项目名称 文档类别 文档编号 版 本 密 级 | V国网统一身份管理系统〉 V接口规范〉 <> <> <> |
| |
二00九年七月七日
一、 国网统一身份管理系统介绍 3
1.1系统概述 3
1.2单点登录流程. 4
1.3单点登录接入方式. 5
2.1国网应用系统集成分类. 6
2.2应用系统权限管理模式. 7
2.3单点登录集成要求. 9
2.4单点登录集成流程. 12
三、 身份同步规范 15
3.2帐号管理流程 16
3.2.1帐号创建流程. 16
3.2.2账号更新流程. 16
3.2.3帐号删除/禁用流程. 16
3.3帐号的身份同步 17
3.4数据库改造 17
一、国网统一身份管理系统介绍
1.1系统概述
由上图可见国家电网统一身份管理系统由单点登录和目录管理两部分构成。其中单点登 录采用的是Novell的单点登录产品Access Manager,其单点登录通过Access Manager 访问网关、单点登录认证管理模块、认证目录三部分协作实现。统一身份管理系统中的目录 包含三类:认证目录、资源目录和身份目录。 认证目录是专用T Novell Access Manager做用户认证使用的目录,目录中包含所有 登录总部门户的用户。用户核心属性是用户名、密码以及单点登录到应用系统的帐号和密码。
资源目录是国网总部部门数据以及应用权限数据的权威数据源。在该目录下管理用户所 属的组织机构信息、各应用系统的信息、各应用系统的分组角信息等。组织机构信息、应 用系统信息、分组角信息等可供各应用系统认证管理模块做权限管理。资源目录中的用户 核心属性是用户名、OU。
身份目录是国网用户的权威数据源。所有国网总部的用户都从身份目录中开始创建、修 改、删除。该目录下的用户具有最全面的用户信息,它实时向认证目录和资源目录中同步
用户信息。
1.2单点登录流程
对于NoveU Access Manager产品实现的应用系统单点登录,其流程如下:
1、 用户访问某个应用系统的单点登录url;
2、 Novell访问网关截获该访问请求,展示统一的单点登录页面;
3、 用户在统一的单点登录页面中输入统一的认证用户名和密码(即在认证目录中的用户名 和密码);
4、 单点登录认证管理模块获取用户的录入信息,并与认证目录中的用户名和密码进行匹配 验证,如果验证失败则返回:用户登录失败;
5、 验证通过后,单点登录认证管理模块将用户请求的应用系统url与内部的访问控制管理 策略匹配,如果发现用户排除在允许访问的策略之外则返回:用户对指定资源的访问遭到拒 绝;
6、 用户验证通过后,同时也被内部策略允许访问指定的资源,则单点登录认证管理模
块从 该用户的映射信息中提取出当前用户在指定应用系统的认证信息,提交给应用系统的认证管 理模块;
7、 应用系统的认证管理模块验证接收到的用户映射信息,不通过则返回给单点登录认证管 理模块,然后由单点登录认证管理模块自动删除认证目录中记录的错误映射信息,并要求用 户填写正确的映射信息;
8、 应用系统的认证管理模块验证用户映射信息通过,则向用户展示巳登录信息,表示用户 通过统一的认证入口单点登录到指定的应用系统中;
9、 如果用户在巳登录的应用系统中链接访问其他应用系统,由于用户巳经通过统一的认证 入口,因此用户对其他应用系统的访问将依照第5步开始单点登录到任意授权访问的应用 系统中。
由以上过程可知,单点登录过程要跨越两个认证过程:统一的认证入口和应用系统的认 证管理模块。在认证完成后,有两处可以控制用户的访问权限,分别是通过统一认证管理模 块和应用系统认证管理模块来控制,其中应用系统认证管理模块可以进一步使用分组和角
的方式来管理用户的访问权限。统一认证管理模块只能在访问控制策略中根据认证目录中的 用户属性来控制哪些用户被允许或者被拒绝访问哪些Web资源(即应用系统url集合)。
1.3单点登录接入方式
根据Novell单点登录产品的特性,目前支持两种方式的单点登录接入方式:FormFill 自动填表方式和身份注入。这两种方式都可以实现在统一认证完毕后,把特定信息(用户 LDAP属性信息或者与应用系统用户的映射信息)传递给应用系统自身的认证模块来实现单 点登录。
1.3.1 FormFiU自动填表
通过表单进行登录的应用系统在登录时均有一个登录页面,可以对该登录页面上需要提 交的表单项设直自动填表策略。
例如,在某个登录页面中,用于实现登录的表单的名称为:login,需要提交的用于表 示用户名的变量名为:username,用于表示用户密码的变量名为password,那么填表策略 就可以
设置如下:
表单名称:login
提交的内容:
变量名称:username: 类型:text
变量名称:password; 类型:password
是否自动提交:是
该策略工作的方式:当用户访问到该页面时,如果该用户有权限访问该页面(由AM的 保护资源设置决定),该策略首先确定该页面是否存在login这个表单,如果存在,就将策 略里面定义的username,password填写到login表单对应项中(由AM的 FormFiU策略决定),并模拟用户自动提交表单。
应用系统接收到登录页面提交的用户信息后,应用系统认证模块验证用户名和密码,通 过
后返回登录成功的页面。也就是说,应用系统使用自身的认证模块来认证用户,AM实现 单点登录的方式是模拟用户填写表单并提交。
统一认证系统只负责判断用户是否允许访问资源以及传递后台应用系统所需要的信息。
1.3.2身份注入
除了通过表单提交来登录,另外一种比较常见的登录认证方式就是基本认证,简称基本 认证。
该认证的自动登录可以使用身份注入策略实现。身份注入策略默认支持基本认证的方 式。可以通过在认证目录中获取当前用户的属性信息,并自动将用户属性添加到基本认证头 信息里面以实现与应用系统的交互。如果该用户合法,基本认证通过,用户就被允许登录应 用系统。
同时,身份注入策略也可以提交自定义的头信息。也就是说如果应用系统需要其它用户 信息也包含在头信息里面,可以通过身份注入策略自定义头信息来匹配应用系统所需要的其 它信息。进一步方便了应用系统同统一认证系统的集成。
例如,一个应用,使用基本认证,同时它还需要在头信息里面传递用户的邮箱信息, 身份注入策略可以如下定义:
使用身份注入策略方式:基本认证+用户自定义头信息
基本认证:传递用户名和密码
用户自定义头信息:传递用户邮箱信息
通过该策略,当用户访问该登录页面时,身份注入策略将自动获取该用户的用户名和密码以 及用户的邮箱传递给后台应用,通过基本协议实现自动登录应用系统。
2.1国网应用系统集成分类
目前在国网统一身份管理系统中参与单点登录集成的应用系统可以分为如下四类:
1、应用系统认证模块(不包括CA认证)可直接指向LDAP目录系统。
某些应用系统使用产品(例如Bea的门户产品)管理应用系统的认证和授权,而这些 产品可能支持把用户认证直接指向LDAP目录。对于此种类型的应用系统,可以把用户认 证直接指向总部的认证目录,用户的存储和管理由总部目录来统一实现。
目前国网总部的门户即是采用该种方式完成门户系统的认证。
2、应用系统认证模块(不包括CA认证)不可直接指向目录系统,但是应用系统的用户管 理系统待建。
应用系统的用户管理系统待建,即应用系统还没有建设好自身的用户管理系统。对于此 类型的应用系统,强烈推荐用户命名遵循国网总部认证目录命名规范。按照此要求建设的应 用系统,在实现单点登录集成时,可直接通过用户名与总部的用户建立关朕。应用系统的用 户与总部目录的用户采用一致的命名规范,将来做一体化建设时应用系统的改造工作量最小 化,用户体验感最好。
3>应用系统认证模块(不包括CA认证)已经建成,应用系统用户与国网总部 目录中的用
户不存在直接关联关系。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议