|
一、概述
目前企业内的IT系统越来越多,由于平台定位不同,功能侧重、设计方法和开发技术也有所不同,从而形成了各自独立的帐户库和帐户认证体系。随着企业业务的发展和业务平台的增多,用户需要记忆多种账户,每次访问一个业务平台前都需要提供相应的身份认证信息,这带给用户不方便的使用感受,同时也不利于企业推广多种业务的捆绑销售。
统一认证平台将为企业的各个业务系统/平台提供统一的认证入口,为业务平台提供统一的认证接入界面和统一的认证处理流程,在同一个业务系统框架内实现一次登录全网通行,在业务平台之间实现一次认证全业务访问。
二、目标
业务目标
统一认证的业务体系分为互联网业务入口的基础认证和用户账号的映射管理。
基础认证是指提供面向业务使用的基本认证功能;
用户帐号映射是指统一认证平台为各业务平台提供用户在相关平台对应的帐号,实现不同业务平台账户的统一管理。
技术目标
与支撑系统的用户认证服务模块对接,建立并维护用户帐号的关联映射,为单点登录及将来的统一用户管理、统一用户标识奠定基础。
与业务系统建立信任关系,实现单点登录(SSO)。
建立统一认证门户,提供用户统一的认证入口
三、系统架构
统一认证平台的系统架构如下图所示,主要包括统一认证门户、系统管理、SP接口、核心模块、认证接口等部分组成。
统一认证门户主要用于提供用户连接互联网后的统一登录服务和客户自服务功能。
管理门户主要包括系统SP管理、配置管理、统计报表、日志管理、安全管理系统监控等系统运行维护所必需的功能模块。
SP接口负责实现与SP应用系统的对接。
核心服务包括身份认证、单点登录、帐号映射、密钥管理、目录服务等系统核心对外提供服务。
认证接口模块实现与相关认证平台的等系统认证接口的调用。
四、主要功能模块
SAML2处理模块
实现对SAML2.0的请求和应答的接口封装。
认证接口模块
为UAC提供用户身份认证的请求处理。
日志处理模块
提供日志统一记录的接口,提供日志的迁移功能。
SSO流程定义模块
为了SSO的通用性满足不同的业务需求,提供SSO每个业务流程是可以定制的,可以为UCA提供通用的如直接在UAC登录、SP向UAC申请身份认证请、帐号关联、删除帐号关联和签退等流程,也可以为不同的SP定义特定的流程。
SSO流程控制模块
作为UAC的一个SSO简单流程控制引擎,根据SSO流程定义实现业务的扭转。
SP接口模块
实现UAC与SP间的交互的接口,用于响应SP向UAC请求和应答。
用户映射模块
实现用户帐号的映射关系的维护和管理。
会话管理模块
为UAC对每个用户在UAC上的生命周期内的管理和控制。
认证门户
主要提供在UAC门户上提供给用户的操作页面
五、系统特点
功能体系结构设计合理,技术先进成熟,具有可移植性、跨平台等特性;
系统总体运行稳定,功能基本完善;
在本系统中业务功能模块都以服务的形式进行封装实现,这样极大提高系统的灵活性与通用性;
将业务体系分为互联网业务入口的基础认证和用户账号的映射管理2部分,层次清晰,管理简化。
|
鸿程产品
鸿程翼机通