1統(tǒng)一用戶管理平臺軟件開發(fā)
1.1實現(xiàn)目標
統(tǒng)一用戶管理平臺是為各個渠道接觸系統(tǒng)提供統(tǒng)一入口,實現(xiàn)企業(yè)基礎(chǔ)庫的用戶管理、權(quán)限管理和身份認證服務(wù)。把功能組件和服務(wù)化,并制定相應(yīng)的合用規(guī)范、標準和指引,在此基礎(chǔ)上實現(xiàn)各應(yīng)用領(lǐng)域之間的互信雙向單點登陸功能,主要目標有:- 在東莞地鐵信息化平臺內(nèi),統(tǒng)一為各業(yè)務(wù)系統(tǒng)提供身份認證服務(wù)。
- 整合多業(yè)務(wù)系統(tǒng)認證功能,包括現(xiàn)有系統(tǒng)如OA、ERP、HR等
- 遵循集中認證、分散鑒權(quán)的原則,認證后代表的身份及身份對應(yīng)的權(quán)限遵循現(xiàn)有渠道接觸系統(tǒng)的業(yè)務(wù)規(guī)則。
- 在東莞地鐵公司內(nèi)實現(xiàn)開發(fā)數(shù)據(jù)同步
- 實現(xiàn)多層次的安全級別體系
1.2系統(tǒng)功能及架構(gòu)
平臺的系統(tǒng)架構(gòu)如下圖所示,主要包括以下部分:- 門戶系統(tǒng)(Portal ):各業(yè)務(wù)系統(tǒng)信息資源的綜合展現(xiàn);
- 平臺管理系統(tǒng) :平臺用戶的注冊、授權(quán)、審計;各業(yè)務(wù)系統(tǒng)的配置;門戶管理;
- CA 系統(tǒng) :平臺用戶的數(shù)字證書申請、簽發(fā)和管理;
- 用戶統(tǒng)一認證 :用戶身份的 CA 數(shù)字證書認證、認證過程的 SSL 加密通道;
- 單點登錄(SSO):業(yè)務(wù)系統(tǒng)關(guān)聯(lián)( mapping )、訪問控制、訪問業(yè)務(wù)系統(tǒng)時信息的加密簽名和 SSL 加密通道。
圖片 1基于 CA 認證的統(tǒng)一身份管理平臺架構(gòu)
1.3系統(tǒng)的實現(xiàn)和安全機制
用戶注冊和授權(quán)- 企業(yè)每一個用戶在平臺完成用戶注冊,得到自己的統(tǒng)一帳戶( passport );
- 如果采用證書文件或 USB 智能卡認證方式,則 CA 系統(tǒng)自動為平臺用戶簽發(fā)數(shù)字證書,并與用戶的統(tǒng)一帳戶對應(yīng)。
- 注冊的用戶可以由管理員進行分組,并根據(jù)分組設(shè)定相應(yīng)的業(yè)務(wù)系統(tǒng)訪問權(quán)限。
接受統(tǒng)一認證的業(yè)務(wù)系統(tǒng)必須完成以下工作:
- 安裝業(yè)務(wù)系統(tǒng)訪問前置并配置證書和私鑰,用以建立客戶端與業(yè)務(wù)系統(tǒng)之間的 SSL 加密通道,并接收處理平臺提供的加密簽名的用戶認證信息;
- 提供關(guān)聯(lián)( mapping )接口和訪問驗證接口,并在平臺進行配置。關(guān)聯(lián)信息主要是平臺統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息(可能包括業(yè)務(wù)系統(tǒng)的用戶名和密碼)的對應(yīng)關(guān)系。
圖片 2 系統(tǒng)的實現(xiàn)和安全機制
1.4用戶統(tǒng)一認證
如圖 10 所示,用戶統(tǒng)一認證過程采用 SSL 加密通道保證安全性。認證服務(wù)器負責(zé) SSL 加密通道的建立。- 對于口令認證方式,認證服務(wù)器配置為單向 SSL 加密通道,客戶端不需要證書;
- 對于證書文件或 USB 智能卡認證方式,認證服務(wù)器配置為雙向 SSL 加密通道,客戶端必須提供用戶證書,并由認證服務(wù)器完成對用戶證書和用戶身份的校驗;
1.4.1用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)( mapping )
用戶通過平臺認證后,第一次訪問業(yè)務(wù)系統(tǒng)時,平臺根據(jù)業(yè)務(wù)系統(tǒng)的配置自動生成業(yè)務(wù)關(guān)聯(lián)頁面,要求用戶進行關(guān)聯(lián):- 用戶輸入業(yè)務(wù)系統(tǒng)的用戶信息(可能包括業(yè)務(wù)系統(tǒng)用戶名和密碼);
- 關(guān)聯(lián)信息連同時間戳被平臺的訪問控制服務(wù)器進行加密和簽名(業(yè)務(wù)系統(tǒng)證書加密,平臺私鑰簽名,時間戳用于防止重放攻擊);
- 加密簽名的關(guān)聯(lián)信息通過 SSL 加密通道,傳遞至業(yè)務(wù)系統(tǒng)訪問前置,并由其進行解密驗證后交給業(yè)務(wù)系統(tǒng)驗證;
- 關(guān)聯(lián)信息驗證通過,則平臺將用戶統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息建立對應(yīng)關(guān)系,以備正常訪問業(yè)務(wù)系統(tǒng)時使用。
1.4.21.5用戶對業(yè)務(wù)系統(tǒng)的正常訪問
如圖 10 所示,如果用戶完成了平臺統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息的關(guān)聯(lián),則在通過平臺認證后訪問業(yè)務(wù)系統(tǒng)時:- 平臺根據(jù)要訪問的業(yè)務(wù)系統(tǒng) ID 和會話( session )中的用戶統(tǒng)一帳戶,查詢用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)信息;
- 將相應(yīng)信息和時間戳由訪問控制服務(wù)器加密簽名并經(jīng)由客戶端,通過 SSL 加密通道,傳遞至業(yè)務(wù)系統(tǒng)訪問前置,并由其進行解密驗證后交給業(yè)務(wù)系統(tǒng)驗證;
- 業(yè)務(wù)系統(tǒng)驗證通過后,自動跳轉(zhuǎn)進入業(yè)務(wù)系統(tǒng)。
聯(lián)系方式:北京軟件開發(fā)公司
電話:010-52895342,400-886-7161
郵件:service@hivekion.com
網(wǎng)址:http://ziyuangx.cn
【北京華盛恒輝科技有限公司 ——(hivekion)是一家軟件定制開發(fā)公司,在軟件產(chǎn)品研發(fā)與服務(wù),華盛恒輝堅持穩(wěn)健經(jīng)營、持續(xù)創(chuàng)新、開放合作,在安全生產(chǎn)、大數(shù)據(jù)處理等領(lǐng)域構(gòu)筑了端到端的解決方案優(yōu)勢,為企業(yè)客戶提供有競爭力的IT解決方案、 產(chǎn)品和服務(wù)。】