資源描述:
《單點登錄案例》由會員上傳分享,免費在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�、多應(yīng)用環(huán)境下的認(rèn)證與授權(quán)詹榜華北京數(shù)字證書認(rèn)證中心“信息強(qiáng)政”的網(wǎng)絡(luò)信任需求“信息強(qiáng)政”成為電子政務(wù)建設(shè)的主題電子政務(wù)建設(shè)進(jìn)入了業(yè)務(wù)驅(qū)動階段,并開始促進(jìn)體制改革互聯(lián)互通��、共享協(xié)同成為提高電子政務(wù)效益和效率的重要措施應(yīng)用開展迫切需要防止身份假冒防止越權(quán)訪問防止信息篡改防止推卸責(zé)任我們在這里源于GARTNER互聯(lián)互通的障礙信息安全問題:擔(dān)心互連互通會對信息系統(tǒng)失去控制��,給系統(tǒng)帶來新的安全風(fēng)險;管理問題:缺乏信息共享的管理機(jī)制��,共享范圍不清����,責(zé)、權(quán)�、利不明。我們希望:實現(xiàn)的是有效控制下的局部資源共享用戶名輸入用戶名/口令登錄口令多應(yīng)用環(huán)境下用戶安全管理的需求對于管理員每個應(yīng)用都對應(yīng)一套用戶
2�����、管理���,針對一個用戶���,無論增/刪/改,都需要多次操作每個應(yīng)用都有不同的權(quán)限管理�,復(fù)雜的操作帶來安全隱患對于應(yīng)用系統(tǒng)各應(yīng)用信息資源不共享,形成信息孤島應(yīng)用系統(tǒng)對認(rèn)證�����、訪問控制的安全措施不完善��,滿足不了安全需求,影響整個安全保障體系的建設(shè)管理員工作人員應(yīng)用1應(yīng)用2應(yīng)用3對于用戶記憶針對多個應(yīng)用的多個憑證訪問多個系統(tǒng)需要多次登陸用戶只需一個憑證只需一次登錄應(yīng)用系統(tǒng)信息資源整合信息統(tǒng)一標(biāo)識規(guī)范和接口規(guī)范管理員信息的一致性集中管理安全保障體系用戶管理統(tǒng)一的安全策略服務(wù)解決之道——統(tǒng)一認(rèn)證管理如果…統(tǒng)一認(rèn)證管理1��、集中統(tǒng)一管理用戶�����、機(jī)構(gòu)�、角色、應(yīng)用等信息2���、統(tǒng)一認(rèn)證,實現(xiàn)單點登錄3�、基于角色的訪問
3、控制4����、應(yīng)用間信息同步和共享5、安全策略和安全管理所需解決的重要問題認(rèn)證多種認(rèn)證憑證的管理授權(quán)分級授權(quán)��,自由授權(quán)路由交叉授權(quán)單點登錄協(xié)議安全性異構(gòu)環(huán)境的集成用戶管理集中與分級管理模型安全審計安全策略設(shè)定審計審計(Audit)用戶管理Administration授權(quán)管理Authorization單點登陸Singlesign-on認(rèn)證管理AuthenticationUAMS應(yīng)用1應(yīng)用2應(yīng)用3工作人員身份認(rèn)證服務(wù)統(tǒng)一認(rèn)證管理系統(tǒng)信息服務(wù)管理員后臺管理數(shù)據(jù)庫統(tǒng)一認(rèn)證單點登錄用戶信息共享同步用戶管理機(jī)構(gòu)管理角色管理應(yīng)用管理UAMS系統(tǒng)架構(gòu)管理(Administation)認(rèn)證(Authenti
4����、cation)授權(quán)(Authorization)審計(Audit)身份認(rèn)證管理統(tǒng)一認(rèn)證服務(wù)不同安全等級的認(rèn)證用戶名/口令,數(shù)字證書���,USBKey�����,生物識別(指紋…)認(rèn)證憑證的生命周期管理口令有效性檢查�����、定時更換數(shù)字證書申請���、吊銷�、更新認(rèn)證策略管理對特定系統(tǒng)����、用戶認(rèn)證等級要求安全可靠的單點登錄基于屬性令牌,包含有效期和數(shù)字簽名�,安全可靠適用異構(gòu)環(huán)境,易用集成靈活的授權(quán)模型靈活的授權(quán)模型基于角色基于業(yè)務(wù)權(quán)限收放自如的控制粒度系統(tǒng)級授權(quán)系統(tǒng)功能級用戶授權(quán)訪問角色業(yè)務(wù)權(quán)限業(yè)務(wù)權(quán)限應(yīng)用系統(tǒng)用戶資源(業(yè)務(wù)權(quán)限)角色用戶角色定義角色關(guān)聯(lián)授權(quán)模型一:基于角色的授權(quán)直接授予業(yè)務(wù)權(quán)限授權(quán)模型二:基于業(yè)務(wù)
5�����、權(quán)限的授權(quán)東城區(qū)財政管理員方便可擴(kuò)展的分級授權(quán)授權(quán)路由可控并能靈活設(shè)計上級管理員制定下級管理員路由范圍自動繼承的業(yè)務(wù)權(quán)限下級兩種授權(quán)模型�,繼承業(yè)務(wù)權(quán)限可以無限制擴(kuò)展授權(quán)級別授權(quán)情況可方便的監(jiān)控東城區(qū)預(yù)算管理員角色預(yù)算審核角色市財政管理員市預(yù)算管理員角色預(yù)算審核角色生成授權(quán)規(guī)范可控的系統(tǒng)管理統(tǒng)一身份認(rèn)證系統(tǒng)本身的管理可采用集中或分級管理安全審計員系統(tǒng)管理員單位管理員分級管理-分級授權(quán)模式。用戶身份信息和用戶的訪問控制相關(guān)的授權(quán)信息均分級管理上級管理員確定下級管理員的管理范圍統(tǒng)一身份認(rèn)證系統(tǒng)安全審計員系統(tǒng)管理員(初始)系統(tǒng)初始化安全審計管理員管理用戶管理授權(quán)管理單位管理員系統(tǒng)管理員角色管
6�、理用戶管理機(jī)構(gòu)管理資源管理配置管理產(chǎn)生管理員用戶管理授權(quán)管理產(chǎn)生下級管理員下級單位管理員……信息共享與同步同步機(jī)制與基于關(guān)系型數(shù)據(jù)庫(DB)的應(yīng)用系統(tǒng)同步WebServices技術(shù)(SOAP協(xié)議)與基于目錄(LDAP)的應(yīng)用系統(tǒng)同步采用LDAP協(xié)議和JNDI技術(shù)實現(xiàn)與基于域控制器的應(yīng)用同步JNDI或ADSI(ActiveDirectory)同步策略操作及時同步操作批量同步:根據(jù)機(jī)構(gòu)�、角色�、應(yīng)用系統(tǒng)等選擇批量用戶進(jìn)行同步事后同步。應(yīng)用系統(tǒng)集成單點登錄集成信息共享同步集成統(tǒng)一編碼規(guī)范體系BJCA統(tǒng)一認(rèn)證系統(tǒng)接入的應(yīng)用系統(tǒng)總數(shù)達(dá)200多個C/S結(jié)構(gòu)系統(tǒng)15個�����,B/S結(jié)構(gòu)系統(tǒng)190個數(shù)據(jù)庫方
7�、式同步數(shù)據(jù)的系統(tǒng)9個,接口方式同步數(shù)據(jù)的系統(tǒng)累計為:190多個���,LDAP目錄方式同步的系統(tǒng)6個兩級平臺的對接統(tǒng)一編碼規(guī)范構(gòu)建統(tǒng)一身份認(rèn)證與管理體系��,實現(xiàn)統(tǒng)一入口、統(tǒng)一認(rèn)證��、單點登錄和統(tǒng)一訪問控制的目標(biāo)��,需建立起統(tǒng)一命名規(guī)則的認(rèn)證管理規(guī)范��,包括用戶標(biāo)識�����、角色標(biāo)識�、機(jī)構(gòu)標(biāo)識等���,方便各個信息系統(tǒng)之間用戶信息共享與交換基本信息同步(用戶、機(jī)構(gòu))授權(quán)屬地管理兩級平臺協(xié)同認(rèn)證�、單點登錄用戶在一級平臺身份認(rèn)證后,可直接訪問另一級平臺���,單點登錄管理BJCA在市資源共享交換
