統一身份認證

判斷一個用戶是否為合法用戶的處理過程

所謂身份認證,就是判斷一個用戶是否為合法用戶的處理過程。最常用的簡單身份認證方式是系統通過核對用戶輸入的用戶名和口令,看其是否與系統中存儲的該用戶的用戶名和口令一致,來判斷用戶身份是否正確。複雜一些的身份認證方式採用一些較複雜的加密演演算法與協議,需要用戶出示更多的信息(如私鑰)來證明自己的身份,如Kerberos身份認證系統。身份認證一般與授權控制是相互聯繫的,授權控制是指一旦用戶的身份通過認證以後,確定哪些資源該用戶可以訪問、可以進行何種方式的訪問操作等問題。在一個數字化的工作體系中,應該有一個統一的身份認證系統供各應用系統使用,但授權控制可以由各應用系統自己管理。

流程


統一身份認證服務系統的一個基本應用模式是統一認證模式,它是以統一身份認證服務為核心的服務使用模式。用戶登錄統一身份認證服務后,即可使用所有支持統一身份認證服務的管理應用系統。
(1) 用戶使用在統一認證服務註冊的用戶名和密碼(也可能是其他的授權信息,比如數字簽名等)登陸統一認證服務;
(2) 統一認證服務創建了一個會話,同時將與該會話關聯的訪問認證令牌返回給用戶;
(3) 用戶使用這個訪問認證令牌訪問某個支持統一身份認證服務的應用系統;
(4) 該應用系統將訪問認證令牌傳入統一身份認證服務,認證訪問認證令牌的有效性;
(5) 統一身份認證服務確認認證令牌的有效性;
(6)應用系統接收訪問,並返回訪問結果,如果需要提高訪問效率的話,應用系統可選擇返回其自身的認證令牌已使得用戶之後可以使用這個私有令牌持續訪問。

組成與結構


統一身份認證系統的設計採用層次式結構,主要分為數據層、認證通道層和認證介面層,同時分為多個功能模塊,其中最主要的有身份認證模塊和許可權管理模塊。
身份認證模塊管理用戶身份和成員站點身份。該模塊向用戶提供在線註冊功能,用戶註冊時必須提供相應信息(如用戶名、密碼),該信息即為用戶身份的唯一憑證,擁有該信息的用戶即為統一身份認證系統的合法用戶;身份認證模塊還向成員站點提供在線註冊功能,成員站點註冊時需提供一些關於成員站點的基本信息,還包括為用戶定義的角色種類(如普通用戶、高級用戶、管理員用戶)。
許可權管理模塊主要有:成員站點對用戶的許可權控制、用戶對成員站點的許可權控制、成員站點對成員站點的許可權控制。用戶向某成員站點申請分配許可權時,需向該成員站點提供他的某些信息,這些信息就是用戶提供給成員站點的許可權,而成員站點通過統一身份認證系統身份認證后就可以查詢用戶信息,並給該用戶分配許可權,獲得許可權的用戶通過統一身份認證系統身份認證后就可以以某種身份訪問該成員站點。成員站點對成員用戶信息/角色、許可權信息站點的許可權控制主要是成員站點控制向其它成員站點提供的調用介面。統一 身 份 認證系統與用戶的介面必須同時支持B/S和C/S的模式,同時還必須支持Notes應用認證介面,不同的認證介面具有不同的優勢,具有不同的應用場合,如B/S介面不需要專門安裝相應的客戶端軟體,C/S介面的安全性稍高等。

系統功能


1、IDS功能概述
統一用戶管理系統(IDS),實現網上應用系統的用戶、角色和組織機構統一化管理,實現各種應用系統間跨域的單點登錄和單點退出和統一的身份認證功能,用戶登錄到一個系統后,再轉入到其他應用系統時不需要再次登錄,簡化了用戶的操作,也保證了同一用戶在不同的應用系統中身份的一致性。
圖:統一身份認證示意圖
如上圖所示,IDS通過WebService對外發布認證服務,實現了平台的無關性,能與各種主機、各種應用系統對接。另外,IDS還提供了一套標準的介面,保證了IDS與各種應用系統之間對接的易操作性。
IDS的主要功能如下:
1)用戶管理:能實現用戶與組織創建、刪除、維護與同步等功能;
2)用戶認證:通過SOA服務,支持第三方認證系統;
3)單點登錄:共享多應用系統之間的用戶認證信息,實現在多個應用系統間自由切換;
4)分級管理:實現管理功能的分散,支持對用戶、組織等管理功能的分級委託;
5)許可權管理: 系統提供了統一的,可以擴展的許可權管理及介面,支持第三方應用系統通過介面獲取用戶許可權。
6)會話管理:查看、瀏覽與檢索用戶登錄情況,管理員可以在線強制用戶退出當前的應用登錄;
7)支持Windows、Linux、Solaris等操作系統;支持TomcatWebLogicWebSphere等應用伺服器;支持SQL Server等資料庫系統;
2、IDS的結構
統一身份認證通過統一管理不同應用體系身份存貯方式、統一認證的方式,使同一用戶在所有應用系統中的身份一致,應用程序不必關心身份的認證過程。
從結構上來看,統一身份認證系統由統一身份認證管理模塊、統一身份認證伺服器、身份信息存貯伺服器三大部分組成。
其中統一身份認證管理模塊由管理工具和管理服務組成,實現用戶組管理、用戶管理;管理工具實現界面操作,並把操作數據遞交給管理伺服器,管理伺服器在修改存貯伺服器中的內容。
統一身份認證伺服器嚮應用程序提供統一的Webservice認證服務。它接收應用程序傳遞過來的用戶名和密碼,驗證通過後把用戶的認證令牌返回給應用程序。
身份存儲伺服器存儲身份、許可權數據。其中身份存儲伺服器可以選擇關係型資料庫、LDAP目錄、AD等。另外可以將CA發放的數字證書存儲在身份存儲伺服器。
如下圖所示:
3、IDS的特點
1)方便實用
實現單點登錄(SSO)。用戶一次登錄后,就可以依靠認證令牌在不同系統之間切換。
IDS所有的管理功能都是基於頁面實現的,管理員只要通過瀏覽器即可完成管理工作。
提出了分級管理員的概念,使管理大量用戶變成了可能。
2)跨平台
IDS的實現基於SOA架構
介面採用SOAP XML標準,可跨平台與多種類型的應用系統對接
3)支持多種身份存在方式
支持通用關係型資料庫
LDAP目錄
Microsoft Active Directory(AD)
4)安全可靠
系統能夠集成成熟的認證體系:CA,可以保證交易和企業內部活動中的身份不可抵賴,用戶簽名無法偽造。
系統在數據傳輸過程中,支持HTTPS方式的數據加密傳輸,阻止數據被監聽、分析。
系統能夠定義管理多種許可權級別策略。