時光軟件門戶和統一身份認證解決方案陜西時光軟件有限公司2011年9月目錄目錄21綜述31.1統一身份認證系統41.2單點登錄系統41.3門戶系統42方案概述52.1建設原則52.1.1基于良好的信息化建設頂層設計規劃52.1.2平臺的安全性和穩定性52.1.3可持續性發展性52.2建設目標53軟件簡介73.1時光門戶系統介紹73.2時光身份與訪問管理套件介紹74產品和相關技術介紹94.1統一身份認證技術94.2時光門戶系統114.2.1產品功能114.2.2產品特點114.3組織機構建模工具144.3.1產品功能144.3.2產品特點154.3.3支持動態口令164.4用戶資料同步服務管理164.5單點登錄服務194.5.1時光CicroCAS體系結構214.5.2安全性214.6LDAP目錄服務224.6.1企業級的單點登錄解決方案234.7服務倉庫管理235典型案例241 綜述當前，復雜的計算機應用環境通常包括了很多業務應用，常見的有：辦公自動化、財務信息查詢、圖書資料借閱管理、電子郵件系統、一卡通系統、各類業務應用系統、網絡設備和服務器管理等應用。應用越來越多，用戶需要頻繁登錄各個系統，尋找各種業務功能進行日常業務處理。當碰到一些不常用到的業務功能時，甚至要反復查找甚至尋求幫助。如何提高用戶的使用體驗成為信息化建設工作中的一個重點。系統管理員對用戶資料管理、開戶、銷戶、凍結、解凍、密碼同步等日常操作需要在多個系統中進行處理，用戶也需要記憶大量賬號密碼，應用比較繁瑣。同時，很多用戶行政層級較多，人員管理分散，如何整合分散在各個層級用戶，進行統一的信息化基礎設施建設也是當前需要面對的問題。此外，各個應用系統中提供的信息多種多樣，產生時機不盡相同。為了保證業務的順利進行，往往要求用戶在各個系統中經常的查看各種信息。如何對業務內容進行統一管理，對內容的展示進行有序管理，讓符合業務權限的人員及時看到完整的信息，讓關心業務內容的人能夠看到自己關心的內容，這些業務個性化也是當前要解決的問題。無論是用戶使用體驗、應用整合、業務內容，還是個性化服務，時光軟件提供的“門戶與統一身份認證解決方案”能夠幫助用戶在這些方面進行改善，以達到滿足業務需求、改善用戶體驗、以服務為導向的職能變化：l 各個系統都需要身份認證并且對不同用戶角色授權l 統一應用入口，單點登錄l 對后臺多個應用進行集成l 統一的信息共享與發布l 為不同用戶提供不同權限、完全個性化的信息交互能力1.1 統一身份認證系統統一身份認證系統將同一個用戶在所有應用系統中的權限和身份統一管理和分發。這樣一來，各個應用系統只需保留角色和權限控制，用戶相關的數據統一保存在身份認證服務器中，用戶和角色的管理由應用系統自行管理，從而簡化了應用系統中用戶管理模塊的建設。1.2 單點登錄系統用戶從一個統一的登錄界面登錄應用系統，訪問不同的系統時只需要輸入一次用戶名和密碼就可以了，使用方便，使用戶在完成身份認證后無須再次登錄就可以接受其他信息服務系統提供的服務。另外，為了更多的支持不同安全等級用戶的需要，例如領導、重要人員、普通用戶等，他們可以相應通過數字證書認證、用戶名/口令認證、動態口令令牌等不同安全等級的認證方式登錄使用系統。1.3 門戶系統通過和共享數據中心和統一身份認證系統的結合，能夠將各個業務應用信息集成在一起，讓最終用戶能夠很輕松地發布、共享和查找信息，并可以根據自身要求管理相關信息，最終提供統一獲取信息和發布信息的平臺。同時通過門戶平臺對RSS標準的支持，從Internet網絡共享和采集相關信息。另外，任何一個系統用戶都可以根據自己的對信息的需要和喜好，創建屬于自己的個性化信息交互頁面。在這一解決方案中，使用了時光軟件如下產品：1) Cicro WebCarrier Identity 時光身份與訪問管理套件2) Cicro WebCarrier Portal 時光門戶管理系統2 方案概述2.1 建設原則2.1.1 基于良好的信息化建設頂層設計規劃信息化的建設不僅僅是計算能力、網絡通訊等基礎設施的建設，也是新思路、新觀念、新模式的嘗試和探索，它對用戶的日常工作、管理帶來新的要求和挑戰， 一個好的信息化頂層設計應該適應業務和管理工作發展的要求及時代的挑戰。在信息化規劃中，要制定切實可行的建設思路，有計劃、有步驟、統一協調實施。2.1.2 平臺的安全性和穩定性 安全穩定是全部系統正常運行的基本保證，否則，再好的應用系統都不能發揮它應有的功能，只能是形同虛設，會造成很大的損失。在整個系統的規劃實施時就應該從技術及管理層面充分考慮安全性和穩定性。 2.1.3 可持續性發展性 信息化建設也不可能一蹴而就，它是一項長期而艱巨的任務，可持續性發展是信息化建設的生命力所在，規劃必須堅持可持續性發展的原則，考慮分期建設的系統之間的平滑銜接，注重建設的連續性、保護投資。同時，必須通過信息化建設，培養建立一支穩定的、高素質的、專業化的技術隊伍，創建一個規范的應用軟件項目建設管理模式，為后續的應用建設和發展打下基礎，提供可持續發展的動力。2.2 建設目標通過門戶和統一身份認證系統的建設，可以快速將各類應用、數據資源和互聯網資源集成到時光的Portal管理平臺之上，并以統一的用戶界面提供給用戶，可以快速地建立對客戶、對內部員工和單位對單位的信息通道, 使用戶能夠釋放存儲在內部和外部的各種信息。 用戶需要靈活的利用Portal整合展現在業務應用中的各種需求，人性化的主動參與門戶的設計、調整和應用，這對Portal的整合、展現能力提出了更高的要求。 許多組織未來可預見的增長空間都非常大，從訪問系統的用戶數量到預期的業務擴展都具有很大的增長性。因此不僅要求門戶系統在訪問量和并發量上能夠進行擴展，也要求在功能和業務系統整合上進行擴展，以保護投資，適應將來的需要。 因此，提供統一身份認證系統也是門戶解決方案中必不可少的，它可以整合其它第三方應用，快速達到界面上的整合和調整。在統一身份認證系統中，廣大用戶和系統管理人員可以根據業務實際情況，靈活進行集中式、集中分布式管理。既可以由數據中心統一進行用戶信息、應用角色等管理，也可以進行分級分部門進行管理維護。用戶也是這一解決方案建設的受益者。通過統一身份認證系統的建設，用戶信息可以及時快速的在各個系統中同步，用戶不需要記憶各個應用系統的賬戶密碼，可以一次登錄，各處使用。建設基于單點登錄機制的統一身份認證體系，以及集成進來的不同業務系統，用戶可以實現一次登錄后，就可以訪問這些具有相互信任的應用系統，完成這些應用系統中與用戶相關的業務，用戶的體驗得到了改善。通過統一身份認證系統的建設，有效的梳理用戶以及用戶歸屬、權限、角色、崗位等信息；建立單點登錄機制，有效整合各個應用，為業務發展奠定一個良好的信息化基礎。3 軟件簡介3.1 時光門戶系統介紹組件是否必選功能描述時光門戶管理系統必選支持JSR168規范；支持用戶自定義頁面布局；支持用戶自定義門戶應用；支持復雜Portalet權限描述；支持URL集成、Iframe集成、Webclipping集成、RSS集成等；支持SSO、硬跳轉；提供統計和監控；提供快速開發模板門戶小應用自帶提供天氣預報、航班查詢、列車查詢、通知公告、站內消息、待辦事宜、通訊錄、寫字板、萬年歷等小應用3.2 時光身份與訪問管理套件介紹時光軟件推出的身份于訪問管理套件，由如下可選組件構成：組件是否必選功能描述組織機構建模管理必選提供用戶類型、組織機構、外部組織、崗位、應用角色管理；用戶資料導入導出；提供基于WebServices和RMI方式第三方接口用戶同步服務管理可選用戶同步服務管理、同步指令自動和手動下發；同步服務監控；快速同步服務開發支持（目前已經支持谷歌、華三、銳捷、智慧、新中新等20多個著名廠商應用同步）單點登錄服務可選SSO（單點登錄）服務器系統CicroCAS，包括服務器端軟件和客戶端軟件，支持多種Web應用客戶端LDAP目錄服務可選用于大用戶量高并發環境下的目錄服務器系統，通過用戶同步服務管理模塊進行用戶資料同步服務倉庫管理可選管理基于SOA架構的服務，權限管理和分配；服務定義和監控；服務密鑰分發備注：服務倉庫管理通常和ESB、交換平臺協同工作。簡單的統一身份認證系統可以不使用服務倉庫，而直接采用配置文件的方式工作。4 產品和相關技術介紹4.1 統一身份認證技術統一身份認證技術主要解決同一個用戶在所有應用系統中的權限和身份統一管理和分發，以及用戶如何在各個應用系統間進行認證和漫游的問題。統一身份認證技術主要包括下面幾個內容：l 集中統一的賬戶資料管理和密碼管理l 集中統一的用戶屬性和權限管理l 用戶資料在各個應用系統間同步問題l 用戶在各個應用系統中的登錄、權限控制和漫游時光Identity套件包括了統一賬戶資料和密碼管理，提供了統一的用戶屬性和權限管理。Identity套件支持用戶同時使用多種身份認證方式。無論是使用CicroCAS服務進行身份驗證，還是通過WebServices或RMI，甚至是DLL方式進行身份認證，都能夠讓應用系統方便的進行用戶身份的校驗和用戶屬性的獲取。通過用戶屬性，應用系統可以進行用戶的身份、角色、崗位的區分，以提供不同的業務權限。時光Identity套件還包括了靈活而強大的用戶同步服務管理系統，通過同步服務，可以和其他應用系統的賬戶信息進行密碼和賬戶信息的同步。通常，應用系統整合包括三種方式：l SSO 單點登錄服務SSO方式最為徹底，功能也最為強大。進行SSO改造的應用系統之間不僅可以免去重復輸入賬號密碼之苦，還可以直接跳轉到其他應用的任意位置，我們成為深鏈接。通過深鏈接技術，可以讓門戶、報表等應用中無縫集成其他應用系統的各個功能頁面，不再有系統與系統之間的界限。SSO方式最大的缺點是需要被集成的應用廠商根據統一認證規范，修改其用戶登錄和身份驗證功能。但是通常這種修改的工作量非常小。l 應用程序提供認證服務接口如果應用程序廠商提供認證服務接口，可以解決各個系統之間賬號口令不統一的問題。但是，用戶仍然需要使用相同的賬號口令在各個系統中進行重復登錄操作。通常，應用廠商提供認證服務接口的目的不僅僅用于整合登錄時的身份驗證，更多的是通過接口完成和外部系統的賬戶同步，如自動開銷戶、自動凍結解凍、自動更新用戶身份資料等等。l 基于用戶資料同步的WEB頁面跳轉WEB頁面跳轉是最容易實現的WEB應用集成技術。頁面跳轉的實質是用應用程序模仿用戶登錄操作，把統一一致的用戶名和密碼提交給下一個應用系統的登錄頁面，以登錄到這個應用系統中。頁面跳轉不需要修改應用系統，但是應用中受到很大的局限性。頁面跳轉無法跳入要求輸入驗證碼或類似機制的系統中。頁面跳轉必須和用戶身份同步系統共同工作，因為沒有哪個應用系統可以讓不存在的用戶跳轉進去。因此，無論跳轉使用的是系統保存的統一密碼，還是在第一次有效跳轉前系統自動保存下來的賬號密碼，頁面跳轉機制的正常工作都需要用戶身份同步系統的配合。同時，頁面跳轉很容易被即將跳入的應用系統截獲統一身份認證系統的用戶口令，造成安全風險。為降低頁面跳轉的風險，時光軟件提供了基于“一次性口令”的頁面跳轉跳轉機制，比較好的規避了傳統跳轉方案中，“一處泄密、處處泄密”的問題。時光統一身份認證體系中，人員ID和登錄名分開，每個用戶提供三個口令，且每個口令都可以設定不同的加密方式，大大提高了用戶統一身份認證中，通過頁面跳轉帶來的口令安全。盡管頁面跳轉有諸多不妥，由于不需要修改應用系統就能夠提供有限的集成能力，頁面跳轉在實際應用中也比較常見。在一個整合項目中，上述三種方式通常結合使用。根據將要整合系統的特點，以及和應用系統原廠商或供應商的談判情況而確定采取何種技術進行整合。4.2 時光門戶系統網絡門戶一詞源于英文中的Portal，又稱web portal，portal site，原意是“入口”或“正門”。現在通常認為網絡門戶就是網上瀏覽者的出發地點。4.2.1 產品功能時光門戶系統是集中解決用戶使用體驗、應用整合、業務內容，和個性化服務綜合平臺。系統基于J2EE技術，通過配合時光統一認證產品，快速實現企業級后端內容展現，以及企業級后端應用交互的平臺。門戶系統提供了快速開發、低成本開發能力，以滿足來自不同的應用系統，不同數據源，不同平臺的無數各種類型的數據和資源的整合需求。時光門戶采用了SOA構架，支持根據用戶角色和個人首選項量身定制的、以用戶為中心的信息集中訪問及業務集中展現的信息處理平臺。時光門戶系統提供了很多通用的信息模塊，如日歷、天氣預報、搜索、在線翻譯等模塊，還提供了用戶自定義和應用快速開發功能，以供用戶開發基于Java語言的更有針對性的模塊，如工資查詢、公告、RSS獲取等功能。4.2.2 產品特點時光門戶系統采用J2EE技術構建，符合國際上先進的技術標準和規范。如Portlets（遵循JSR-168、JSR-170規范）、Web Service、SOAP(簡單對象訪問協議)、SOA（面向服務架構）、CAS(Central Authentication Service)、XML（可擴展標記語言）、LADP（輕量級目錄訪問協議）等；提供開放的、企業級的應用編程接口和管理工具，具有高度的開放性、互聯性、可擴充性及可移植性，部署簡便快捷。時光門戶系統提供標準的Portlet容器，可以兼容任何標準的Portlet，提供RSS、IFRAME、WebClipping、URL等多種集成方案，可與各種內部和外部網站以及教育、學術、博客、網絡存儲等網站系統進行集成，可以把其他網站上的信息以RSS方式，以頁面方式進行集成。時光門戶系統可以基于人員類別、部門歸屬、外部組織歸屬、應用角色、崗位等屬性的組合進行門戶應用權限的劃分，支持復雜用戶權限類型的描述，可以支持各種業務需求。支持通過SSO整合應用系統深鏈接功能；支持安全口令跳轉。支持用戶自定義頁面功能，不同類型用戶可以使用不同的默認模板；用戶允許在頁面上自行定義有權限的各種門戶小應用，自主選擇頁面風格、自由選擇組合portlet、并能夠在頁面窗口上拖拽。在性能上，門戶系統采用了大量池化Cache技術對系統進行優化，能夠支持大用戶高并發的訪問。4.3 組織機構建模工具組織機構建模工具是時光身份和管理訪問套件的重要組成部分，負責人員的組織機構、外部業務組織、應用角色、人員類型、崗位等信息的管理維護。時光組織機構建模工具，是專門為政府、教育、金融、大型企事業單位及其分支機構等提供的數據整合基礎平臺管理工具。建模工具既提供C/S架構的功能強大、易于使用的客戶端程序，同時也提供便于分級管理維護，便于隨時隨地使用的基于WEB的程序。4.3.1 產品功能建模工具提供了強大的人員信息描述能力：l 用戶自定義的三級組織機構管理l 用戶自定義的四級外部業務組織管理l 用戶自定義分應用的角色管理l 用戶自定義的人員類型管理l 多達64級的復雜崗位樹管理（可以替代多級組織機構）4.3.2 產品特點 通過對用戶組織機構、外部業務組織、應用角色、人員類型、崗位五種屬性的管理，可以把用戶在復雜的業務中的真實屬性完整的描述清楚，可以在“門戶系統”、“綜合業務系統”、“報表和查詢系統”等系統中進行完整準確的業務權限描述。建模工具既可以使用大容量商業關系數據庫產品ORACLE，也可以基于高價比的開源數據庫產品MySQL。后臺系統采用Java編寫，既可以運行在Windows系統中，也可以部署在高可靠的Unix/Linux操作系統中。系統能夠支持數十萬用戶的管理能力，能夠支持數萬用戶的并發身份認證請求（需使用LDAP組件）。系統提供了用戶手工、批量EXCEL文件，以及聯機服務等多種人員維護方式，可以靈活的和用戶原有人事管理、HR、CRM、OA等系統進行用戶資料交換。系統提供了規范的用戶全生命周期審計信息和豐富的系統日志信息，以供后期業務審計和管理人員查詢。建模工具提供了基于WebServices和RMI的服務接口，以供用戶應用程序調用。用戶既可以選擇使用建模工具提供的WEB服務進行身份驗證和用戶屬性的傳遞，也可以使用LDAP進行身份驗證，還可以選擇通過CicroCAS服務器進行單點登錄認證。建模工具為每一個用戶提供了三組口令，每組口令均支持MD5、BASE64、明文等口令存放方式。建模工具把基本口令和同步口令區分開，系統可以向外推送明文口令（通過加密的同步服務）的同時，不會因為口令擴散后由于第三方系統泄密導致的用戶基本口令泄密。4.3.3 支持動態口令 除了傳統的口令保障用戶安全外，建模工具還提供了“動態口令”支持，為分配了動態密碼令牌的用戶提供更高的安全保障。“動態口令”是根據特定算法生成不可預測的隨機數字組合，每個口令只能使用一次。動態口令認證技術被認為是目前能夠最有效解決用戶的身份認證方式之一，使用動態口令主要有2個方面價值： （1）防止由于口令丟失而產生的財產損失。 （2）采用動態口令的單位無需忍受定期修改各種應用系統登錄密碼的煩惱。當前最主流的是基于時間同步的硬件令牌，它每60秒變換一次動態口令，動態口令一次有效，它產生6位/8位動態數字。硬件令牌目前被國內外很多客戶使用，85%的世界500強企業內部采用硬件令牌保障安全。4.4 用戶資料同步服務管理時光 WebCarrier Identity套件提供強大的用戶同步服務管理功能。通過用戶同步服務管理，可以和用戶原有人事管理、HR、CRM、OA等系統和新建業務系統進行復雜業務邏輯的用戶資料同步。系統外部同步服務提供以下七個服務接口規范：l 開戶l 開戶附帶口令同步l 銷戶l 凍結l 解除凍結l 口令同步l 用戶資料同步每個第三方應用系統接口都可以根據具體情況，實現上述接口規范的全部或部分。系統通過自動或手工下發“同步指令”，自動和第三方系統進行同步操作。同時，時光Identity還提供了一組同步指令服務，允許外部應用系統通過同步服務機制，聯機下發同步指令。部分系統操作（如用戶在門戶上修改口令、開戶、凍結解凍、銷戶等）會自動下發同步指令。但是更多的時候，系統管理人員可以根據業務要求，在批量操作后，批量下發同步指令。目前，已經成功進行同步對接的系統有：l 谷歌單點登錄服務l H3C CAMS網管計費系統l 銳捷網絡計費系統l 勝科-金仕達一卡通系統l 新中新一卡通系統l 機房上機計費管理系統l 電子郵件系統l 用友致遠OA系統l 用戶同步服務管理模塊還提供了同步服務監控功能，可以讓管理人員及時了解外部服務運行狀況，保證系統正常穩定運行。4.5 單點登錄服務 時光身份與訪問管理套件提供CicroCAS服務系統，提供基于WEB的SSO（Single Sign On）單點登錄能力。SSO是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。它包括可以將這次主要的登錄映射到其他應用中用于同一個用戶的登錄的機制。單點登錄是目前應用整合的解決方案重要部分。 統一身份認證的主要思想是由一個廣泛范圍內唯一的認證服務系統接管應用各自的認證模塊，各應用只需要遵循統一認證服務調用接口，即可實現用戶身份的認證過程.至于用戶身份信息、密碼的存儲及在網絡上傳輸的安全性，由身份認證服務提供的安全認證協議來保證。時光單點登錄系統CicroCAS支持多種Web應用客戶端整合，包括Java、Donet、PHP、Perl、Apache、Uprotal、Ruby等。時光單點登錄系統還提供多種終端設備的自動適配支持，包括iPhone和類似的智能手機版，平板電腦，手機WAP版本，和普通PC版本。4.5.1 時光CicroCAS體系結構CicroCAS包括兩部分：CasServer和CasClient。CasServer需要獨立部署，主要負責對用戶的認證工作。CASServer工作流程：使用登錄時用戶提供的憑證（Credentials）信息，包含用戶名、密碼、圖形驗證碼、用戶名類型，在后臺數據源(XML文件、數據庫、Ladp等系統)檢索一條用戶帳號信息，進行密碼比對。CAS提供靈活但統一的認證接口，其認證方式與認證協議分離，使得用戶可自己定制和擴展CAS認證方式。CasClient負責處理對客戶端受保護資源的訪問請求，需要登錄時。重定向到CasServer。4.5.2 安全性對于CicroCAS系統來說，最重要是要保護它的TGC（Ticket granting cookie），如果TGC不慎被CASServer以外的實體獲得，第三方能夠找到該TGC，然后冒充CAS用戶訪問所有授權資源。SSO的安全性問題比普通應用的安全性要更加嚴格，因為SSO存在一種門檻效應。以前即使第三方能夠截獲用戶在Web應用A的密碼，它也未必能知道用戶在Web應用B的密碼，但SSO讓第三方只需要截獲TGC(突破了門檻)，即能訪問所有與該用戶相關的所有應用系統。從基礎模式可以看出，TGC是CASServer通過SSL方式發送給終端用戶，因此，要截取TGC難度非常大，從而確保CAS的安全性。因此，CAS可以使用SSL的非常重要，CAS的傳輸安全性僅僅依賴與SSL。TGC有自己的存活周期，參數默認是120分鐘，在合適的范圍內設置最小值，太短，會影響SSO體驗，太長，會增加安全性風險。ServiceTicket是通過Http傳送的，所以在網絡中的其他人可以監聽到其他人的Ticket。CAS協議從幾個方面提高ServiceTicket的安全性。l ServiceTicket只能使用一次。l ServiceTicket在一段時間內失效。4.6 LDAP目錄服務LDAP是一組輕量級目錄訪問協議，英文全稱是Lightweight Directory Access Protocol，一般都簡稱為LDAP。它是基于X.500標準的一個子集，因此更加簡單