基础支撑平台
1
第一章 统一身份认证平台
一、概述
建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能:
为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。
提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。
系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。
单点登录场景如下图所示:
2
一次登录认证、自由访问授权范围内的服务
单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。
同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。
二、系统技术规范
单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。
Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。
Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点
登录服务;
3
(2). 联盟的应用系统无需大量改造,不需要用户信息大集中,不影响系统原有业务逻
辑与性能;
(3). 以用户为中心,保护用户信息安全和隐私;
(4). 支持多种、多等级的、安全的用户登录认证方式等。
支持的认证技术
联盟化单点登录原理与场景图示:
同域单点登录
4
跨域单点登录
三、单点登录系统功能
1. 单点登录
(1). 支持单点登录、单点登出
(2). 支持平台安全域下用户的“一点认证,全网通行”和“一点登出,整体退出”。 (3). 支持多个IDP/SP间的联合互信
(4). 支持符合Liberty Alliance的SP或IDP间的联合互信, 可根据SP的信任程度
决定是否联盟。 (5). 支持联盟信息的管理
(6). 支持IDP联盟信息的管理或配置功能。 (7). 不影响正常的业务逻辑与性能。
5