2. 支持Liberty ID-FF v1.2规范
(1). 系统提供一个完整的联合互信平台以支持最新的Liberty Alliance联合互信标准
Liberty ID-FF 1.2规范;
(2). 支持Liberty规范中的所有功能,包括单点登录、整体退出、账号联盟和解盟、
注册名重新注册(Account Linking)、联合互信等功能;
(3). 系统本身提供了一个完整的Liberty Alliance联合互信平台,以部署在各个需要
通过联合互信标准集成的SP方,以加快IDP和各SP的集成; (4). 提供扩展的站点转送功能,为客户提供更符合实际应用的功能; (5). 一个IDP服务器可以同时支持一个或多个SP服务器; (6). 一个SP服务器可以同时支持一个或多个IDP服务器;
(7). 系统提供标准的Java的认证、单点登录和Liberty Alliance联合互信的SDK以
支持方便和灵活的应用集成;
3. 支持多种、多级别认证方式
(1). 支持多种认证方式,已经支持的就包括LDAP认证、JDBC认证、SecurID认证
等;
(2). 系统具有标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持
第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证; (3). 支持分布式认证的部署方式:即将认证界面部署在任何一个Web应用服务器上,
而实现多种认证支持的统一认证服务器部署在内网中,以保证认证的安全性和扩展性;
(4). 系统本身支持session的互信机制;
(5). 系统支持多级别认证方式:用户名/密码认证、数字证书认证、动态口令认证,
等等。通过适配器的扩展,可以支持更多的认证方式; (6). 支持多种应用场景的认证请求
(7). 门户认证:支持接收自服务门户的认证(个人用户门户、SP门户、运营商门户)
请求;
(8). 支付认证:支持支付流程中需要用到的支付安全认证请求; (9). 业务认证:支持业务流程中需要用到的用户身份认证请求;
6
(10). (11). (12). (13). (14). (15).
单点登录认证:支持单点登录的认证请求; 支持认证方式的生命周期管理; 支持认证方式的注册、修改、删除;
支持认证方式状态的变更(开通、暂停、恢复、注销); 支持认证方式相关参数的配置; 支持认证等级的配置。
4. 认证的安全控制
主要保障身份认证的安全,基本要求如下: (1). 平台用户身份认证安全控制
凡是输入用户名/密码的页面均由平台提供;
凡是输入用户名/密码的地方均采用HTTPS的方式进行通信;
(2). 第三方系统用户身份认证安全控制
对于第三方系统身份识别主要依赖于第三方系统,身份识别流程应综合考虑用户体验和流程安全性,所有传送过程中都对信息进行加密操作。
(3). 其它认证安全手段控制
服务器与服务器之间都采用数字证书认证,保障通讯双方的安全性,防止盗链等现象的发生。
5. 兼顾灵活性和通用性
(1). 单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器,不需要依赖
其它的应用服务器;
(2). 集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括:Apache,
Microsoft IIS,Sun/Netscape Web Server;Tomcat,BEA WebLogic, IBM WebSphere, Sun Java System Application Server;等等。
(3). 单点登录支持保护型单点登录方式(即将应用通过Agent保护起来的安全方式),
也支持代理单点登录方式;
(4). 支持同域或跨域的联合互信、单点登录。
7
6. 在一台机器上运行多个服务器
(1). 在一个单点登录服务器上同时运行IDP和SP服务器; (2). 在一个单点登录服务器上同时运行多个SP服务器;
(3). 在一个单点登录服务器上,就可以建立起一个完整的信任圈和联盟化商业网络; (4). 在学校内部运行一个单点登录服务器,可以支持所有的Web应用系统的单点登
录;
(5). 电信或ASP只需一个单点登录,就可以为所有的SP提供基于Liberty的Web
单点登录功能;
(6). 强大的管理功能,可以独立管理单点登录中的每个服务器实例,包括IDP服务
器和所有的SP服务器;
7. 灵活的Web管理界面
(1). 同一个管理界面,管理所有的IDP和SP服务器;
(2). 管理界面根据服务器的角色(IDP、SP、或者同时是IDP和SP)而自动调整管
理功能;
(3). 统一管理所有合作伙伴的联盟信息; (4). 提供快速建立合作和联盟关系的功能;
(5). 管理一个或多个数据源,包括关系数据库和LDAP目录的数据源,同时提供数据
源连接测试的功能,以保证配置无误; (6). 可以为每个服务器独立配置数据源;
(7). 改动服务器配置而不需要重新启动服务器,为客户提供24x7的可用时间;
8. 全方位的证书管理功能
(1). 提供全方位的证书和密钥管理功能,包括签名密钥和证书、SSL服务器证书、
SSL客户端密钥和证书等;
(2). 生成新的公钥和私钥对,支持标准的算法(RSA和DSA),支持不同长度的密钥,
包括1024位、2048位、4096位等;
(3). 生成自己签发的证书,支持X.509 v3的证书格式;
8
(4). 生成和导出证书请求信息;
(5). 最容易使用的证书导出和导入的功能,包括导入从证书机构接到的、和从合作伙
伴接到的证书。
9. 易用的元数据交换功能
(1). 提供快速建立合作和联盟关系的功能;采用单点登录,建立联盟关系不再是复杂
的事情,只需要点击几下就可以完成的工作;
(2). 全方位的元数据导出和导入的功能,加快建立联盟关系的速度和避免无谓的错
误;
(3). 元数据导出和导入的功能,一步到位,一次性把所有建立联盟关系的工作完成;
10. 强大的机群部署功能
(1). 强大的机群部署功能,管理员通过一个Web管理界面,可以管理机群中的所有
服务器节点;
(2). 所有服务器节点都是平等的,没有主从的概念,任何一台服务器节点都可以独立
运行;
(3). 所有服务器配置和SSO会话信息在机群的节点上实时同步,自动提供故障转移
(Fail Over)的功能;
(4). 可横向扩展的机群部署,支持最严格的容错(Fault Tolerance)需求; (5). 支持基于硬件或基于软件的负载均衡器。
四、系统功能特点
单点登录单点登录平台单点登录技术基于国际联盟Liberty1.2规范,同时与市场同类技术相比有着以下优点:
(1). 全方位支持标准Liberty ID-FF v1.2规范,支持从中型到最大型的联盟化部署,
支持规范中所有功能:单点登录、整体退出、账号联盟和解盟等功能; (2). 扩展站点转送功能,为客户提供更符合实际应用的功能;
(3). 支持SAML(Secure Assertion Markup Language 安全性断言标记语言)规范、
9
XML(Extensible Markup Language 扩展性标识语言)数字签名规范、SOAP( Simple Object Access Protocol简单对象访问协议)和Web服务协议等; (4). 支持跨域部署模式,提供跨域单点登录功能;
(5). 支持多种多级登录认证机制,如用户名/密码、动态口令、等等;
(6). 支持现有的用户管理系统,包括LDAP(Light Directory Access Protocol,轻量
级目录访问协议)目录、数据库,等等;
(7). 支持多种多级认证方式:普通口令、数字证书、动态口令、指纹识别、IC智能
卡等认证方式,支持第三方认证系统、权限管理系统;
(8). 系统功能强大:单点登录的设计就是要能支持多服务器合为一体的身份联盟服务
器,在同一个机器上同时支持身份提供方(统一身份管理与认证服务提供方)和 SP(Service Provider 应用服务提供方)的服务器角色,而同时又能在统一个机器上运行多个SP服务器。对于整个信息化平台只需要一个单点登录服务器就可以为所有的应用服务体统无论是同域还是跨域的提供单点登录功能,为用户提供全面的单点登录服务;
(9). 基于应用场景的系统管理方式:基于 Web 的管理界面可以帮助第一次接触
Liberty 或经验丰富的管理员,按循序渐进的步骤,完成端到端的系统配置,从而将配置错误和复杂性降至最低限度,同时管理界面能具有当场检查和验证配置参数的功能,捕获和甚至防止在配置时的错误,从而将人为的可能错误降至最低限度,这为管理员大大降低了运行时调试的时间; (10).
快速的联盟系统集成方式:采用单点登录解决方案,应用系统的单点登录服
务的集成是一件最简单不过的事情。一般只需点击几下就能完成与联盟合作伙伴的连接,而且管理员可以很容易的从一个中央管理平台管理整个网络的服务器,和所有集成单点登录服务的应用服务的信息; (11).
支持联盟的部署架构:采用单点登录的解决方案,管理员可以在同一个地方
管理所有的协议定义、PKI 私钥/公钥和证书、连接方式等信息,而不需要维护多个版本、多份服务器配置和信任关系的信息,单点登录能将部署在不同安全域里的高校Web 应用系统联盟起来的能力使业务与业务系统间的联盟部署更方便,而且可以大幅度的降低管理成本; (12). (13).
系统支持以下的操作系统:Windows、Linux、Unix;
电信级的稳定性、可扩展性:单点登录是为中型到最大型的联盟部署设计的,
所以能支持应用服务系统在大型数据中心的部署,提供全方位的机群部署和数据同步功能,为客户提供电信级的横向可扩展性,服务器配置、联盟连接、合作伙伴的信息、PKI私钥/公钥和证书等信息,都在整个机群中的所有节点同步SSO
10