广州大学松田学院数字化校园建设方案
4、Microsoft Windows/NT domain:门户系统利用一台Windows domain认证系统作为本身的认证机制,如果用户通过了它的认证,门户系统则认为此用户认证通过,允许进入门户系统。这种认证的好处是充分利用已有的认证系统,投资较小。
5、Security Dynamics SecureID digital token:新建一套数字认证系统,门户系统将其认证功能代理给此系统。这种认证的好处更加安全,缺点是,投资较大,每个用户需要配备数字卡设备。
6、Javacard technology / Smartcard:新建一套JAVA卡认证系统,门户系统将其认证功能代理给此系统。这种认证的好处更加安全,缺点是,投资较大,每个用户需要配备JAVA卡设备;同时现有许多类型的JAVA手机,为降低每个用户配备JAVA卡设备的投资带来了可能。
7、X509v3 Digital Certificates:采用X509v3电子证书,只要客户端可以提供X509v3电子证书,门户系统允许其登录。
8、S/Key one time password:Challenge-Response类型的认证系统,其安全性 介于LDAP/RADIUS/NIS/UNIX和 证书/数字卡认证方式之间,成本较小,也有较强的安全性。
9、提供认证系统集成开发的API:用于集成第三方的认证产品,包括Java API、ASP .NET API、C/C++ API、PHP API。
10、提供认证系统集成开发的WebService:用于集成第三方的认证产品。 3.2.2.6.2 中心认证服务CAS
基于以上的多种认证方式,建立学校的中心认证服务CAS2.0(Central Authentication Service),CAS的目的就是使分布在一个企业内部各个不同异构系统的认证工作集中在一起,通过一个公用的认证系统统一管理和验证用户的身份。在CAS上认证的用户将获得CAS颁发的一个证书,使用这个证书,用户可以在承认CAS证书的各个系统上自由穿梭访问,不需要再次的登录认证。
所有系统的认证都会通过统一认证中心来认证,如下图:
第 41 页 共 86 页
广州大学松田学院数字化校园建设方案
用户经过统一认证中心认证后,可以实现认证的漫游、单点登入SSO、单点退出等。 经过统一认证后,认证的票据(ticket)可以在认证服务器端通过Session来保存,用户端用Cookie来保存用户的认证信息。
正常情况关闭浏览器即用户认证信息Cookie失效,若关闭浏览器还需要保留认证票据(ticket)则需要保留Cookie来保存认证信息,即在认证窗口需要点击“Remember Me”。 3.2.2.6.3 负载均衡
统一身份认证凭为提高在大并发访问下的高可用性,需要实现多机集群负载均衡的能力,提高可靠性和硬件设备的使用率。
要实现认证的多机集群负载均衡,即要保证认证服务器的认证信息(ticket)的同步,而认证服务器的认证信息是通过Session来保存的,所以通过多机集群实现负载均衡只要保持多服务器间的Session的共享即可,所以身份认证采用多机集群方案,利用硬件负载均衡交换机、LDAP、中间件应用服务器的集群功能解决单点故障和负载均衡,提高了认证平台的可靠性和高性能,支持1000人以上的并发访问与10000用户同时在线使用。
第 42 页 共 86 页
广州大学松田学院数字化校园建设方案
3.2.2.7 统一认证、单点登入
统一认证、授权和单点登录系统是和门户系统紧密集成的一套基于策略的访问控制平台,采用开放的架构,支持可插接的用户认证模块,能够支持当前主流安全架构,可供Java、.net、ASP、PHP等开发平台调用实现统一认证。其基于LDAP目录服务器,实现用户的身份认证、应用资源的访问控制、策略管理与服务。提供多种认证手段,实现“一次鉴权(认证和授权)”——单点登录,提供基于Web方式以及传统应用方式服务的单点登录,实现了用户只需认证一次,就可以无须再次登录地访问其做授权可以访问的业务系统。
对于广州大学松田学院的认证部署可以分为以下两种:
? 对于部署在统一应用服务器(Weblogic、Websphere、Tomcat、JBoss等)下的统
一身份认证的流程:
第 43 页 共 86 页
广州大学松田学院数字化校园建设方案
? 部署在不同应用服务器下的业务系统登录过程采用加密传递登陆信息的方式实现
SSO
完成以上流程中的加密、解密有多种方法,我们采用MD5单向加密,对比判断的方式。
3.2.2.7.1 单点登入流程
SSO(Single Sign On)单点登录,所谓单点登录是指基于用户/会话认证的一个过程,用户只需一次性提供凭证(仅一次登录),就可以访问多个应用。目前单点登录主要基于Web的多种应用程序,即通过浏览器实现对多个B/S架构应用的统一账户认证。
要实现一个基于WEB应用的SSO,可以将统一认证平台与具体应用的WEB服务器进行集成,将SSO agent 策略代理模块安装在具体应用的WEB服务器上,或采用认证平台提供的SSO API进行开发,在应用的前端验证客户端的token(从加密的cookie中取得),
第 44 页 共 86 页
广州大学松田学院数字化校园建设方案
SSO token代表一个认证用户,如果验证无效,则通过正常的用户的登录进入,登录系统后产生token以及ID送入客户端的cookie中,供其他应用获取;如果验证成功(不作口令验证)则只使用用户ID进行功能展现不作口令验证。这样可以在统一认证平台的控制下,访问任何一个Web应用。同样可以开发新系统或改造原系统。
3.2.2.8 授权管理与资源访问控制
支持多种权限管理方式,统一授权与分级授权;单独用户授权、按角色(用户组)授权等。
下图为用户组管理示意图:
下图为用户管理示意图:
对于能集中到统一授权的系统,通过数据集成方法(WebService)把用户的授权功能代码、读写权、数据范围、读写字段等权限管理数据集中到统一身份认证、权限管理平台上,可以集中授权。
统一授权策略将基于统一资源访问控制,基于SOA架构的技术标准,对任何一个功能都按WEB Service、URL资源功能服务 、WEB剪辑 集成服务、Iframe集成服务 、RSS
第 45 页 共 86 页