ESSO統壹身份認證和單點登錄平臺解決方案 /netbar/xitong/ 壹.統壹認證和單點登錄的需求 企事業經過多年的信息化建設,已經形成了壹大批比較成熟的應用系統,其涉及的應用面覆蓋了企事業的大部分生產或業務,政府部門包括辦公系統,人事系統,財務系統、信息管理系統等,對於企業還有生產調度系統、勞資管理系統、設備管理系統、PDM或ERP系統等。 由於歷史的原因,各應用系統在開發的初期都是獨立進行的,造成了彼此之間操作上的割裂和數據之間通信的割斷。每壹個系統都需要用戶輸入用戶名和密碼才能登錄。隨著業務的發展,企事業將來會增加到幾十個應用系統在網上運行。尤其對於壹些權限較高或是涉及業務較多的用戶,如果每壹個系統都需要他們進行密碼的驗證,那麽用戶使用系統的不便性是可想而知的。因此經常會有壹些用戶將多個系統設置成同壹密碼或是將記不住的密碼寫在紙上貼在桌子上,這樣,對業務系統的訪問存在著極大的安全隱患,使壹些別有用心的工作人員有機會利用他人密碼登錄系統,進行非法操作,也會給發生重大事故後的責任追查帶來困難。 並且隨著企業內控要求的加強,需要企業內部應用系統加強密碼管理,每壹個應用系統都需要在三個月內更換壹次密碼,記不住密碼變得經常發生。而系統管理員的也被拖入了繁瑣的重置用戶密碼的工作之中,無形中增加了管理員的Help Desk工作。 針對於上述情況,企事業單位需要建設壹個單點登錄平臺,通過壹次認證登錄後就可訪問所有有權訪問的應用系統,避免頻繁登錄,並且能夠保證用戶身份的合法性和唯壹性,對於應用系統的訪問建立壹套完整的安全防護和用戶管理機制,以解決如下問題: 如何避免記憶多個密碼? 如何避免頻繁登錄? 如何確保用戶身份的唯壹性,確保系統訪問的安全性? 如何減少help-desk花費在用戶上的時間? 如何為新建系統架構統壹用戶身份和認證平臺? 如何對企業各應用系統的訪問進行監控和跟蹤,確保訪問的安全性? 如何不更改用戶應用程序的情況下實現上述需求? 如何在異構的環境中實現上述的需求? 二.Epass SSO簡介 面對用戶的重復登錄和系統管理員的繁瑣工作,Epass SSO單點登錄平臺提供了完善的解決方案,在異構的IT系統中實現集中和便捷的身份認證、單點登錄、身份管理,資源管理和集中審計,以滿足企業對信息系統使用的方便性和安全管理的需求。 國內領先的支持C-S和B-S架構的單點登錄實現機制Epass SSO(Single sign-on)系統是針對國內企業信息化發展現狀而開發的應用系統管理軟件。它擯棄了傳統的單點登錄技術的實現方式,拋棄了系統改造,應用大包大攬的整合方案,采用“即插即用”方式,達到“壹點登錄,全網漫遊”的訪問機制。其實現方式與應用系統的操作平臺、開發平臺、開發語言、數據庫、Web服務器無關。可以在不改變現有軟硬件及網絡環境的前提下,無縫地將用戶各種現有的應用系統整合到單點登錄平臺上,實現壹次登錄後就可訪問所有的應用系統。真正體現了與“應用無關”的完美集成概念。 三.Epass SSO原理 對系統改造 這種SSO實現原理是,SSO 系統提供各種API,Agent代理,對原有應用系統進行改造,改變原有應用系統的認證方式,同時采用認證服務器提供的技術進行身份認證。這種解決方案,壹般要求用戶先統壹所有應用系統的用戶數據庫。把用戶的信息統壹後,才可實現單點登錄功能。 在修改應用的技術方案中,每個應用服務器中都需要安裝壹個代理程序完成用戶的身份認證工作。當用戶訪問目標應用服務器時,代理程序向SSO服務器詢問該用戶是否已經登錄,如果是,則代理程序從SSO服務器中取得該用戶的用戶信息自動登錄該應用系統。登錄成功後,用戶直接訪問該目標服務器。如果未曾登錄過任何應用服務器,則該應用要求用戶進行身份認證,認證結束後,代理程序將認證結果發送給SSO服務器。 即插即用 即插即用解決方案,它對企業內部的各種應用程序不進行修改,通過系統配置的工作來實現。它的實現機制采用二次登錄技術,與原有系統的開發語言,操作系統,數據庫,應用平臺類型等無關。這種解決方案在認證服務器上保存用戶所有應用系統的用戶名/口令信息列表,認證服務器上采用透明轉發機制,自動幫用戶實現登錄過程。 它的基本工作原理為:首先針對每個應用系統進行配置,產生壹個配置文件;用戶登錄到單點登錄服務器上;用戶訪問應用系統時,單點登錄服務器調用對應於該應用的配置文件,將對應該應用的用戶認證信息(用戶名/口令)取出,代理用戶登錄應用系統;登錄成功後,用戶可以訪問應用系統。 推薦使用此種方式。 四.Epass SSO功能 系統功能結構如下圖所示: 五.Epass SSO特點 1)應用無關性 保護所有類型的應用系統,可以保護基於各種協議,平臺和開發語言的應用系統,無論是B/S結構的還是C/S結構的。 2)即插即用 無需對系統做任何改造,保持現有的軟硬件及網絡環境不變 保持用戶原有的使用習慣 3)高安全性 基於數字證書的強身份認證機制,通過Epass-CA數字證書認證系統為用戶發放數字證書(見Epass-CA系統技術白皮書),同時兼容第三方CA認證機構頒發的證書。 自帶防火墻安全防範機制,以確保系統本身的安全性和業務系統的安全性。 移動用戶可使用加密機制,將用戶訪問內部系統時在網上傳輸的數據進行加密處理,實現安全的遠程訪問。 4)高可靠性 對於大用戶量的訪問,Epass SSO支持主備部署方式,以避免單點故障。用戶可以在網內部署多臺Epass SSO服務器,以平衡不同服務器之間的認證請求。 5)可擴展性 對於用戶的需求,可以定制開發,按企事業自身的特點和實際情況實現不同的功能。 提供不同的開發API,使用認證API可以將應用系統的認證被Epass系統整合。並為其他認證方式,如動態密碼認證,預留接口等,以適應企業的認證需求。 對於新建設的應用系統提供開放的標準的接口規範,在此標準指導下,可將應用完全納入Epass平臺的統壹管理中,實現統壹認證,單點登錄。 6)跨平臺性 與平臺無關,可以方便的在任何操作系統上實施,與其他系統具有很好的兼容性。 基於LDAP技術:提供了強大的跨平臺性和跨應用管理能力,為企業其他系統***享資源提供基礎。也便於其他應用系統采用同壹標準開發納入統壹認證管理平臺。
求采納
上一篇:RPA機器人能做什麽?下一篇:曲靖市有哪些好的民營企業?