1統一用戶管理平臺軟件開發
1.1實現目標
統一用戶管理平臺是為各個渠道接觸系統提供統一入口,實現企業基礎庫的用戶管理、權限管理和身份認證服務。把功能組件和服務化,并制定相應的合用規范、標準和指引,在此基礎上實現各應用領域之間的互信雙向單點登陸功能,主要目標有:- 在東莞地鐵信息化平臺內,統一為各業務系統提供身份認證服務。
- 整合多業務系統認證功能,包括現有系統如OA、ERP、HR等
- 遵循集中認證、分散鑒權的原則,認證后代表的身份及身份對應的權限遵循現有渠道接觸系統的業務規則。
- 在東莞地鐵公司內實現開發數據同步
- 實現多層次的安全級別體系
1.2系統功能及架構
平臺的系統架構如下圖所示,主要包括以下部分:- 門戶系統(Portal ):各業務系統信息資源的綜合展現;
- 平臺管理系統 :平臺用戶的注冊、授權、審計;各業務系統的配置;門戶管理;
- CA 系統 :平臺用戶的數字證書申請、簽發和管理;
- 用戶統一認證 :用戶身份的 CA 數字證書認證、認證過程的 SSL 加密通道;
- 單點登錄(SSO):業務系統關聯( mapping )、訪問控制、訪問業務系統時信息的加密簽名和 SSL 加密通道。
圖片 1基于 CA 認證的統一身份管理平臺架構
1.3系統的實現和安全機制
用戶注冊和授權- 企業每一個用戶在平臺完成用戶注冊,得到自己的統一帳戶( passport );
- 如果采用證書文件或 USB 智能卡認證方式,則 CA 系統自動為平臺用戶簽發數字證書,并與用戶的統一帳戶對應。
- 注冊的用戶可以由管理員進行分組,并根據分組設定相應的業務系統訪問權限。
接受統一認證的業務系統必須完成以下工作:
- 安裝業務系統訪問前置并配置證書和私鑰,用以建立客戶端與業務系統之間的 SSL 加密通道,并接收處理平臺提供的加密簽名的用戶認證信息;
- 提供關聯( mapping )接口和訪問驗證接口,并在平臺進行配置。關聯信息主要是平臺統一帳戶與業務系統用戶信息(可能包括業務系統的用戶名和密碼)的對應關系。
圖片 2 系統的實現和安全機制
1.4用戶統一認證
如圖 10 所示,用戶統一認證過程采用 SSL 加密通道保證安全性。認證服務器負責 SSL 加密通道的建立。- 對于口令認證方式,認證服務器配置為單向 SSL 加密通道,客戶端不需要證書;
- 對于證書文件或 USB 智能卡認證方式,認證服務器配置為雙向 SSL 加密通道,客戶端必須提供用戶證書,并由認證服務器完成對用戶證書和用戶身份的校驗;
1.4.1用戶的業務系統關聯( mapping )
用戶通過平臺認證后,第一次訪問業務系統時,平臺根據業務系統的配置自動生成業務關聯頁面,要求用戶進行關聯:- 用戶輸入業務系統的用戶信息(可能包括業務系統用戶名和密碼);
- 關聯信息連同時間戳被平臺的訪問控制服務器進行加密和簽名(業務系統證書加密,平臺私鑰簽名,時間戳用于防止重放攻擊);
- 加密簽名的關聯信息通過 SSL 加密通道,傳遞至業務系統訪問前置,并由其進行解密驗證后交給業務系統驗證;
- 關聯信息驗證通過,則平臺將用戶統一帳戶與業務系統用戶信息建立對應關系,以備正常訪問業務系統時使用。
1.4.21.5用戶對業務系統的正常訪問
如圖 10 所示,如果用戶完成了平臺統一帳戶與業務系統用戶信息的關聯,則在通過平臺認證后訪問業務系統時:- 平臺根據要訪問的業務系統 ID 和會話( session )中的用戶統一帳戶,查詢用戶的業務系統關聯信息;
- 將相應信息和時間戳由訪問控制服務器加密簽名并經由客戶端,通過 SSL 加密通道,傳遞至業務系統訪問前置,并由其進行解密驗證后交給業務系統驗證;
- 業務系統驗證通過后,自動跳轉進入業務系統。
聯系方式:北京軟件開發公司
電話:010-52895342,400-886-7161
郵件:service@hivekion.com
網址:http://www.51400.net
【北京華盛恒輝科技有限公司 ——(hivekion)是一家軟件定制開發公司,在軟件產品研發與服務,華盛恒輝堅持穩健經營、持續創新、開放合作,在安全生產、大數據處理等領域構筑了端到端的解決方案優勢,為企業客戶提供有競爭力的IT解決方案、 產品和服務。】