作平台（TRSWCM）；l 协作应用：符合TRS Identity Server集成框架，能够利用TRS Identity Server进行身份管理的应用系统；l 代理：指部署于应用系统处，通过特定协议和服务器进行交互的软件模块；l 身份供应：指提供用户的创建、修改、管理、授权、使用和注销等功能；l 身份认证：指验证用户的身份信息，确认用户身份有效性的过程；l 单点

4、登录：指在多个应用系统间，通过一次有效登录实现跨应用的访问；l SAML框架：用户能够通过因特网进行安全证书移动，使用SAML标准作为安全认证和共享资料的中间语言，能够在不同站点或企业之间实现单点登录。二、 体系架构从技术角度来看，身份管理策略分为身份的供应和认证，TRS Identity Server和应用系统三个部分。身份的认证和供应支持关系数据库和目录服务两种：关系数据库是TRS Identity Server所特有的身份认证和供应系统；目录服务能够支持CA或LDAP方式；TRS Identity Server采用J2EE技术路线，具有良好的开放性、适应性和扩展性，能够适应不同级别组织，

5、通过升级和扩展满足客户业务不断发展的需要；应用系统作为身份管理使用者，获得TRS Identity Server提供的服务，满足既定的身份管理功能需求。l 身份的供应和认证身份的供应和认证是身份管理策略的基础。为了满足不同客户的需要，TRS 的身份管理策略支持CA认证、LDAP目录以及关系数据库作供应和认证。对于CA和LDAP第三方认证系统，TRS Identity Server 支持OCSP协议、根证书证书撤消列表两种方式与CA认证中心交互，验证CA证书的有效性；TRS Identity Server采用LDAP v3协议和LDAP目录服务交互，进行用户管理和身份认证。对于关系数据库，TRS

6、 Identity Server采用JDBC技术进行交互。TRS Identity Server支持用户名/密码、CA证书和USB-Key三种类型的用户认证。协作应用选择证书认证的方式，支持单独认证方式，也支持两种认证方式的混合。CA证书用于CA认证方式的认证；用户名/密码用于LDAP或者关系数据库的认证。l TRS Identity Server为了满足身份管理的需要，TRS Identity Server实现了用户管理、用户认证、单点登录和委托管理等具体的功能。对于采用第三方认证系统的情况，TRS Identity Server代理第三方的用户管理和用户认证，并以同一的形式将结果反馈给访问

7、应用系统的用户。具体功能如下：² 用户管理 实现用户与组织创建、删除、维护与同步等功能，支持关系数据库、LDAP目录服务（SUNONE Directory Server、Windows Active Directory）和CA认证的用户信息存储，关系数据库采用加密和签名的技术手段增强存储的安全性。；² 用户认证 采用JAAS的可扩展框架，通过插入扩展的方式支持第三方认证系统；² 单点登录 共享了多应用系统之间的用户认证信息，实现在多个应用系统间自由切换。但是仍然使用应用系统的原有权限管理；² 委托管理 实现管理功能的分散，提供按照协作应用和组织等不同方式

8、的委托功能，支持对用户、组织、日志等管理功能的委托；² 日志管理 实现用户操作日志的统计、审计与查询检索功能，日志同时记录成功和失败的操作，并且对所有操作采取了签名的方式确保不可篡改。² 登录管理 查看、浏览与检索用户登录情况，管理员可以在线强制用户退出当前的应用登录。TRS Identity Server的关键是安全，为此TRS Identity Server采用了包括加密、签名等手段在内的多种安全措施。采用SSL增强传输通道的安全性；采用FORM BASE验证方式增强Web访问的安全性；采用IP限制方式增强控制台的安全性；采用JCE、JSSE框架提供安全的扩展性，允许定

9、制加密算法和签名算法加强安全基础。通用敏捷的集成框架是TRS Identity Server支持应用系统的基础。集成框架的核心是可加密的XML格式协议+SOCKET/SSL。XML格式协议提供了最足够扩展性和跨平台性，允许扩展协议的命令和平台间的信息交换，支持对关键信息的加密和签名。虽然TRS Identity Server基于J2EE架构，但是他仍然能够支持非J2EE架构的应用。SOCKET/SSL的连接方式进一步确保系统的跨平台和跨语言的特性。在集成框架的层面上，TRS Identity Server只定义了交互协议和交互方式，并未定义交互的逻辑和实现标准。XML格式协议支持用户和角色信息

10、的添加、删除、更新和同步等功能。TRS Identity Server支持Windows、Linux、Solaris等操作系统；支持Tomcat、WebLogic、WebSphere等应用服务器；支持SQL Server、Oracle等数据库系统；支持Windows Active Directory、SUNONE Directory Server和OpenLDAP等目录服务。为了减少部署和使用的成本，TRS Identity Server默认使用Tomcat作为应用服务器，关系数据库作为用户存储。TRS Identity Server支持SAML标准，实现对外部身份实体的联合认证。l 应用系统

11、作为身份管理的使用者，应用系统获取TRS Identity Server提供的服务，满足既定的身份管理功能需求。对于普通用户而言，TRS Identity Server是透明的。通过应用系统绑定的代理模块实现和TRS Identity Server或者第三方认证系统的交互。在正常情况下，应用系统直接和TRS Identity Server交互，使用TRS Identity Server提供的服务；但是在特殊情况下，TRS Identity Server允许通过代理模块直接使用第三方认证系统提供的服务。对于J2EE技术路线的应用系统，TRS Identity Server采用Filter技术实现

12、了应用系统和服务器的交互，可以满足大部分应用的需求；针对不能满足的应用系统，通过扩展定制新的逻辑；对于非J2EE应用，比如.NET，在集成框架下根据平台的自身特点定制逻辑，实现应用系统和服务器的交互。9三、 产品功能TRS Identity Server提供的功能描述如下：功能定义主要功能用户管理用户的添加、删除和更新等管理功能。1、 管理员添加创建新用户的模式；2、 用户注册创建新用户的模式；3、 管理员修改用户非密码信息；4、 修改用户的基本信息；5、 删除用户；6、 批准/拒绝用户；7、 暂停/启用用户；8、 多种条件检索用户；9、 限定用户唯一登录10、 用户与CA证书绑定11、 设置

13、用户的组织；12、 LDAP、CA和RDBMS等多种用户存储；13、 设置用户的委托管理身份；14、 显示当前用户访问协作应用的状况；15、 支持用户基本信息的定制；16、 用户信息的签名；17、 用户密码不可逆加密；组织管理组织的添加、删除和更新等管理功能。1、 添加的创建新组织模式；2、 修改组织的基本信息；3、 删除组织，只有非空组织允许删除；4、 基于组织的用户管理；5、 创建有层次关系的组织；6、 根据组织名检索组织；7、 设置组织的委托管理用户；8、 支持组织基本信息的定制；协作应用管理协作应用的添加、删除和更新等管理功能。1、 管理员添加的创建新协作应用模式；2、 修改协作应用的

14、基本信息；3、 删除协作应用；4、 设置协作应用的委托管理用户；5、 根据协作应用名检索协作应用；6、 暂停/启用协作应用；7、 显示当前协作应用的用户访问状况；8、 协作应用集成基本配置校验9、 批量导入未与协作应用建立映射的用户10、 限定用户唯一登录11、 多种协作应用登录方式设置登录管理显示当前用户登录协作应用的信息。1、 显示当前用户登录协作应用的状况；2、 强制失效当前有效的用户登录；3、 根据用户名查找用户的登录状况；4、 根据协作应用名查找用户的登录状况；日志管理记录、显示、查找、备份、导出等管理功能。1、 根据操作类型显示日志；2、 验证日志的有效性和完整性；3、 多种条件组

15、合查找日志；4、 设置日志查找的时间范围；5、 备份指定条件的日志；6、 导出指定条件的日志；7、 自动记录所有操作的执行情况，包括未知身份的用户登录操作；映射管理设置用户与协作应用之间的映射关系1. 管理员添加用户与应用的映射关系；2. 设置用户在协作应用对应的特殊身份；3. 用户登录协作应用的IP限定；4. 多种条件组合查找映射关系；用户认证根据身份信息验证用户的有效性。1、 支持用户名和密码方式的认证方式；2、 支持CA证书的认证方式；3、 支持JAAS规范的认证方式扩展；4、 支持加密通过的身份信息传输；单点登录根据已有认证信息自动完成协作应用的登录1、 支持跨域的协作应用单点登录；2

16、、 跨平台的协作应用单点登录；3、 支持TRS Identity Server集成框架下的单点登录扩展；4、 提供统一登录页面确保用户体验一致；5、 支持协作应用分散和身份服务集中两种登录方式；统一退出统一退出所有已登录协作应用。1、 单个退出请求，退出全部已登录协作应用；2、 发送模拟退出确保执行协作应用退出流程正确执行；登录超时响应已登录的协作应用的超时事件，并执行相应的应对策略。1、 跟踪并记录协作应用的超时事件；2、 所有登录全部超时后自动注销全局登录，确保系统安全性；委托管理根据用户身份执行相应的用户及其他管理功能。1、 设置用户的委托管理权限；2、 按照协作应用执行委托管理；3、

17、按照组织执行委托管理；4、 用户的委托管理；5、 组织的委托管理；6、 日志的委托管理；系统管理显示、定制或设置系统的运行参数。1、 Web方式的远程管理和控制；2、 显示系统运行状态信息；3、 修改系统运行参数；四、 标准和协议TRS Identity Server实现或支持的标准及协议如下：标准或协议作用备注HTTPS确保Web访问安全性可选。默认情况下，控制台和集中登录使用此协议。非定制协议。JDBC访问关系数据标准接口必备。默认情况下，访问系统信息和用户信息使用此协议。非定制协议。JAAS用户认证的J2EE框架必备。默认情况下，支持用户名+密码和LDAP两种方式的用户认证。非定制框架。

18、OCSP验证CA证书有效性的协议可选。非定制协议。LDAPv3访问目录服务标准接口必备。非定制协议。SSL确保代理和服务访问安全性必备。非定制协议JCE加密算法扩展框架必备。非定制协议。JSSE安全Socket扩展框架必备。非定制协议。SAML外部身份实体的联合认证可选。非定制协议。Interaction Protocol代理和服务器交互协议必备。采用XML格式满足跨平台需要，采用JCE确保协议内容安全性。定制协议，与TRS Identity Server协作应用集成框架一致。当前版本为1.0。五、 主要特色TRS Identity Server的主要特点如下：部署容易对于实施人员，TRS I

19、dentity Server提供多种操作系统的安装程序，容易地部署到各种操作系统和应用服务器；提供了内置的代理模块，容易地支持基于Java或者ASP/ASP.NET的Web应用；默认提供对TRS WCM、TRS CDS、TRS BBS和TRS CIS等产品的支持，容易实现与现有TRS产品的整合。使用方便对于最终用户，TRS Identity Server是完全透明的，不会给使用上带来任何不一致。TRS Identity Server实现的单点登录等功能，方便用户在多个系统间自由的切换。采用TRS Identity Server，用户就可以通过一套用户身份和密码完成所有应用的登录。对于管理员而言

20、，TRS Identity Server支持远程管理，提供了Web界面方便管理员进行系统的远程维护和管理；TRS Identity Server提供的用户管理方便管理员同时管理多个协作应用的用户，减少重复劳动，同时确保用户的一致性和安全性，避免在用户管理上出现安全问题。定制简单对于开发人员，TRS Identity Server提供了大量扩展的接口，组织通过定制来扩展系统的行为，定制接口涉及安全、认证方式等多个方面。对于管理员，TRS Identity Server提供了多种配置选项，管理员仅需要通过简单地设置来定制系统的行为。安全可靠对于自身的安全性而言，TRS Identity Server通过加密、签名和安全通道等方式确保敏感信息的在交互和存储过程中的安全性。在Server和代理模块间的交互采用SSL Socket确保通讯链路的安全，通过加密确保通讯内容的安全；在用户和Server间的交互采用HTTPS确保通讯链路和通讯内容的安全；在存储上，针对所有敏感信息采用加密数字签名的方式确保内容存储的安全；在用户使用方面，采用单点退出功能确保用户的安全性。对于方案的安全性而言，TRS Identity Server支持集群和双机的高可用性方案，避免方案的单点故障发