一、方案概述
日常工作中,使用人员在使用各应用系统时都要做登录操作,需要记住每个系统的登录口令;对于系统管理员,人员的新增、调离或退休都需要到各个系统中都要进行重新配置。若操行不及时或遗漏,就会带来系统安全隐患。这些问题越来越成为阻碍企业信息化进程的绊脚石。
统一用户管理作为系统用户的认证和授权的管理、用户信息统一修改、用户密码修改的入口。基本用户信息主要来自某一个人事信息的权威系统如HR系统,统一用户管理平台将设置多个级别和功能的管理员,分别进行用户、应用分配、同步等管理。
二、方案架构
单点登录
每个用户认证服务器上都拥有一个账户,认证服务器保存所有用户ID、口令和账户信息,对用户进行一次认证,将用户ID和口令信息传送给其他应用系统。
成功登录认证服务器,显示登录用户已授权的应用系统。
安全管理
基于数字证书的加密、数字签名等安全技术可以成功解决SSO系统中的安全性问题,交易各方通过数字证书来进行彼此间的身份识别,所有传输信息均经过高强度加密。
统一身份
在企业目录服务中心建立后,应用系统用户应与目录服务保持一致,因此,应用系统在开发过程中应调用目录服务提供的标准接口获取用户基本信息。统一用户管理平台将同时与目录数据库和其他应用的数据库建立同步关系,新建一个用户首先在目录数据库建立用户账号及相关信息,同时将在被授权的系统中写入用户信息。
三、方案特点
开放性
在应用开发和部署上采用基于J2EE标准,对客户端的授权和认证遵循JAAS(Java Authentication and Authorization Services)标准,和XML、Web Service的开发标准。
高可靠性
系统设计在每个结构模块上实现冗余,达到最大的平均无故障时间。
高性能
在系统性能上,进行优化设计,充分利用产品的性能优势,满足企业大批并发用户的认证请求,和身份管理的高效性。
高扩展性
系统的设计和部署遵循层次化、模块化的原则。系统将支持多种认证模块的接入,包括:匿名方式,UserID/Password、RSA Secure ID、X.509v3公共密钥证书,SASL和SSL多种安全认证模式、LDAP、UNIX、Windows NT用户等认证方式的集成。建立统一用户管理中心,对现有各应用系统的用户,在统一用户中心建立用户映射关系。
开放性:
在应用开发和部署上采用基于J2EE标准,对客户端的授权和认证遵循JAAS标准,和XML、Web Service的开发标准。
四、方案价值
构建统一用户管理和单点登陆(SSO)是一个信息化建设必不可少的重大举措。通过建设统一的企业信息门户,并把各种业务系统进行授权接入,可以较大的提升用户感受,打造真正的“以用户为中心”的信息化建设目标。统一用户管理系统的建设是行业应用整合中的基础应用,可以说决定了应用整合建设的成败, 是应用整合建设关键的一步。