企业统一用户身份管理系统的设计与实现

企业统一用户身份管理系统的设计与实现

1.2实现了业务身份的互联互通统一安全组件为公司网络身份验证管理系统提供全面的安全保障。包括认证、授权、审计三个方面。统一认证实现用户身份的集中认证和门户及应用系统安全访问。通过认证服务器之间互联互通,可以实现跨部门、跨区域的级联认证。统一授权实现灵活、有效的访问控制。既可以基于组织机构的简单访问控制管理,还可将权限与角色相关联,建立基于角色的访问控制,实现部门或人员与访问权限的逻辑分离。统一审计记录每一次身份信息操作、访问请求以及日志等情况。对审计信息及时准确地配置告警处理信息,能够使企业保持运营策略和审计策略的一致性。1.3权威数据源的统一管理统一生命周期管理实现身份信息创建、变更、注销整个周期过程的统一控制与管理。在权威数据源中创建数字身份,统一同步到目录中。利用同步机制,实现目录与目录之间、目录与应用系统之间进行的用户身份信息交互,确保用户身份信息在各应用系统间一致性。2系统设计2.1企业门户和应用系统的统一身份认证系统总体结构以用户身份管理三要素为基础,着眼于提供统一、集中的身份信息管理,保证数字身份信息的完整性。如图2所示。LDAP目录服务存储企业总部与分支机构的数字身份数据,是企业范围内最完整、准确的身份库。可为认证管理系统、一体化门户及其他应用系统提供认证服务。身份管理通过指定策略,利用同步机制将目录中的身份信息与应用系统中身份信息关联起来,实现数字身份的自动创建、变更、注销,建立自动化数字身份管理模式。访问控制和身份认证管理构成统一身份认证系统,是企业门户和应用系统的统一访问入口。访问控制基于反向代理技术,利用身份注入机制实现对企业门户和应用系统的单点登录。还可通过互联身份认证管理,实现跨部门、跨区域的单点登陆。2.2schema的定义LDAP元数据模型定义目录存储的对象类、属性类、属性语法等类型,通过定义存储在不同条目下对象类型之间的关系,构成完整目录元数据模型也被称为Schema。元数据模型保存在LDIF文件中,数据按照Schema的定义赋值。用户在应用时,可以根据需要自定义Schema。为了满足企业级基础信息管理要求,需要对元数据模型进一步的完善与扩展。自定义设计三种元数据模型,分别为部门信息(如表1所示)、应用信息和用户身份信息三类。其中部门信息和应用信息在基础对象类OrganizationUnit基础上扩展相关属性;用户信息在基础对象类InetOrgPerson基础上扩展相关属性。2.3目录存储架构LDAP目录服务以树状的层次结构组织信息、以客户/服务器模式查询信息。目录树结构是否合理直接影响查询与更新信息的效率和用户使用信息的方便性。针对目前企业集团化、多元化发展趋势,设计符合企业分布式目录系统的统一目录树。统一目录树由企业整体目录树逻辑结构和企业总部与分支机构之间目录部署结构、逻辑关系两部分组成。设计总体上分为企业中心目录和分支目录两级架构,以中心目录为核心。中心目录保存企业全球范围内最为全面、准确的组织机构、用户身份、应用系统等信息。将此目录作为统一、集中的权威数据源,通过同步/复制机制收集、同步分支目录的用户身份信息,如图3所示。分支目录是中心目录的逻辑分区,保存企业分支机构范围内的织机构、用户身份、应用系统等信息。统一目录树两级架构设计实现目录存储信息的横向部署、纵向同步。设计的扩展功能保障企业基础信息平台所需认证、授权、分析等应用一致性实现。这种两级目录架构适应于企业总部及分支机构的物理位置分布,提高网络带宽利用率和各级应用系统对目录的查询效率,符合目前大型企业分布式目录系统的设计要求。3系统完成3.1统一身份认证的实现3.1.1访问控制功能统一身份认证由访问控制和身份认证管理构成。采用用户名/密码、Windows域等多种认证方式,通过身份注入机制实现门户和应用系统单点登陆。如图4所示。访问控制是门户和应用系统的统一入口,提供对访问数据的缓存服务。当用户输入用户名/密码登陆时,首先连接访问控制(实现反向代理功能),由身份认证管理系统将身份信息向LDAP目录服务进行验证。其次,通过验证的用户获得对所连接应用的访问列表。最后,通过访问控制将用户请求转发到用户所要访问的各个应用系统。身份认证管理提供集中认证服务,识别和传递身份信息。既向访问控制提供用户身份信息,同时为了实现跨区域级联认证而接收身份信息。3.1.2身份认证管理服务器企业总部和分支机构通过彼此独立的认证系统构成分区域分层次的安全领域,用户在所属的安全领域认证成功后,可以通过单点登录实现对企业门户及不同应用系统的自由访问。以用户访问OA系统为例,具体说明单点登陆的过程。(1)用户输入访问控制所代理的OA系统URL,请求访问OA,访问请求到达访问控制;(2)访问控制检查用户登陆情况。若尚未登录,利用HTTP协议的重定向机制,用户将被访问控制重定向到身份认证管理上,获取用户登录信息;(3)身份认证管理利用目录中身份信息核对获取的用户登陆信息,验证用户的合法性;(4)若用户存在且有访问门户权限,身份认证管理服务器认证成功,并将用户重定向回访问控制所代理的企业门户;(5)访问控制与身份认证管理协商,确认认证成功,并从身份认证管理上获取用户信息;(6)访问控制使用自动填表或者身份注入策略将用户名和密码等信息提交给OA系统;(7)OA系统从请求中获取到用户名和密码等用户信息后,访问OA系统用户库确定该用户是否合法;(8)如果该用户合法,OA系统向访问控制返回用户所请求的资源,访问控制缓存用户请求的资源后,将其返回给用户。3.2统一身份管理的实现3.2.1目录中的用户信息不同目录服务中存放有企业完整的用户身份信息,部分应用系统中也存有对应的信息。如果目录中用户身份信息发生更改,相关应用系统中的用户信息也需修改。相反,应用系统中只有具有权威属性的应用系统中身份信息发生改变后,目录中的身份信息才进行修改。如图5所示3.2.2目录与新建系统互联互通应用系统通过认证和授权模块管理和维护组织机构信息、用户身份信息等,在企业级的统一身份管理系统建立起来后,要求目录系统与应用系统实现无缝集成。(1)目录与已有系统集成已有系统通常都拥有一定规模及数量的组织机构、用户身份信息,由于这些信息关联业务数据和系统功能,所以不能在结构上改变系统组织机构和用户管理模块。解决的方式是利用目录同步工具实现应用系统与目录系统集成,可参考下述步骤:①将已有应用系统的组织机构管理模块变更与目录组织机构相同。②梳理目录系统与已有系统身份信息的对应关系,建立身份信息之间的映射。③配置目录同步工具,将目录中部门撤销、用户删除等组织和身份信息的变更交由目录同步工具负责完成。(2)目录与新建系统集成新建系统应严格按照统一目录结构设计组织机构和用户身份信息管理模块。分别在目录端与各应用系统端配置目录同步工具。当统一目录所存储的信息发生变化时,触发应用系统端的同步服务,更新应用系统对应的数据库信息。当应用系统数据库信息发生变化,触发目录端同步服务,更新统一目录中对应的信息。3.2.3应用编程接口为了便于目录与应用系统集成,提供企业级信息访问和处理方法,编写相应的应用编程接口。如下例所示:3.3身份管理服务器企业基础平台是应用系统的支撑平台,开放性是其基础的特点。因此完善的安全机制是系统实现的重要部分。认证方式、数据加密和访问控制策略构成系统完善的安全机制。。数字证书可存放于目录服务器之中,证书内容包括用户所在目录服务器位置信息,根据证书对用户进行授权。统一目录系统采用SSL/TLS进行数据加密,实现客户端与身份管理服务器的双向身份验证。身份管理服务器将数字证书和公钥一起发给客户端,利用此公钥对客户端随机产生的密钥进行加密。加密后的密钥只能通过服务器端的私钥进行解密,进而在客户端与身份管理服务器之间建立安全通路。统一目录系统中不同的用户其访问策略和权限管理均是不同的。系统提供完善的密码策略,规定密码唯一性与复杂性,定期要求更换密码。对管理员登陆系统限定特定IP地址段。4通过统一的用户身份管理系统实现级联管理基于LDAP的企业级目录服务为企业提供统一、安全、高效的网络资源组织与管理技术,是企业信息基础平台的核心支撑技术之一。通过对企业级身份管理三要素的分析,构建了符合分布式企业用户身份信息的元数据模型和统一目录树结构,实现了企业用户身份信息的整合与共享。系统的设计与实现为企业信息一体化平台的顺利实现提供的可靠保证,同时也为其他领域用户身份管理提供了有意的借鉴。经过多年的信息化建设,许多企业都先后建立了处理各种业务的应用系统,信息化企业初具规模。目前信息化企业通常包括企业门户、邮件系统、办公自动化系统、专业业务应用系统等。不同应用系统都拥有一套独立的用户身份管理和权限管理。随着应用系统建设的扩大和企业级业务管理流程的日趋复杂,对于用户来说,由于系统建设框架与运行管理部门的不同,造成同一用户在多个应用系统中的数字身份信息不一致,用户登录系统需要掌握大量的口令与密码,容易造成信息泄露;基于关系数据库的身份信息读取和查询较慢,降低了办公效率;对于管理者来说,系统应用规模、用户数量、用户种类的不断增长,用户和权限管理需求的不断变更,给管理带来很大的困难;对于开发者来说,用户身份管理系统的重复建设,降低了新系统的开发速度、造成开发成本增加;另外由于后台数据库不同,导致身份信息的可移植性差,不利于应用系统集成、级联。企业级统一用户身份管理系统正是解决以上问题的基础平台。系统以基于LDAP(LightweightDirectoryAccessProtocol轻量级目录访问协议)协议的统一目录服务和元目录技术为基础,将分散、重复的用户数字身份(包含企业总部和分支机构)进行整合,提供标准身份信息读取和查询方式,统一化管理数字身份的生命周期,统一企业内部身份安全策略管理和审计管理,为应用系统与此基础平台提供标准的接口