会话和联盟事务在机群中的节点实时同步,为客户提供实际的负载均衡和故障转移的功能,单点登录 支持24x7的可用时间的客户需求; (14).
全面的集成开发包:单点登录是市场上提供最全面的集成开发包的身份联盟
服务器,支持当今绝大部分的主流Web应用服务器技术,更全面的为客户提供解决方案。提供以下的集成开发包(SDK): ? 基于 Java 的 SDK ? 基于 .Net 的 SDK ? 基于 ASP 的 SDK ? 基于 PHP 的 SDK
单点登录所提供的SDK使集成现有的用户认证系统和 Web 应用系统更快速、更方便。
五、平台性能
单点登录只在用户登录和退出的时候才被激活,而用户在应用系统中进行正常的操作的时候,根本不和单点登录打交道。也就是说,单点登录本身的处理速度不影响正常的业务运作。不仅如此,就是单点登录的认证速度也是和传统的本地登录没有什么区别。运行一个单点登录服务器进行测试,在0.2-0.3秒(1分钟处理200次的请求)之内完成一个单点登录的认证,1000并发用户登录响应时间小于3秒。
六、系统部署
本期信息化建设将整合现有需要实现单点登录的业务系统,可以按照以下集成部署。
拓扑结构如下图所示:
11
单点登录集成拓扑结构图
拓扑结构组成:
(1). ID Provider (IDP):一个身份验证和管理服务提供方,在这里选择门户平台作为
IDP,把校园网用户管理系统的用户信息作为用户统一身份认证信息。 (2). Service Providers(SP):多个Web应用服务,包括教务管理系统、校园网用户
管理、图书管理系统、邮件管理系统等。
(3). 联盟框架:联盟化身份验证服务器(SSO Server),提供联盟化单点登录基础框
架。
系统集成拓扑结构:
集成拓扑结构
系统集成部署过程如下:
(1).单点登录服务器独立运行,选择持久化系统,可以是关系数据库或者LDAP用来
12
存放用户联盟信息。
(2).应用服务器(SP)需要提供集成所需的登录、退出过程源代码。
(3).一个Agent模块嵌入到应用服务器(在登录和退出过程中加入单点登录SDK),
只在用户选择单点登录服务时,在登录与退出过程中才激活,不影响原有系统业务逻辑(可以保留原有登录模式),不影响系统性能。
说明:Agent是一个软件库,负责单点登录服务器与应用服务器之间的互动工作,属于SDK的一部分,SSO系统提供了大多数应用服务集成需要的SDK,如Java/ASP/C#/Php等等。 (4).SSO提供统一的管理平台,通过管理平台可以远程管理所有集成了联盟关系的各
个应用系统,管理界面如下图所示:
SSO远程管理平台
主要功能包括IDP服务器管理、SP服务器管理、通信证书管理、数据源配置、机群部署等。
七、提高整体安全度
(1). 使用标准的安全协议,以提供整体的安全度;
(2). 通过安全的联盟协议降低用户在网上传送用户名和密码的次数,大幅度降低账号
被盗窃的机会;
(3). 通过系统联盟(联合互信)实现单点登录而无需推翻已有的基础设施,充分利用现
13
有的系统,保护已有的IT投资;
(4). 将高校安全模式扩展到整个联盟化网络,整体提高网络的安全度; (5). 优于市场上其他产品之处还包括:
? ?
不使用COOKIE存储用户信息,保障用户信息的安全性;
不使用密码对照表,而通过用户身份联盟(Account Federation)实现身份管理;
?
通过安全讯道(https)传输身份认证信息,而且采用匿名信息,应用系统双方都无法获得用户在对方系统中的真实身份,保护用户隐私。
八、认证的安全控制
主要保障身份认证的安全,基本特点如下: (1). 平台用户身份认证安全控制
(2). 凡是输入用户名/密码的页面均由平台提供
(3). 凡是输入用户名/密码的地方均采用HTTPS的方式进行通信。 (4). 第三方系统用户身份认证安全控制
(5). 对于第三方系统身份识别主要依赖于第三方系统,身份识别流程应综合考虑用户
体验和流程安全性,所有传送过程中都对信息进行加密操作。 (6). 其它认证安全手段控制
(7). 服务器与服务器之间都采用数字证书认证,保障通讯双方的安全性,防止盗链等
现象的发生。
九、通讯协议与信息安全
为了保证用户信息的安全,单点登录平台平台保证用户在登录或退出时,用户在网上传输的所有信息都受到全程的安全保护。所有信息都可以全程加密,而且通过安全通道传输。
(1). 单点登录平台服务器之间通讯
在Liberty联盟化网络中,单点登录平台服务器与其它单点登录平台服务器通讯时,都是采用标准的Liberty协议,遵循Liberty的所有规范。并且信息传输可
14
以用HTTPs加密,以保证信息在传输时不被窃取。
同时单点登录平台服务器提供了强大的证书管理功能,以保证设置HTTPs或SSL的工作是一件简单的工作,就算对证书管理和使用不太熟悉的管理员,也可以安全的配置服务器。
(2). 单点登录平台服务器与Web服务器之间通信
嵌入在Web应用服务器上的Agent与单点登录平台服务器通信时,所有信息都封装在一个安全的信封结构里,叫做ID-Token。ID-Token用AES算法加密,采用128位长度的密钥加密。加密密钥只有Web应用服务器与其相对应的单点登录平台服务器共享,所以就算ID-Token在网上被拦截了之后也无法被解密。如下图所示:
单点登录平台通信协议
(3). 说明:每个ID-Token都有时间限制,一般设为5分钟。过了时间限期的ID-Token
一概不处理,都会被系统扔掉,所以这个安全措施有效地阻止了重放攻击的威胁。ID-Token的时间限期可以在单点登录平台服务器的管理控制台上设置,如果必要的话,也可以再设短一点。
第二章 统一权限管理平台
一、概述
数字化校园平台的权限管理由统一认证与授权管理平台ID-Directory系统完成实现,统一认证与授权管理平台是一个跨平台的统一身份管理、授权管理、认证管
15