极通ESSO统一身份认证和单点登录系统技术白皮书V2.0

1、ESSO统一身份认证和单点登录平台技术白皮书文档编号：GT ESSO 20100315ESSC统一身份认证和单点登录平台技术白皮书Version 2.0北京汉邦极通科技有限公司目 录1为什么需要统一认证和单点登录 32 单点登录技术43 Enterprise SSO 简介44 SSO原理54.1 系统改造方式 54.2即插即用方式55 ESSO 功能55.1 ESSO单点登录 65.1.1 基于B/S结构的应用系统单点登录 65.1.2 基于C/S结构的应用系统单点登录 75.1.3 与 Windows域结合的单点登录 75.2 统一身份管理75.2.1 多种身份认证方式 75.2.2 统一用

2、户身份认证 75.2.3统一用户身份管理 85.2.4 用户自注册管理 85.2.5 用户批量导入导出管理 95.3 统一授权管理95.3.1 访问资源管理95.3.2 访问策略管理95.3.3 分级授权管理95.4 统一审计95.5 安全管理106 ESSO 特点106.1 应用无关性106.2 即插即用106.3 高安全性106.4 高可靠性116.5 可扩展性116.6跨平台性117 ESSO解决方案117.1部署 ESSO117.2应用系统整合127.3门户集成方案 137.3.1简单门户解决方案 137.3.2与内部系统结合门户解决方案 147.3.3 与专业Portal系统解决整合

3、方案147.3.4 个性门户解决方案 157.4ESSO实施效益151为什么需要统一认证和单点登录企事业经过多年的信息化建设，已经形成了一大批比较成熟的应用系统，其涉及的应用面覆盖了企事业的大部分生产或业务，政府部门包括办公系统，人事系统，财务系统、信息 管理系统等，对于企业还有生产调度系统、劳资管理系统、设备管理系统、PDM或ERP系统等。由于历史的原因，各应用系统在开发的初期都是独立进行的，造成了彼此之间操作上的割裂和数据之间通信的割断。每一个系统都需要用户输入用户名和密码才能登录。随着业务的发展，企事业将来会增加到几十个应用系统在网上运行。尤其对于一些权限较高或是涉及业务较多的用户，如果

4、每一个系统都需要他们进行密码的验证，那么用户使用系统的不便性是可想而知的。因此经常会有一些用户将多个系统设置成同一密码或是将记不住的密码写在 纸上贴在桌子上，这样，对业务系统的访问存在着极大的安全隐患，使一些别有用心的工作人员有机会利用他人密码登录系统，进行非法操作，也会给发生重大事故后的责任追查带来困难。并且随着企业内控要求的加强，需要企业内部应用系统加强密码管理，每一个应用系统都需要在三个月内更换一次密码，记不住密码变得经常发生。 而系统管理员的也被拖入了繁琐的重置用户密码的工作之中，无形中增加了管理员的日常管理工作。针对于上述情况，企事业单位需要建设一个单点登录平台，通过一次认证登录后就

5、可访问所有有权访问的应用系统， 避免频繁登录，并且能够保证用户身份的合法性和唯一性，对于应用系统的访问建立一套完整的安全防护和用户管理机制，以解决如下问题：? 如何避免记忆多个密码？? 如何避免频繁登录？? 如何确保用户身份的唯一性，确保系统访问的安全性？? 如何减少日常管理花费在用户上的时间？? 如何为新建系统架构统一用户身份和认证平台？? 如何对企业各应用系统的访问进行监控和跟踪，确保访问的安全性？? 如何不更改用户应用程序的情况下实现上述需求？? 如何在异构的环境中实现上述的需求？2单点登录技术单点登录简称 SSO, SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信

6、任的应用系统。 它无需用户记忆多个用户名、密码，也无需用户进行多次登录访问应用系统。? 从用户角度来看，单点登录解决了他们记忆多个用户名、密码的烦恼，解除了使用多个应用系统必须进行多次认证的重复劳动。? 从系统管理员来看，单点登录系统可以使他们从繁琐的账号密码管理工作中解脱出来，不必每天为用户重置密码而苦恼，使IT人员真正的发挥他们在单位中的作用。? 从应用开发商角度来看，单点登录使他们不必再开发身份认证模块，从而可以把更多精力投入到具体业务流程开发中。? 从企业管理角度来看， 单点登录提高了员工的工作效率，减少了管理成本，提高了企业信息系统的安全性，也节约了后续开发系统的成本，提高了经济效益

7、。3 Enterprise SSO 简介面对用户的重复登录和系统管理员的繁琐工作，Enterprise SSO(简称ESSO)单点登录平台提供了完善的解决方案， 在异构的IT系统中实现集中和便捷的身份认证、 单点登录、 身份管理，资源管理和集中审计，以满足企业对信息系统使用的方便性和安全管理的需求。国内领先的支持 C-S和B-S架构的单点登录实现机制 Enterprise SSO( Single sign-on)系统是针对国内企业信息化发展现状而开发的应用系统管理软件。它摈弃了传统的单点登录技术的实现方式，抛弃了系统改造，应用大包大揽的整合方案，采用即插即用”方式，达到 一点登录，全网漫游”的

8、访问机制。其实现方式与应用系统的操作平台、开发平台、开发语言、 数据库、Web服务器无关。可以在不改变现有软硬件及网络环境的前提下，无缝地将用户 各种现有的应用系统整合到单点登录平台上，实现一次登录后就可访问所有的应用系统。真正体现了与应用无关”的完美集成概念。4 SSO原理4.1系统改造方式这种SSO实现原理是，SSO系统提供各种 API，Age nt代理，对原有应用系统进行改 造，改变原有应用系统的认证方式，同时采用认证服务器提供的技术进行身份认证。这种解决方案，一般要求用户先统一所有应用系统的用户数据库。把用户的信息统一后， 才可实现单点登录功能。在修改应用的技术方案中， 每个应用服务器

9、中都需要安装一个代理程序完成用户的身份认证工作。当用户访问目标应用服务器时，代理程序向SSO服务器询问该用户是否已经登录，如果是，则代理程序从 SSO服务器中取得该用户的用户信息自动登录该应用系统。登 录成功后，用户直接访问该目标服务器。如果未曾登录过任何应用服务器，则该应用要求用户进行身份认证，认证结束后，代理程序将认证结果发送给SSO服务器。4.2 即插即用方式即插即用解决方案，它对企业内部的各种应用程序不进行修改，通过系统配置的工作来实现。它的实现机制采用二次登录技术，与原有系统的开发语言，操作系统，数据库，应用 平台类型等无关。这种解决方案在认证服务器上保存用户所有应用系统的用户名/

10、口令信息列表，认证服务器上采用透明转发机制，自动帮用户实现登录过程。它的基本工作原理为： 首先针对每个应用系统进行配置，产生一个配置文件； 用户登录到单点登录服务器上；用户访问应用系统时，单点登录服务器调用对应于该应用的配置文件 将对应该应用的用户认证信息（用户名 / 口令）取出，代理用户登录应用系统；登录成功后， 用户可以访问应用系统。推荐使用此种方式，也是极通 ESSO所使用的方式。5 ESSO功能系统功能结构如下图所示：单点音录B/S系绽单点螢录：f 垠统单点桂录AD城单点狂录n注眼务统冲计访问tr为审计审计借息荐卿审计分析集计审计防范审计数据库统认止多种身份认证方式统身檢认证统一身愉炸

11、理统授科i访问矗薄營理分级授収背理的何控制管理5.1 ESSO单点登录用户只需登录一次就可访问其所有有权访问的系统。当用户持有的USB Key、数字证书或是静态密码通过统一认证平台的认证后，即可访问其有权限的所有应用系统， 用户无需再输入原有系统的登录密码，后台的各应用系统上的用户名和密码可以不相同。简化了用户的登录过程，节省了在各系统间工作切换浪费的时间。 而且也无需再记忆大量的密码， 方便 用户对系统的访问。5.1.1基于B/S结构的应用系统单点登录对于B/S结构应用系统，用户只需通过浏览器界面登录一次，即可通过ESSO单点登录系统访问后台的多个用户权限内的Web应用系统，无需逐一输入用户

12、名、密码登录。对于B/S结构的单点登录实现采用透明转发技术，对系统无需改造。与后台系统的开发平台， 开发结构没有任何关系。5.1.2基于C/S结构的应用系统单点登录对于C/S结构应用系统，通过安装ESSO客户端，来实现对 C/S系统的单点登录。用户输入一次用户名、密码后，即可访问所有被授权的C/S结构的应用系统资源。无需对C/S结构的应用系统进行改造，通过系统配置的方式实现。5.1.3与Windows域结合的单点登录ESSO 2.0可以与Windows域进行整合，不需另行单独维护自己的用户信息，ESSO统一身份认证平台中的用户身份直接使用AD域中的用户身份信息，ESSO系统实现对用户的部分的划

13、分，角色的划分。ESSO与AD域之间实现了单点登录，当用户登录AD域后，用户无需再登录，就可访问其所有有权限访问的系统，无需再次输入用户名和密码。5.2 统一身份管理5.2.1多种身份认证方式单点登录是一次登录后就能访问所有的系统，因此对于用户的身份认证方式要求较高， 确保单点登录安全性的重要因素是对用户实行增强的身份认证方式，以免用 户的密码被盗取后，所有的应用系统面临被他人非法访问的危险。因此，面 对传统的静态密码的各种不安全问题，ESSO采用基于PKI技术的增强身份认证方式。支持数字证书认证，并可使用软证书或是USB Key电子钥匙等认证多种身份认证方式。结合ESSO CA数字证书认证系

14、统，可以为用户分配数字证书，对用户密钥进行安全管理。并且系统也支持第三方 CA认证机构颁发的数字证书。除了数字证书认证方式之外，同时也保留静态密码认证，并且为其他认证方式如动态密码认证，短信认证等预留接口，以适应企业的不同发展阶段的安全需求。5.2.2统一用户身份认证ESSO采用轻量目录存取服务 LDAP来建构统一用户信息数据库，它以树状的层次结构来存储数据，实现对服务、组织、人员、组、策略以及其他资源的集中、分层、分组管理。LDAP作为一个公开和开放的目录服务标准，已成为未来身份认证和身份管理的标准，具有很好的互操作性和兼容性，可以为企业搭建一个统一身份认证和管理框架，ESSO采用LDAP技

15、术，并提供开发接口给新建系统，可为后续新的应用系统开发提供了统一的身份认证平台和标准。5.2.3统一用户身份管理ESSO 3.0可以结合ESSO IDM用户账号同步管理模块，将用户的身份信息和密码同步 到各个系统的数据库中，系统管理员在一个平台上统一管理用户在各个系统中的账号和密 码。ESSO管理平台对用户身份信息进行统一的管理。不仅管理方便，也防止过期的用户身份信息未及时删除给企业资产带来的安全风险。在人员离职、岗位变动时，只需在ESSO管 理中心一处更改，即可限制其访问权限，消除对后台系统非法访问的威胁。LDAP Directories同歩恤少I IPartners Customers管理

16、中心5.2.4用户自注册管理根据定制的策略，最终用户可以自助完成某些工作，无需管理员介入，包括用户主账号和二级账号自注册、密码丢失重置和个人帐号管理等，从而提高了工作和管理效率。5.2.5用户批量导入导出管理对于用户可以批量导入导出，将大量用户通过工具导入到ESSO服务器中，同时也可以在ESSO的用户管理界面将用户分类导出报表，以便管理用户。5.3 统一授权管理5.3.1访问资源管理在ESSO平台上注册企业或组织内所有需要保护的应用系统，对其进行描述，管理。列出每一个应用系统下所具有的用户情况。在每个系统下查询用户情况，以直观的方式显示每一个资源下有权访问的用户信息。并对所有用户进行统一的授权

17、。 采用基于角色的授权机制，按照企业内部的组织结构划分角色，并为用户绑定角色。对于不同的角色分配不同的应用系统，以决定其是否可以访问还是不能访问某个系统。授权后，在单点登录平台上将只会显示其有权访问的系统。5.3.2访问策略管理为不同的角色定制不同的访问策略。访问策略包括可以访问的资源和访问控制规则。访问规则设置灵活，如按时间段，按网段等。能够根据不同的情况定制不同的策略，对各种不 同情况进行访问控制。针对不同类型的用户提供了简单策略管理和高级策略管理两种模式， 满足了易用性和灵活性。5.3.3分级授权管理ESSO 2.0可对用户进行分级管理，设定不同级别的系统管理员，本级的管理员只能管 理本

18、级的用户，并为用户分配权限，不能管理其他组的用户。超级管理员可以管理所有的用 户。解除了总部管理员的管理负担，明确管理职责，方便企业的用户管理工用。5.4 统一审计ESSO提供了统一审计功能，审计用户对应用系统访问的情况，为后续发生事故时提供了一个可追查的机制。为管理员提供了一个统一的监控平台。审计内容：管理员对ESSO统的管理行为；普通用户的访问行为；ESSO系统的运行情况。ESSO提供强大的查询功能，可以按异常事件查询，也可以按一般事件组合查询。并对 审计信息进行分析统计，其结果以报表或图形的方式进行展现，以利于安全事件的快速、观把握。通过对保存的审计信息数据进行签名处理，可以防止人为修改

19、系统记录下来的审计内容。一旦发现审计内容被修改，审计信息将会出现特殊标识，以直观的方式呈现给管理人员。5.5 安全管理1）基于Web的管理端，管理设置灵活简单。在任何地点都可进行实时管理；2）强身份认证保护，管理员需要使用数字证书登录后才能进行相应操作；3）采用了 SSL连接，实现安全的远程管理，对敏感信息具有很好的保密性和安全性。6 ESSO特点6.1 应用无关性? 保护所有类型的应用系统，可以保护基于各种协议，平台和开发语言的应用系统， 无论是B/S结构的还是 C/S结构的。6.2 即插即用? 无需对系统做任何改造，保持现有的软硬件及网络环境不变? 保持用户原有的使用习惯6.3 高安全性?

20、 基于数字证书的强身份认证机制，通过ESSO-CA数字证书认证系统为用户发放数字证书（见ESSO-CA系统技术白皮书），同时兼容第三方 CA认证机构颁发的证书? 自带防火墙安全防范机制，以确保系统本身的安全性和业务系统的安全性。? 移动用户可使用加密机制，将用户访问内部系统时在网上传输的数据进行加密处理，实现安全的远程访问。6.4 高可靠性? 对于大用户量的访问，ESSO支持主备部署方式，以避免单点故障。用户可以在网内部署多台ESSO服务器，以平衡不同服务器之间的认证请求。6.5 可扩展性? 对于用户的需求，可以定制开发，按企事业自身的特点和实际情况实现不同的功能。? 提供不同的开发API，使

21、用认证API可以将应用系统的认证被 ESSO系统整合。并 为其他认证方式，如动态密码认证，预留接口等，以适应企业的认证需求。? 对于新建设的应用系统提供开放的标准的接口规范，在此标准指导下，可将应用完全纳入ESSO平台的统一管理中，实现统一认证，单点登录。6.6跨平台性与平台无关，可以方便的在任何操作系统上实施，与其他系统具有很好的兼容性。基于LDAP技术：提供了强大的跨平台性和跨应用管理能力，为企业其他系统共享资源提供基础。也便于其他应用系统采用同一标准开发纳入统一认证管理平台。7 ESSO解决方案7.1 部署 ESSO企业at敢字证+5仇直FTPHTTPHTTP用户I用户2用户“内部网络金

22、业内;i：应用岳城胆HII.T7AFII*:舉称器UTrust腮务器UTrust豚务器InternetIF：竭也越r .* ttui1强- ftjlESSO系统网络部署图ESSO的部署不影响网络结构，通过地址映射与各应用系统进行结合。ESSOESSO自带防火墙功能，或是部署在企事业内部网络的防火墙之后，以保证 自身和内部应用系统的安全性。对于大用户量访问时可使用双机热备部署。同时可以部署ESSOCA系统，颁发数字证书，实现增强的身份认证方式和加密处 理。可单独部署LDAP目录服务器，作为企业内部用户进行统一身份信息存储和管理工具。也可利用ESSO自带的LDAP用户信息目录服务器， 与ESSO服

23、务器部属在 一台服务器上。7.2应用系统整合企业单点登录的需求一般是已经建立了多个应用系统，而且开发公司不一，开发平台不一，互相形成了独立的异构系统。传统的单点登录解决方案需要对原有系统进行改造才能实现，但是由于企事业单位所建系统时间已久，有些原开发公司已无法找到相关的人员进行配 合改造，因此，经常是单点登录工程拖的时间久，花费的钱无法预计，经常做到一半时已无法进行下去。并且开发改造严重影响了原有业务系统操作人员的工作。ESSO对原有系统的整合方案根据国内企事业单位这种现状，对异构系统实现 SSO提出了全新的完善的解决方案，对原有系统不改造，采用系统配置的方式来将原有系统与ESSO平台进行结合

24、。配置内容简单，易操作，具体如下：网络配置；应用系统名称；应用系统IP 地址和端口；应用系统上用户信息；用户单点登录信息；用户授权 。通过这种简单的配置工作，就可将企事业单位的所有应用系统完全整合到ESSO平台上，无论是基于 Web方式的B/S结构应用系统，还是安装客户端的基于 C/S结构的应用系 统。尤其对于C/S结构的应用系统，通过安装ESSO客户端来实现单点登录， 无需修改任何 应用程序，透明的为用户实现登录过程。ESSO与新建系统集成非常简单，它提供了认证接口，给新开发的应用系统使用，新开发的应用系统通过调用 ESSO的认证接口，可以实现与ESSO系统的集成，用户在ESSO系 统上通过

25、一次认证后， 就可以被与其接口的应用系统认可，当用户访问应用系统时不需再进行认证，就可直接进入应用系统进行访问操作。ESSO为新系统的建设提供一个统一的身份认证，授权，和用户管理平台和标准，新系统只注重业务流程开发，而无需再建独立的用户数据库。为企事业单位规划了一个统一的身 份认证，统一用户管理，统一授权管理，统一资源管理和单点登录平台。7.3门户集成方案ESSO系统在企事业门户建设中也可提供完善的解决方案。如企业门户，校园门户，政 府门户，建设这些门户系统时，ESSO整合各应用系统，实现单点登录功能。结合ESSO,各行业或单位可根据自身的情况，还可实现不同程度的门户解决方案。7.3.1简单门

26、户解决方案利用ESSO的门户平台来实现简单的门户实现方式，将企事业各系统或是个人个性系统显示在ESSO平台页面上，用户通过ESSO登录界面的一次认证后，就可看到其有权访问的一些应用系统列表，访问时直接点击就可进入。7.3.2与内部系统结合门户解决方案企事业单位中一般经常访问的是办公系统，或是企业内部网站系统，ESSO还可以与单位内原有的办公系统进行整合， 将办公系统登录与 ESSO主登录集成，并将其他应用系统链 接到办公平台内，形成办公门户。将内部网站系统上链接其他应用系统，当用户在网站上登录后，直接点击就可进入其他应用系统，实现企业门户解决方案。7.3.3与专业Portal系统解决整合方案一些大公司提供了专业的门户解决方案， 并提供建设大型门户系统的中间平台， 如IBM， Oracle等，ESSO系统也可以与这样的专业门户系统进行集成，在专业的Portal系统中实现单点登录功能。这些大型的Portal开发公司使用 Portlet集成应用系统时