經(jīng)典案例
  • 金融大數(shù)據(jù)解決方案
  • 汽車大數(shù)據(jù)解決方案
  • 政府大數(shù)據(jù)解決方案
  • 鐵路大數(shù)據(jù)解決方案
  • 電力大數(shù)據(jù)解決方案
  • 軍工大數(shù)據(jù)解決方案
  • 解放軍總裝備部
  • 中國航天科工集團(tuán)
  • 航天科技集團(tuán)

統(tǒng)一用戶管理軟件開發(fā)

發(fā)布于:2019-11-28 16:19來源:北京軟件開發(fā)公司 作者:北京大數(shù)據(jù)公司 點(diǎn)擊:

1統(tǒng)一用戶管理平臺(tái)軟件開發(fā)

1.1實(shí)現(xiàn)目標(biāo)

        統(tǒng)一用戶管理平臺(tái)是為各個(gè)渠道接觸系統(tǒng)提供統(tǒng)一入口,實(shí)現(xiàn)企業(yè)基礎(chǔ)庫的用戶管理、權(quán)限管理和身份認(rèn)證服務(wù)。把功能組件和服務(wù)化,并制定相應(yīng)的合用規(guī)范、標(biāo)準(zhǔn)和指引,在此基礎(chǔ)上實(shí)現(xiàn)各應(yīng)用領(lǐng)域之間的互信雙向單點(diǎn)登陸功能,主要目標(biāo)有:
  • 在東莞地鐵信息化平臺(tái)內(nèi),統(tǒng)一為各業(yè)務(wù)系統(tǒng)提供身份認(rèn)證服務(wù)。
  1. 整合多業(yè)務(wù)系統(tǒng)認(rèn)證功能,包括現(xiàn)有系統(tǒng)如OA、ERP、HR等
  2. 遵循集中認(rèn)證、分散鑒權(quán)的原則,認(rèn)證后代表的身份及身份對(duì)應(yīng)的權(quán)限遵循現(xiàn)有渠道接觸系統(tǒng)的業(yè)務(wù)規(guī)則。
  • 在東莞地鐵公司內(nèi)實(shí)現(xiàn)開發(fā)數(shù)據(jù)同步
  • 實(shí)現(xiàn)多層次的安全級(jí)別體系

1.2系統(tǒng)功能及架構(gòu)

       平臺(tái)的系統(tǒng)架構(gòu)如下圖所示,主要包括以下部分:
  • 門戶系統(tǒng)(Portal :各業(yè)務(wù)系統(tǒng)信息資源的綜合展現(xiàn);
  • 平臺(tái)管理系統(tǒng) :平臺(tái)用戶的注冊(cè)、授權(quán)、審計(jì);各業(yè)務(wù)系統(tǒng)的配置;門戶管理;
  • CA 系統(tǒng) :平臺(tái)用戶的數(shù)字證書申請(qǐng)、簽發(fā)和管理;
  • 用戶統(tǒng)一認(rèn)證 :用戶身份的 CA 數(shù)字證書認(rèn)證、認(rèn)證過程的 SSL 加密通道;
  • 單點(diǎn)登錄(SSO:業(yè)務(wù)系統(tǒng)關(guān)聯(lián)( mapping )、訪問控制、訪問業(yè)務(wù)系統(tǒng)時(shí)信息的加密簽名和 SSL 加密通道。
統(tǒng)一用戶管理平臺(tái)解決方案
圖片 1基于 CA 認(rèn)證的統(tǒng)一身份管理平臺(tái)架構(gòu)

1.3系統(tǒng)的實(shí)現(xiàn)和安全機(jī)制

用戶注冊(cè)和授權(quán)
  • 企業(yè)每一個(gè)用戶在平臺(tái)完成用戶注冊(cè),得到自己的統(tǒng)一帳戶( passport );
  • 如果采用證書文件或 USB 智能卡認(rèn)證方式,則 CA 系統(tǒng)自動(dòng)為平臺(tái)用戶簽發(fā)數(shù)字證書,并與用戶的統(tǒng)一帳戶對(duì)應(yīng)。
  • 注冊(cè)的用戶可以由管理員進(jìn)行分組,并根據(jù)分組設(shè)定相應(yīng)的業(yè)務(wù)系統(tǒng)訪問權(quán)限。
業(yè)務(wù)系統(tǒng)的配置
       接受統(tǒng)一認(rèn)證的業(yè)務(wù)系統(tǒng)必須完成以下工作:

  • 安裝業(yè)務(wù)系統(tǒng)訪問前置并配置證書和私鑰,用以建立客戶端與業(yè)務(wù)系統(tǒng)之間的 SSL 加密通道,并接收處理平臺(tái)提供的加密簽名的用戶認(rèn)證信息;
  • 提供關(guān)聯(lián)( mapping )接口和訪問驗(yàn)證接口,并在平臺(tái)進(jìn)行配置。關(guān)聯(lián)信息主要是平臺(tái)統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息(可能包括業(yè)務(wù)系統(tǒng)的用戶名和密碼)的對(duì)應(yīng)關(guān)系。
統(tǒng)一用戶管理平臺(tái)解決方案
  圖片 2 系統(tǒng)的實(shí)現(xiàn)和安全機(jī)制

1.4用戶統(tǒng)一認(rèn)證

如圖 10 所示,用戶統(tǒng)一認(rèn)證過程采用 SSL 加密通道保證安全性。認(rèn)證服務(wù)器負(fù)責(zé) SSL 加密通道的建立。
  • 對(duì)于口令認(rèn)證方式,認(rèn)證服務(wù)器配置為單向 SSL 加密通道,客戶端不需要證書;
  • 對(duì)于證書文件或 USB 智能卡認(rèn)證方式,認(rèn)證服務(wù)器配置為雙向 SSL 加密通道,客戶端必須提供用戶證書,并由認(rèn)證服務(wù)器完成對(duì)用戶證書和用戶身份的校驗(yàn);
客戶端瀏覽器與認(rèn)證服務(wù)器之間采用 HTTPS 協(xié)議,認(rèn)證服務(wù)器與平臺(tái)應(yīng)用服務(wù)器之間采用 HTTP 協(xié)議。在用戶認(rèn)證完成后,可根據(jù)需要設(shè)定客戶端瀏覽器對(duì)平臺(tái)的訪問是否繼續(xù)走 SSL 加密通道,充分兼顧安全與效率。

1.4.1用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)( mapping )

 用戶通過平臺(tái)認(rèn)證后,第一次訪問業(yè)務(wù)系統(tǒng)時(shí),平臺(tái)根據(jù)業(yè)務(wù)系統(tǒng)的配置自動(dòng)生成業(yè)務(wù)關(guān)聯(lián)頁面,要求用戶進(jìn)行關(guān)聯(lián):
  • 用戶輸入業(yè)務(wù)系統(tǒng)的用戶信息(可能包括業(yè)務(wù)系統(tǒng)用戶名和密碼);
  • 關(guān)聯(lián)信息連同時(shí)間戳被平臺(tái)的訪問控制服務(wù)器進(jìn)行加密和簽名(業(yè)務(wù)系統(tǒng)證書加密,平臺(tái)私鑰簽名,時(shí)間戳用于防止重放攻擊);
  • 加密簽名的關(guān)聯(lián)信息通過 SSL 加密通道,傳遞至業(yè)務(wù)系統(tǒng)訪問前置,并由其進(jìn)行解密驗(yàn)證后交給業(yè)務(wù)系統(tǒng)驗(yàn)證;
  • 關(guān)聯(lián)信息驗(yàn)證通過,則平臺(tái)將用戶統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息建立對(duì)應(yīng)關(guān)系,以備正常訪問業(yè)務(wù)系統(tǒng)時(shí)使用。

1.4.21.5用戶對(duì)業(yè)務(wù)系統(tǒng)的正常訪問

如圖 10 所示,如果用戶完成了平臺(tái)統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息的關(guān)聯(lián),則在通過平臺(tái)認(rèn)證后訪問業(yè)務(wù)系統(tǒng)時(shí):
  • 平臺(tái)根據(jù)要訪問的業(yè)務(wù)系統(tǒng) ID 和會(huì)話( session )中的用戶統(tǒng)一帳戶,查詢用戶的業(yè)務(wù)系統(tǒng)關(guān)聯(lián)信息;
  •  將相應(yīng)信息和時(shí)間戳由訪問控制服務(wù)器加密簽名并經(jīng)由客戶端,通過 SSL 加密通道,傳遞至業(yè)務(wù)系統(tǒng)訪問前置,并由其進(jìn)行解密驗(yàn)證后交給業(yè)務(wù)系統(tǒng)驗(yàn)證;
  • 業(yè)務(wù)系統(tǒng)驗(yàn)證通過后,自動(dòng)跳轉(zhuǎn)進(jìn)入業(yè)務(wù)系統(tǒng)。
在訪問業(yè)務(wù)系統(tǒng)時(shí),相關(guān)信息的傳遞均結(jié)合時(shí)間戳、關(guān)鍵信息加密簽名和 SSL 加密通道技術(shù),在自動(dòng)認(rèn)證完成后,業(yè)務(wù)系統(tǒng)可根據(jù)需要設(shè)定是否繼續(xù)走 SSL 加密通道。既保證了單點(diǎn)登錄過程中信息傳遞的保密性和真實(shí)性,有效防止了重放攻擊,又兼顧了業(yè)務(wù)系統(tǒng)訪問的安全與效率。.

聯(lián)系方式:北京軟件開發(fā)公司
電話:010-52895342,400-886-7161
郵件:service@hivekion.com
網(wǎng)址:http://m.sjzgqxxzx.cn
【北京華盛恒輝科技有限公司 ——(hivekion)是一家軟件定制開發(fā)公司,在軟件產(chǎn)品研發(fā)與服務(wù),華盛恒輝堅(jiān)持穩(wěn)健經(jīng)營、持續(xù)創(chuàng)新、開放合作,在安全生產(chǎn)、大數(shù)據(jù)處理等領(lǐng)域構(gòu)筑了端到端的解決方案優(yōu)勢(shì),為企業(yè)客戶提供有競(jìng)爭(zhēng)力的IT解決方案、 產(chǎn)品和服務(wù)
 
------分隔線----------------------------
------分隔線----------------------------
QQ客服熱線