统一认证解决方案
 

随着信息化的不断推进,大型公司或者单位的各个部门逐渐的部署了与本身业务相关的各种各样的系统,几乎每个系统都需要识别操作者的身份,并根据其不同的身份,分配一定的权限,做一些操作上的限制。结果很多公司或者部门都在各个系统中各自设计了一套用户资料和权限管理的机制,并提供了用户登录认证。这样满足了上面的需求,但由此带来用户账号管理不方便,用户资料不统一等等问题。在信息化发展到一定阶段时,将用户资料的整合起来,进行统一的管理变得十分必要。

易和互联统一认证系统,解决了用户账号管理不方便,用户资料不统一等问题。统一认证系统提供了公共的认证服务架构,灵活的认证方式,多种认证接口,以及认证服务的扩展接口。同时,基于统一的认证服务的应用系统间可以实现单点登录。

统一认证系统
统一认证系统提供基于Web Service和HTTP的两种API认证接口, API接口认证方式和接入系统采用的平台和语言无关。
统一认证系统的认证模块是以插件的方式实现的,多种认证模块通过接口与统一认证系统相连。这种基于插件的认证模块实现方式使得统一认证系统能够支持已经广泛应用的各种标准认证方式,也支持客户自行定制的认证方式。

   

   (图 认证服务架构图)
 

统一认证系统提供了多种内置的认证方式:用户名密码认证、证书认证、CA认证等。

统一认证系统设计架构

   

   (图 系统架构)
 


单点登录
单点登录(single sign on,sso)通常定义为指用户只需经过一次认证就可以访问所有拥有访问权限的应用系统。单点登录能够提高用户的工作效率,减少身份认证过程中的人为错误,从而使系统更安全,更易用。统一用户管理与认证提供了单点登录解决方案,用户只需通过平台的认证,并且具有足够的权限,就可以访问所有由平台管理认证的应用系统。统一认证服务是单点登录支持的基础,没有统一认证,就没有真正的单点登录。

   

   (图 单点登录示意图)
 

单点登录的根本原理是保持用户的会话(session)状态。用户经过一次认证就可建立单点登录会话,每个单点登录会话对应于一个令牌(token),用户访问应用系统时向应用系统传递单点登录令牌,应用系统能够根据令牌识别用户的认证状态,从而使一次认证能够被多个应用系统认可,避免了重复认证。  
根据上述原理, SSO对单点登录提供的平台级别的支持,其中包括单登录令牌的创建与验证。以WEB应用的单点登录为例:用户通过SSO进行认证,认证通过之后,平台为该用户创建一个单点登录令牌,并将该令牌的ID通过cookie返回至用户浏览器;当用户访问WEB应用系统时,单点登录令牌ID自动通过cookie传递至WEB应用系统,WEB应用系统可以通过单点登录令牌ID还原单点登录令牌,并向SSO验证单点登录令牌是否有效。如果有效,则应用系统可以从单点登录令牌获取用户身份信息,而不再需要用户进行再次认证。对于C/S结构的应用,单点登录过程是类似的,只是单点登录令牌ID的传递方式不同。

   


   (图 单点登录原理图)
 


人员管理系统
人员管理系统是政府的各业务部门对本部门工作人员的基本信息进行管理,包括工作人员的入职、离职、转岗,通过审核之后保存入库,为人事档案管理、资产管理等其他人事管理手段提供基础平台
统一认证平台是管理员统一管理组织、用户的基本信息,管理用户、组织、资源(即应用系统)的之间的对应关系。
各个部门处室管理员维护变更本部门人员信息之后,同步至统一认证平台,通过统一认证管理平台管理员对该人员的权限、资源进行授权。

   

   (图 人员管理平台原理)


(c) 2014-2019 杭州易和互联软件技术有限公司     总机:0571-88980378     Email:service@
浙ICP备15032133