1統(tǒng)一用戶管理平臺(tái)軟件開發(fā)
1.1實(shí)現(xiàn)目標(biāo)
統(tǒng)一用戶管理平臺(tái)是為各個(gè)渠道接觸系統(tǒng)提供統(tǒng)一入口,實(shí)現(xiàn)企業(yè)基礎(chǔ)庫的用戶管理、權(quán)限管理和身份認(rèn)證服務(wù)。把功能組件和服務(wù)化,并制定相應(yīng)的合用規(guī)范、標(biāo)準(zhǔn)和指引,在此基礎(chǔ)上實(shí)現(xiàn)各應(yīng)用領(lǐng)域之間的互信雙向單點(diǎn)登陸功能,主要目標(biāo)有:- 在東莞地鐵信息化平臺(tái)內(nèi),統(tǒng)一為各業(yè)務(wù)系統(tǒng)提供身份認(rèn)證服務(wù)。
- 整合多業(yè)務(wù)系統(tǒng)認(rèn)證功能,包括現(xiàn)有系統(tǒng)如OA、ERP、HR等
- 遵循集中認(rèn)證、分散鑒權(quán)的原則,認(rèn)證后代表的身份及身份對(duì)應(yīng)的權(quán)限遵循現(xiàn)有渠道接觸系統(tǒng)的業(yè)務(wù)規(guī)則。
- 在東莞地鐵公司內(nèi)實(shí)現(xiàn)開發(fā)數(shù)據(jù)同步
- 實(shí)現(xiàn)多層次的安全級(jí)別體系
1.2系統(tǒng)功能及架構(gòu)
平臺(tái)的系統(tǒng)架構(gòu)如下圖所示,主要包括以下部分:- 門戶系統(tǒng)(Portal ):各業(yè)務(wù)系統(tǒng)信息資源的綜合展現(xiàn);
- 平臺(tái)管理系統(tǒng) :平臺(tái)用戶的注冊(cè)、授權(quán)、審計(jì);各業(yè)務(wù)系統(tǒng)的配置;門戶管理;
- CA 系統(tǒng) :平臺(tái)用戶的數(shù)字證書申請(qǐng)、簽發(fā)和管理;
- 用戶統(tǒng)一認(rèn)證 :用戶身份的 CA 數(shù)字證書認(rèn)證、認(rèn)證過程的 SSL 加密通道;
- 單點(diǎn)登錄(SSO):業(yè)務(wù)系統(tǒng)關(guān)聯(lián)( mapping )、訪問控制、訪問業(yè)務(wù)系統(tǒng)時(shí)信息的加密簽名和 SSL 加密通道。
圖片 1基于 CA 認(rèn)證的統(tǒng)一身份管理平臺(tái)架構(gòu)
1.3系統(tǒng)的實(shí)現(xiàn)和安全機(jī)制
用戶注冊(cè)和授權(quán)- 企業(yè)每一個(gè)用戶在平臺(tái)完成用戶注冊(cè),得到自己的統(tǒng)一帳戶( passport );
- 如果采用證書文件或 USB 智能卡認(rèn)證方式,則 CA 系統(tǒng)自動(dòng)為平臺(tái)用戶簽發(fā)數(shù)字證書,并與用戶的統(tǒng)一帳戶對(duì)應(yīng)。
- 注冊(cè)的用戶可以由管理員進(jìn)行分組,并根據(jù)分組設(shè)定相應(yīng)的業(yè)務(wù)系統(tǒng)訪問權(quán)限。
接受統(tǒng)一認(rèn)證的業(yè)務(wù)系統(tǒng)必須完成以下工作:
- 安裝業(yè)務(wù)系統(tǒng)訪問前置并配置證書和私鑰,用以建立客戶端與業(yè)務(wù)系統(tǒng)之間的 SSL 加密通道,并接收處理平臺(tái)提供的加密簽名的用戶認(rèn)證信息;
- 提供關(guān)聯(lián)( mapping )接口和訪問驗(yàn)證接口,并在平臺(tái)進(jìn)行配置。關(guān)聯(lián)信息主要是平臺(tái)統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息(可能包括業(yè)務(wù)系統(tǒng)的用戶名和密碼)的對(duì)應(yīng)關(guān)系。
圖片 2 系統(tǒng)的實(shí)現(xiàn)和安全機(jī)制
1.4用戶統(tǒng)一認(rèn)證
如圖 10 所示,用戶統(tǒng)一認(rèn)證過程采用 SSL 加密通道保證安全性。認(rèn)證服務(wù)器負(fù)責(zé) SSL 加密通道的建立。- 對(duì)于口令認(rèn)證方式,認(rèn)證服務(wù)器配置為單向 SSL 加密通道,客戶端不需要證書;
- 對(duì)于證書文件或 USB 智能卡認(rèn)證方式,認(rèn)證服務(wù)器配置為雙向 SSL 加密通道,客戶端必須提供用戶證書,并由認(rèn)證服務(wù)器完成對(duì)用戶證書和用戶身份的校驗(yàn);
1.4.1用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)( mapping )
用戶通過平臺(tái)認(rèn)證后,第一次訪問業(yè)務(wù)系統(tǒng)時(shí),平臺(tái)根據(jù)業(yè)務(wù)系統(tǒng)的配置自動(dòng)生成業(yè)務(wù)關(guān)聯(lián)頁面,要求用戶進(jìn)行關(guān)聯(lián):- 用戶輸入業(yè)務(wù)系統(tǒng)的用戶信息(可能包括業(yè)務(wù)系統(tǒng)用戶名和密碼);
- 關(guān)聯(lián)信息連同時(shí)間戳被平臺(tái)的訪問控制服務(wù)器進(jìn)行加密和簽名(業(yè)務(wù)系統(tǒng)證書加密,平臺(tái)私鑰簽名,時(shí)間戳用于防止重放攻擊);
- 加密簽名的關(guān)聯(lián)信息通過 SSL 加密通道,傳遞至業(yè)務(wù)系統(tǒng)訪問前置,并由其進(jìn)行解密驗(yàn)證后交給業(yè)務(wù)系統(tǒng)驗(yàn)證;
- 關(guān)聯(lián)信息驗(yàn)證通過,則平臺(tái)將用戶統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息建立對(duì)應(yīng)關(guān)系,以備正常訪問業(yè)務(wù)系統(tǒng)時(shí)使用。
1.4.21.5用戶對(duì)業(yè)務(wù)系統(tǒng)的正常訪問
如圖 10 所示,如果用戶完成了平臺(tái)統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息的關(guān)聯(lián),則在通過平臺(tái)認(rèn)證后訪問業(yè)務(wù)系統(tǒng)時(shí):- 平臺(tái)根據(jù)要訪問的業(yè)務(wù)系統(tǒng) ID 和會(huì)話( session )中的用戶統(tǒng)一帳戶,查詢用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)信息;
- 將相應(yīng)信息和時(shí)間戳由訪問控制服務(wù)器加密簽名并經(jīng)由客戶端,通過 SSL 加密通道,傳遞至業(yè)務(wù)系統(tǒng)訪問前置,并由其進(jìn)行解密驗(yàn)證后交給業(yè)務(wù)系統(tǒng)驗(yàn)證;
- 業(yè)務(wù)系統(tǒng)驗(yàn)證通過后,自動(dòng)跳轉(zhuǎn)進(jìn)入業(yè)務(wù)系統(tǒng)。
聯(lián)系方式:北京軟件開發(fā)公司
電話:010-52895342,400-886-7161
郵件:service@hivekion.com
網(wǎng)址:http://m.sjzgqxxzx.cn
【北京華盛恒輝科技有限公司 ——(hivekion)是一家軟件定制開發(fā)公司,在軟件產(chǎn)品研發(fā)與服務(wù),華盛恒輝堅(jiān)持穩(wěn)健經(jīng)營、持續(xù)創(chuàng)新、開放合作,在安全生產(chǎn)、大數(shù)據(jù)處理等領(lǐng)域構(gòu)筑了端到端的解決方案優(yōu)勢(shì),為企業(yè)客戶提供有競(jìng)爭(zhēng)力的IT解決方案、 產(chǎn)品和服務(wù)。】