单点登录案例

多应用环境下的认证与授权 詹榜华北京数字证书认证中心 信息强政 的网络信任需求 信息强政 成为电子政务建设的主题电子政务建设进入了业务驱动阶段 并开始促进体制改革互联互通 共享协同成为提高电子政务效益和效率的重要措施应用开展迫切需要防止身份假冒防止越权访问防止信息篡改防止推卸责任 我们在这里 源于GARTNER 互联互通的障碍 信息安全问题 担心互连互通会对信息系统失去控制 给系统带来新的安全风险 管理问题 缺乏信息共享的管理机制 共享范围不清 责 权 利不明 我们希望 实现的是有效控制下的局部资源共享 多应用环境下用户安全管理的需求 管理员 工作人员 应用1 应用2 应用3 解决之道 统一认证管理 如果 统一认证管理1 集中统一管理用户 机构 角色 应用等信息2 统一认证 实现单点登录3 基于角色的访问控制4 应用间信息同步和共享5 安全策略和安全管理 所需解决的重要问题 认证多种认证凭证的管理授权分级授权 自由授权路由交叉授权单点登录协议安全性异构环境的集成用户管理集中与分级管理模型安全审计安全策略设定审计 应用1 应用2 应用3 工作人员 身份认证服务 统一认证管理系统 信息服务 管理员 后台管理 数据库 统一认证单点登录 用户信息共享同步 用户管理机构管理角色管理应用管理 UAMS系统架构 管理 Administation 认证 Authentication 授权 Authorization 审计 Audit 身份认证管理 统一认证服务不同安全等级的认证用户名 口令 数字证书 USBKey 生物识别 指纹 认证凭证的生命周期管理口令有效性检查 定时更换数字证书申请 吊销 更新认证策略管理对特定系统 用户认证等级要求 安全可靠的单点登录 基于属性令牌 包含有效期和数字签名 安全可靠适用异构环境 易用集成 灵活的授权模型 灵活的授权模型基于角色基于业务权限收放自如的控制粒度系统级授权系统功能级用户授权 方便可扩展的分级授权 授权路由可控并能灵活设计上级管理员制定下级管理员路由范围自动继承的业务权限下级两种授权模型 继承业务权限可以无限制扩展授权级别授权情况可方便的监控 东城区预算管理员角色 预算审核角色 生成 授权 规范可控的系统管理 统一身份认证系统本身的管理可采用集中或分级管理安全审计员系统管理员单位管理员分级管理 分级授权模式 用户身份信息和用户的访问控制相关的授权信息均分级管理上级管理员确定下级管理员的管理范围 统一身份认证系统 信息共享与同步 同步机制与基于关系型数据库 DB 的应用系统同步WebServices技术 SOAP协议 与基于目录 LDAP 的应用系统同步采用LDAP协议和JNDI技术实现与基于域控制器的应用同步JNDI或ADSI ActiveDirectory 同步策略操作及时同步操作批量同步 根据机构 角色 应用系统等选择批量用户进行同步事后同步 应用系统集成 单点登录集成信息共享同步集成统一编码规范体系 BJCA统一认证系统接入的应用系统总数达200多个C S结构系统15个 B S结构系统190个数据库方式同步数据的系统9个 接口方式同步数据的系统累计为 190多个 LDAP目录方式同步的系统6个 两级平台的对接 统一编码规范构建统一身份认证与管理体系 实现统一入口 统一认证 单点登录和统一访问控制的目标 需建立起统一命名规则的认证管理规范 包括用户标识 角色标识 机构标识等 方便各个信息系统之间用户信息共享与交换基本信息同步 用户 机构 授权属地管理两级平台协同认证 单点登录用户在一级平台身份认证后 可直接访问另一级平台 单点登录管理 BJCA在市资源共享交换平台和领导决策平台中实现了市级平台与区县平台的对接形成了统一的编码规范石景山区 宣武区等区县平台与市级平台实现统一认证 BJCA统一认证系统典型案例 北京市领导决策支持平台北京市公务员门户北京市资源共享交换平台北京市城市管理市级平台河南省济源市 市级电子政务平台 北京市东城区北京市西城区北京市宣武区北京市海淀区北京市石景山区北京市丰台区北京市怀柔区北京市经济技术开发区 区县电子政务平台 北京市委组织部北京市卫生局北京市统计局北京市药监局北京市文化局北京市监狱管理局北京市建筑交易中心 委办局电子政务平台 2006年 BJCA自主研发的UAMS统一认证平台获得国家科技部 财政部 科技型中小企业技术创新基金 资助支持BJCA的统一认证产品 已经在市 区县委办部署各级系统20多个 接入应用200多个 积累了大量实施与集成经验 典型案例 北京市资源共享交换平台 北京市信息资源共享交换平台定位于构建全京市政务信息资源目录体系和交换体系 支撑全市基础信息数据库及其应用 支持全市各个委办局及区县之间的信息共享和业务协同 制定统一身份编码规范实现分级授权 交叉授权管理两级平台信息共享与同步两级平台协同认证 单点登录 实施效果 在市资源共享交换平台中统一认证管理系统已经整合40个应用系统全市40多家委办局 1万多个公务员通过其认证及授权 来安全获取全市政务信息资源石景山区 宣武区等区县平台与市级平台实现统一认证 统一认证的建设思想 建立统一认证授权标准体系规范 实现统一身份认证系统建设围绕整合用户 应