公开售前资料单点登录系统模块.pdf

Page 1 （无需信封）（无需信封） Copyright 2001-2009 i-Sprint Innovations All Rights Reserved DESIGNED, ARCHITECTED AND BUILT BY GLOBAL BANKING PROFESSIONALS FOR GLOBAL BANKS Multi-Factor Authentication & Management Solutions 世界主要银行信赖的安全方案供应商世界主要银行信赖的安全方案供应商 走走 向向 何何 方方 走向何方？走向何方？ 您的选择，我们的专业您的选择，我们的专业 走向何方？走向何方？ 终于，终于， 授权密码安全无虞！授权密码安全无虞！ （无需信封）（无需信封） 面向未来的通用认证服务器面向未来的通用认证服务器 非侵入性单点登录方式非侵入性单点登录方式 Page 2 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 安全的企业单点登录解决方案安全的企业单点登录解决方案 （无需修改任何源代码）（无需修改任何源代码） 使网络单点登录与企业单点登录能够相结合 Page 3 Copyright 2001-2009 i-Sprint Innovations 版权所有 加强安全性加强安全性 Applications Applications Applications Network Device Host Appli OS Login ID/PWD ID/PWD ID/PWD ID/PWD Organizations and Users are struggling with secure access to multiple applications using multiple authentication methods. Is there a better and more effective approach? 应用程序应用程序 应用程序应用程序 应用程序应用程序 网络设备网络设备 主机配置主机配置 操作系统登录操作系统登录 统一终端报告统一终端报告 提供活动追踪及报告功能来 报告管理任务、访问活动及 安全违例 统一凭证管理统一凭证管理 交互式用户及功能帐户用户 身份管理 特许帐户及密码使用管理 统一单点登录统一单点登录 可为webSSO应用程序及非 webSSO应用程序启用 webSSO 统一认证统一认证 支持多种认证方式 支持多步认证流程 帐户帐户/密码密码 AccessMatrix成套解决方案成套解决方案 Page 4 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 应对安全挑战的凭证管理解决方案应对安全挑战的凭证管理解决方案 统一认证统一认证 提供通用的认证和令牌管理平台通用的认证和令牌管理平台，使机构能够在多个应用程序和交付渠道中部署多个高级认证机制。 统一单点登陆统一单点登陆 完善应用于网络单点登录应用程序和非网络单点登录应用程序的认证&单点登录机制，且无需修改 应用程序，即可使用户享有单点登录到不同类型的应用程序，如桌面系统、基于主机的瘦客户机 （Citrix、微软终端服务）和Web应用程序的好处. 统一凭证管理统一凭证管理 使用合规性方式管理使用特权用户特权用户ID和密码和密码获取机密信息的活动，并防止信息和数据的泄漏。 Page 5 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved AccessMatrix 产品套件产品套件 合适的方案可以解决令牌管理和满足来自主要供应商关于安全获取和合适的方案可以解决令牌管理和满足来自主要供应商关于安全获取和IAM补充方案的多种补充方案的多种 强大认证的需求强大认证的需求 Windows 实时会议记录实时会议记录 强有力的通用认证强有力的通用认证 和授权解决方案和授权解决方案 成套解决方案成套解决方案 单点登录到单点登录到Web ，台式机或，台式机或 基于主机的应用程序，而源基于主机的应用程序，而源 代码不会发生任何变化代码不会发生任何变化 共享帐户、特权共享帐户、特权 帐户的凭证管理帐户的凭证管理 企业应用程序企业应用程序 的的 SDK/API 通用认证通用认证通用登录通用登录 通用凭证管理通用凭证管理 通用访问管理通用访问管理 SDK 表示层表示层 业务逻辑业务逻辑 数数 据据 业务逻辑业务逻辑 数数 据据 表示层表示层 安全性安全性 Page 6 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 主题主题 业务和技术挑战业务和技术挑战 AccessMatrix AxMxUSO概况概况 AccessMatrix AxMxUSO特色功能特色功能 案例分析案例分析 Page 7 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 太多账户太多账户/凭证凭证 典型的高强度IT用户有21个密码个密码！67 的终端 用户很少或从未改变他们的一些密码！ 我们怎样才能使用户免受这种复杂我们怎样才能使用户免受这种复杂 性的困扰并专注于改善用户体验？性的困扰并专注于改善用户体验？ Page 8 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 业务挑战业务挑战 效率损失效率损失 - 由于雇员被锁定而导致用户工作效率和创收活动的频繁中断 - 通过合并和收购活动整合商业实体 - 密码相关问题导致技术支持和用户支持的高成本 安全曝光安全曝光 -密码选择少和管理不善降低了安全性 -员工之间密码共享导致潜在欺诈行为 - 给应用程序整合高级认证很困难 更严格的监管要求更严格的监管要求 - 保证只有授权用户才能访问私密数据（HIPAA，GLBA），同时跟踪报告所有 访问（SOX） Page 9 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved AccessMatrix通用登录通用登录(AxMxUSO) 基于网络基于网络的单点登录解决方案使机构能安全地单点登录到Web和非Web应用程序且无需修改任何源无需修改任何源 代码代码 无需在客户端工作站手动安装软件并实现了零管理实现了零管理 - 自助安装、自助配置、自助升级、自助服务 无单点失效的无单点失效的设计可确保SSO功能总是处于可用状态，并尽可能降低操作中断的现象 与与HSM的整合的整合提供了强密钥管理功能和对用户凭证的高效加密解密功能 支持多种语言支持多种语言: 英语、简体中文、繁体中文、日语、法语、印度尼西亚语、阿拉伯语、泰语 Page 10 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved AxMxUSO概述概述 外网外网 防火墙防火墙 用户用户 手机用户或伙伴手机用户或伙伴 用户目录用户目录 External External 活动目 录 LDAP 内部用户内部用户 外部用户外部用户 审计员审计员 审计报告审计报告 系统管理员系统管理员安全管理员安全管理员 安全策略安全策略 认证策略认证策略 审计策略审计策略 应用层应用层 协议子集协议子集 策略存储器策略存储器&密码密码 库库 可选密码缓存 可选密码缓存 SSO客户客户 第三方预置工具第三方预置工具 SSO客户客户 单点登录单点登录 Windows 应用程序 网络/Flash 应用程序 瘦客户机 应用程序 Java / Applet 应用程序 主机应用程序 包装应用程序 单点登陆单点登陆 用户工作站中 运行的程序 Page 11 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 产品功能概览产品功能概览 非侵入式应用程序整合 -应用程序登录后的后续自动化 -基于离散和闲置超时安全策略的单点注销可解决操作需求和共享桌面/自助服务器站等 环境 -基于个人应用规则强制“更改密码” -启动信赖的应用程序防止仿冒网站和应用程序的袭击 灵活的认证 为桌面登录与动态目录紧密整合 初次登录的强认证设备与重置SSO凭据到应用程序前重新认证的整合 - 密码管理 自动密码生成和规则支持 自助服务设施 -业务交换功能-AD的密码重设 -业务交换功能-交易密码检索 -业务交换功能-应用程序注册 Page 12 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 应用程序及目录的应用程序及目录的“非侵入式”整合方法非侵入式”整合方法 无需改变应用程序 在动态目录或目录协定中无需改变架构 无需用户同步 无需改变桌面 无需改变GINA 无需改变网络 Page 13 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 应用程序整合应用程序整合 登录自动化登录自动化 通过AxMxUSO培训向导软件的应用程序培训 基于Windows的应用程序、基于Web的应用软件、终端仿真应用程序、基于Java的 应用程序和基于弱客户端应用程序的屏幕检测 无编码需要 AxMxUSO API适用于高级整合 API适用于Java，COM和.NET 管理API适用于与供应产品的整合 可选模块支持领先的身份验证服务器和Web SSO产品作为主要验证来源 CA SiteMinder ， IBM的Tivoli访问管理器，Sun ONE策略代理 Page 14 支持广泛的应用程序支持广泛的应用程序 Web应用程序 窗体架构，基础认证， Java 小程序，Flash，Ajax， Spring， Framework，基于Oracle JVM的应用程序 浏览器支持： IE浏览器，Firefox，Opera 桌面应用程序 基于主机的应用程序 基于弱客户端的应用程序（集中式网络环境集成软件和微软终端服务） 包装软件 Lotus Notes, Outlook,SAP,People Soft, Oracle和更多 AxMxUSO可以与新的应用程序可以与新的应用程序一起工作一起工作！ Page 15 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 技术优势（技术优势（ 1 / 2 ） 除了客户桌面界面，访问矩阵AxMxUSO是市场上唯一能够提供标 准的启动ESSO应用程序的网络界面和基于用户权利信息的个性化 应用程序列表的ESSO产品 AccessMatrix AxMxUSO是在当今市场上唯一提供零管理客户端和 最小的瘦客户端 （ 程序- . 在桌面或文件管理器上的应用程序图标 AxMxUSO桌面启动 提供一个桌面启动，允许用户启动单点登录功能的应用程序 可限制单点登录功能只适用于在启动中所列出的应用程序 AxMxUSO网络启动 提供一个网络启动，使机构可为每个用户的个性化应用程序列表提供一个 网络界面并允许用户启动单点登录功能的应用程序 可限制单点登录功能只适用于在启动中所列出的应用程序 Page 19 对对SSO应用程序访问的应用程序访问的USO客户客户&Web门户界面门户界面 可定制的门户网站界面可定制的门户网站界面桌面客户端界面桌面客户端界面 Page 21 信息共享平台信息共享平台 Page 22 信息共享平台信息共享平台 Page 23 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved Trainer Windows AxMxUSO是如何运作的？是如何运作的？ ADF 培训 了解一次每个应用程序的登录和密码了解一次每个应用程序的登录和密码 更改顺序更改顺序 目标应用程序目标应用程序 分配分配 分配访问权限到部门分配访问权限到部门/用户用户 部署部署 导入屏幕序列到安全服务器导入屏幕序列到安全服务器 AdminConsole Windows 运行运行 执行应用程序与用户的单点登录执行应用程序与用户的单点登录 Page 24 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved AxMxUSO是如何运作的？是如何运作的？ SSO客户端客户端 AccessMatrix 服务器服务器 Web服务器 主机 AS/400 Lotus Notes 策略存储策略存储&密码密码 库库 User: john.s Password: D34Tg&$# User: john.s Password: #Rfs45N AxMxUSO客客 户截取目标应户截取目标应 用程序的登录用程序的登录 对话对话 3 AxAxUSO服务器服务器 对目标应用程序对目标应用程序 返还还凭证信息返还还凭证信息 2 用户最初登录用户最初登录 到到AxMxUSO服服 务器务器 1 AxMxUSO客户客户 转发凭证给目转发凭证给目 标应用程序标应用程序 4 Page 25 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 非侵入式非侵入式SSO方式方式 SSO Client SSO客户客户 AccessMatrix 服务器服务器 Web服务器 主机 AS/400 Lotus Notes 策略存储策略存储&密码密码 库库 User: john.s Password: D34Tg&$# User: john.s Password: #Rfs45N AxMxUSO可使用户获取应可使用户获取应 用程序的记录。一旦登录，用程序的记录。一旦登录， 用户只需通过桌面点击访问用户只需通过桌面点击访问 已授权的应用程序已授权的应用程序 Page 26 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved AccessMatrix 服务器服务器 放在一起放在一起 员工员工 任选密码缓存 AxMxUSO客户端客户端 系统管理系统管理/开发者开发者 应用程序资料应用程序资料 AxMxUSO 教练教练 用户目录用户目录 External External 内部内部 外部外部 Policy Store & Password Vault策策 略存储略存储&密码库密码库 应用程序应用程序 单点登录单点登录 报告经理报告经理 事件经理事件经理 密钥经理密钥经理 权限经理权限经理 供应界面供应界面 USO 软件开发工具包软件开发工具包 自助服务自助服务 门户网站门户网站 内务处理内务处理 审计员审计员系统管理员系统管理员安全管理员安全管理员 应用程序列表应用程序列表 &凭证信息凭证信息 ADF文件文件 （应用程（应用程 序资料）序资料） PAM 认证认证行政控制台行政控制台 Page 27 USO标准功能标准功能 自动更改密码自动更改密码-如果你不想让用户知道登录到目标应用程序的密码，如果你不想让用户知道登录到目标应用程序的密码， 在密码更改过程中“自动”功能将自动产生新的密码在密码更改过程中“自动”功能将自动产生新的密码 手动更改密码手动更改密码-如果用户需要知道二次登录的密码，在密码更改过程如果用户需要知道二次登录的密码，在密码更改过程 中中“手动手动”功能将会提示用户使用新密码功能将会提示用户使用新密码 重设密码重设密码-此功能允许用户在此功能允许用户在USO的登录密码与目标应用程序不同步的登录密码与目标应用程序不同步 的情况下重置目标应用程序的登录密码的情况下重置目标应用程序的登录密码 Page 28 目标应用程序的密码规则目标应用程序的密码规则-USO客户可以在应用程序的密码策略基础上客户可以在应用程序的密码策略基础上 为目标应用程序生成密码为目标应用程序生成密码 当自动密码更改规则被启用时，密码更改过程将被自动化。当自动密码更改规则被启用时，密码更改过程将被自动化。 用户可以在离线模式下更改应用程序的密码，在在线状态下将会被同用户可以在离线模式下更改应用程序的密码，在在线状态下将会被同 步自动。步自动。 基于工作角色的登录-USO支持每个应用程序每个用户的多个登录资料 这就消除了用户在相同的应用程序中不同工作角色下要记住不同的用户 名和密码的需要。 USO标准功能标准功能 Page 29 脱机模式脱机模式-当碰到当碰到USO服务器由于网络、硬件或软件问题不能被连接服务器由于网络、硬件或软件问题不能被连接 的情况时可被用作冗余功能。也同样适用于支持高层管理人员方便的情况时可被用作冗余功能。也同样适用于支持高层管理人员方便 使用单点登录。使用单点登录。 版本控制版本控制-如果有新版本的软件提供，如果有新版本的软件提供，USO代理将会自动更新并下载代理将会自动更新并下载 到客户端工作站到客户端工作站 USO标准功能标准功能 Page 30 USO 高级功能高级功能 -无需无需SSO支持使用支持使用 Page 31 USO状态检测技术状态检测技术 独特的技术使USO在登录过程中能检测到各种状态，它可以处理非常复杂的 登录过程，并提供给用户一个全幅界面 提供应用程序 权限各种状态的全面 审计 状态状态定义定义 未运行未运行 登录前登录前 登陆后登陆后 注销后注销后 未启用未启用 无应用程序对象正在运行无应用程序对象正在运行 应用程序对象（通过进程应用程序对象（通过进程ID显示）显示） 已被检测到尚未登录。当登录界已被检测到尚未登录。当登录界 面匹配时面匹配时USO将填写登录信息。将填写登录信息。 USO客户已成功填写登录信息到客户已成功填写登录信息到 应用程序中，登录进程有效。应用程序中，登录进程有效。 USO客户已检测到用户从应用客户已检测到用户从应用 程序中注销。程序中注销。 在在USO客户中应用程序未被启用。客户中应用程序未被启用。 Page 32 应用程序整合登录自动化应用程序整合登录自动化 动态参数屏幕导航的后续自动化 单点登录注销功能，以解决操作需求和共享的桌面/公共信息查 询站等环境 USO API适用于其他整合 API适用于Java，COM和.NET 管理API可用于整合供应产品 Page 33 高级安全功能高级安全功能 为密钥保护和管理而与HSM整合 保护加密金钥 支持自动密钥更改 支持“双重密码控制”框架 单一密码字段，分裂为多个密码，并由多个用户持有 多重密码字段，并由多个用户持有 支持应用启动的重新验证 用户凭证信息的端对端信息保护端对端信息保护 Page 34 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 插入式认证（插入式认证（ PAM ） &认证领域认证领域 AxMx引擎支持多目录，多因素和多步骤认证方法 活动目录活动目录 LDAP RADIUS Kerberos NTLM E2EEA 网络令牌网络令牌 可插拔认证模块可插拔认证模块 一次性密码一次性密码帐号帐号 密码密码 PKI 数字证书数字证书 开放接口开放接口基于知识的基于知识的带外数据带外数据 认证域（多步骤认证流程）认证域（多步骤认证流程） 问答问答 图片图片 Matrix Card EMV-CAP 外部认证整合外部认证整合 Access Manager Page 35 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved Copyright i-Sprint Innovations 认证和重复认证方法的选择认证和重复认证方法的选择 ADAD AD ADAD AccessMatrix 分层架构的例子分层架构的例子 策略管理员策略管理员 分层管理员分层管理员 策略管理策略管理 应用程序管理应用程序管理 安全管理安全管理 策略管理策略管理 应用程序管理应用程序管理 安全管理安全管理 策略管理策略管理 应用程序管理应用程序管理 安全管理安全管理 应用程序管理应用程序管理 安全管理安全管理 应用程序管理应用程序管理 安全管理安全管理 Page 36 用户密码信息端对端的保护用户密码信息端对端的保护 SSO客户端客户端 AccessMatrix 服务器服务器 Web服务器服务器 主机主机 AS/400 Lotus Notes User: john.s Password: D34Tg&$# User: john.s Password: #Rfs45N 策略存储策略存储&密码密码 库库 1 在存储时密码保护在存储时密码保护 2 在传送时密码保护在传送时密码保护 3 在用户桌面的密码在用户桌面的密码 保护保护 Page 37 USO服务器管理服务器管理 Page 38 部分层次管理部分层次管理 利用基于AccessMatrix专利分段层次的策略驱动安全管理和认证框架 安全管理和代理的层次模型 -安全策略是自上而下的方式继承的 分段层次模式可以很容易地代表有效界定和管理安全规则、管理人员、 用户、部门和应用程序的组织结构 委派管理-管理员的个人资料强制义务和最低权限的隔离 具有双重控制（制造商，检查方）管理系统的选择 Page 39 AccessMatrix管理功能管理功能 细粒度管理权限 策略，分类，应用，用户，用户权利，密码重设，审计 职责执行分离 在安全管理员和系统管理员之间 在各种安全管理角色中 跨多个应用程序的用户权利单一视图 自助服务设施-密码重设/启用帐户 Page 40 规则驱动方法规则驱动方法 管理权限的粒状授权 没有超级用户 规则管理 应用管理 用户&部门管理 制造商/检查方程序 用户访问规则的控制 验证规则 时间&地点限制 用户权利 定制化的用户领域 应用控制 密码规则（密码的质量和用户配置文件） 密码更改规则 双重密码控制/重新认证 Page 41 Copyright 2001-2009 i-Sprint Innovations 版权所有 灵活的管理模型灵活的管理模型 通过继承的方法可在架构的任何层 定义管理员及安全策略。 优势：优势：允许集中或分散控制，并可 快速地改变模型。 分段架构式规则驱动模型的粒状授权模式分段架构式规则驱动模型的粒状授权模式 Page 42 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved Multi-Platform Support for AccessMatrix USO AccessMatrix USO的多平台支持的多平台支持 Database Server for Policy StoreApplication Server Server Platform Support (JRE 1.5 & Above)User Registry AccessMatrix 成套解决方案成套解决方案 用户注册用户注册 LDAP 2.0 & above Active Directory Open LDAP IBM LDAP JDBC Store 服务器平台支持服务器平台支持 (JRE 1.5 & Above) Windows 2003, 2008 IBM AIX, zLinux SUN Solaris HP UX Linux 规则存储的数据库服务器规则存储的数据库服务器 Microsoft SQLServer Oracle RDBMS MySQL IBM DB2 应用程序服务器应用程序服务器 Oracle BEA Appl Server Sun Java Appl Sever IBM Websphere Apache Tomcat Application ServerAxMxUSO客户端客户端 Windows XP Windows Vista Server 2003 / 2008 Application Server AxMxUSO 教练教练 Windows XP Windows Vista Server 2003 / 2008 Page 43 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved AxMxUSO的商业价值的商业价值 （ 1 / 2 ） 增强安全性增强安全性 不再需要记住和管理用户名和密码，通过消除弱度密码来增强安全性 保护机密信息保护机密信息 支持强有力的验证设备，加上基于离散和闲置超时安全策略基础上的 自动注销功能，降低了擅自获取机密信息的风险。 提高效率并减少技术支持成本提高效率并减少技术支持成本 -登录过程自动化以访问应用程序，提高获取商业机密信息和减少操作 错误，但它也通过降低密码重设要求降低了技术支持的成本 Page 44 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved AxMxUSO的商业价值的商业价值 （ 2 / 2 ） 法规履约法规履约 提供开箱配置的访问控制规则，以确保履约 提供以用户为中心的活动跟踪和强大的报告功能，以报告用户 活动和安全违反行为。 访问的集中管理访问的集中管理 将通过AxMxUSO用户配置API和供应系统进行整合或与标准配 置解决方案进行整合 易于易于整合整合和快速部署和快速部署 使用无任何编码的非侵入式整合方法，以实现短期投资回收期 和更高的投资回报率 Page 45 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved 供应整合供应整合 员工员工 任选密码缓存 AxMxUSO客户端客户端 External External 内部内部外部外部 策略存储策略存储&密码库密码库 应用程序应用程序 单点登录单点登录 /单点注销单点注销 应用程序列表应用程序列表 &凭证信息凭证信息 AccessMatrix Server 供应服务器供应服务器 AxMxUSO 供应界面供应界面 用户目录用户目录 Page 46 Copyright 2001-2009 i-Sprint Innovations All Rights Reserved AxMxUSO模块模块 细分层次管理授权 自助服务设施 令牌认证&管 理模块 高级认证模块 门户网站服务 器整合 单点登录整合 用于整个及提供密码 的AxMxUSO SDK CA SiteMinder 可选模块 IBM TAM Oracle Access Mgr Oracle Access Mgr Oracle权限管 理 HSM-密钥经 理 AD密码同步 双重控制 审计策略审计策略&上报上报 模块模块 密钥管理密钥管理 &HSM界面界面PAM&认证域认证域 Radius AD PAM LD