G-ONE统一用户认证方案资料

全部信息与应用，为员工集中获取企业内部信息提供渠道，为员工集中处理企业内部IT系系统采用先进的面向服务的体系架构，基于PKI理论体系，提供身份认证、单点登录、访问授权、策略管理等相关产品，这些产品以服务的形式展现在SSO系统中，用户能方便的使用这些服务，形成企业一站式信息服务平台。身份认证软件信息加密访问控制软件其它服务信息加密软件其它安全软件访问控制服务代理应用程序应用程序组合服务立，任何一个安全功能的调整和增减，不会造成应用程序调用的修改和重复开发。安全浏览器专用客户端完整信息加密通道关键信息加密通道安全浏览器专用客户端完整信息加密通道关键信息加密通道信息加密通道认证前置身份认证服务访问控制服务单点登录服务身份管理服务角色管理服务智能卡管理服务安全审记服务应用等AllDBDBLDAPCA安全认证中心基础设施数字证书网上受理服务A系统部署系统员工2A应用（门户）B应用（门户）1、黑色箭头描述了员工通过A系统访问B系统的模块调用逻辑关系；2、红箭头描述了员工通过B系统访问A系统的模块调用逻辑关系；第三重情况，可以采用两个登录入口，用户名+口令的走一个入口，有证书的走另一个入口，两个入口不能同时被一个用户使用，即有证书的不能系统中主要选用数字证书+用户信息，用户名+口令+用户信息作为身份凭证的补充。当用户LDAP总认证中心证书同步机制证书同步机制分认证LDAPLDAPLDAPLDAPLDAPLDAP1、证书受理采用集中受理模式，所有员工的数字证书通过网上受理中心统一提交到CA中3、建立企业认证体系，由总认证中心和分认证中心组成；4、总认证中心的证书库直接采用网上受理系统的证书库，总认证中心可负责所有员工的统5、分认证中心的证书库采用同步定时分发机制，从总LDAP数据库中获取证书信息；若认证失败，可以直接到总认证中心进行认证；7、所有认证中心采用负载均衡技术，保证认证效率和速度；数字证书身份认证系统，采用CA数字证书和数字签名等技术进行身份识别，将代表用户身份的数字证书和相应的私钥存储在密码钥匙(USB接口的智能卡)中，私钥不出卡，保证中传输，具有更高的安全性，从而解决了网络环境中的用户身份认证问题。系统简单易用，将数字证书这一“复杂”的工具隐藏在系统后台，使用者不需要了解安全知识就能方便使用；同时，系统支持第三方CA（例如CTCA可为政府、军队和企业提供集成的安全认证解决方案。系统总体结构字签名和加解密工作,它是用户数字证书和私钥的载体。功能模块描述统的访问，提供全面的认证、授权和审计服务。库中，并具有安全、完备的数据库管理、备份功能；安全认证服务器拥有功能强大的图形化管理界面，提供用户管理、网络服务器管理、审计管理等全部系统管理功能。安全认证服务器有五部件组成：系统认证模块、用户管理模块、授权管理模块、审计管理模块、数据库。通过数字证书的校验和对用户数字签名的验证，实现对用户身份的识别。完成对用户的授权管理，控制用户对系统资源的访问权限。完成日志的查询、对用户的行为进行审计。信息（如用户密钥）以加密方式存储。义的接口，从事先选定好的用户信息最全的应用系统中或人力资源系统中或AD、LDAP中导(1)、针对用户实际情况，选择人力资源系统或用户信息最全面的应用系统作为用户信基础上对用户进行分组或自动分组，便于进行单点登录授权。式和以系统为主自动同步到各个应用系统的模式。以外部信息为主的模式适用于用户已经建以外部信息为主模式(1)、根据事先定义好的Web接口，外部信息系统（通常为人力资源系统）在进行用户），(2)、系统根据发送过来的用户调整信息，相应的在本地数据库或目录服务中调整用户(3)、系统将调整后的用户信息通过Web接口自动同步到各个应用系统，由各个应用完(1)、管理员通过管理界面在系统中进行用户信息调整时（增加、删除用户和修改用户(2)、各个应用系统根据发送过来的用户调整信息，相应的在本地数据库或目录服务中(三)用户信息统一管理的特点误，平台系统会有一个自动提示并给应用系统管理员发送邮件；清晰，可灵活扩展。安全性——对用户信息传输和储存采用签名和加密等安全措施。权或手工授权方式，为用户分配角色、对应用系统的访问权限、应用系统操作权限，完成对用户的授权。如果用户在用户信息库中被删除，则其相应的授权信息也将被删除。1、用户信息统一管理，包括了用户的注册、用户信息变更、用户注销；2、权限管理系统自动获取新增（或注销）用户信息，并根据设置自动分配（或删除）3、用户管理员可以基于角色调整用户授权（适用于用户权限批量处理）或直接调整单5、用户登录到应用系统，由身份认证系统检验用户的权限信息并返回给应用系统，满足应用系统的权限要求可以进行操作，否则拒绝操作；6、用户的授权信息和操作信息均被记录到日志中，可以形成完整的用户授权表、用户统一身份管理及访问控制系统（SSO）的典型授权管理模型如下图所示：的安全保障和信息服务，共享安全优势。和系统服务之间的安全通信。2)用户登录中心后，根据用户提供的数字证书确认用户的身份。3)访问一个具体的信息资源时，系统服务用访问代理对应的数字证书,把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器。份。根据用户身份，进行内部权限的认证。统一身份管理及访问控制系统用户数据独立于各应用系统，对于数字证书的用户来说，用户证书的序列号平台中是唯一的，对于非证书用户来说，平台用户ID（passport）是唯一的，由其作为平台用户的统一标识。如下图所示：(1)、在通过平台统一认证后，可以从登录认证结果中获取平台用户证书的序列号或平(2)、再由其映射不同应用系统的用户账户；(3)、最后用映射后的账户访问相应的应用系统；账户的一个映射关系即可，不会对其它应用系统产生任何影用系统之间用户交叉和用户账户不同的问题。单点登录过程均通过安全通道来保证数据传输B/S结构应用系统用户均采用浏览器登录和访问应用系统，因此采用统一认证门户，在统一认证门户登录认证成功后，再访问具体B/S应用应用系统。B/S应用系统接入平台的架SSO系统提供两种应用系统接入方式，以快速实现单点登录：(1)反向代理（ReverseProxy）方式用该方式接入统一用户管理平台。反向代理技术：实现方式为松耦合，采用反向代理模块和SSO的单点登录（SSO）认证服务进行交互验证用户信息，完成应用系统单点登录。进行交互验证用户信息，完成应用系统单点登录。紧耦合方式提供多种API，通过简单调用即可实现单点登录（SSO）。对于J2EE环境，提供JAR包对于ASP/.Net环境，提供COM组件对于Domino环境，提供DSAPI对于有原厂商配合开发的应用系统，可以使用该方式高效地接入SSO系统中。证通过后，在用户端启用相应的客户端程序。提供多种环境的接口包，应用系统开发工作量小；提供多种接入方式，系统实施灵活，接入周期较短；认证过程中采用多种安全加密技术，保证认证信息的安全性；单点登录功能稳定可靠，为多应用系统提供良好的登录认证服务。SSL协议的安全通道产品，实现了服务器端和客户端嵌入式的数据安全隔离机制。件个元素来完成：SSL客户机和服务器第一次开始通信时