1、单点登录(SSO)用户整合概述
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换平台”,在应用层面上的“业务流程整合”,和用户界面上的“通用企业门户”等等。事实上,还用一个层面上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。
面对用户的重复登陆,系统管理员繁琐的账号管理工作和系统设置工作,传世科技SSO用户整合解决方案,在异构的 IT系统中实现集中和便捷的身份管理、单点登陆、权限管理和集中审计,以满足企业对信息系统使用的方便性和安全管理的需求。
2、企事业应用系统现状分析
企事业经过多年的信息化建设,已经形成了一大批比较成熟的应用系统,其涉及的业务面覆盖了企事业的大部分生产或业务,其中包括办公系统,人事系统,财务系统、CRM系统、SRM系统、设备管理系统,信息管理系统等。
由于历史的原因,各应用系统在开发的初期都是独立进行的,造成了彼此之间操作上的割裂和数据之间通信的割断。同一业务人员,往往为了得到一组数据要反复多次进入不同的系统,而每一个系统都需要用户输入用户名和口令才能登录,增加了工作人员使用信息系统的不方便性和操作的复杂性。随着业务的发展,企事业将来会增加到几十个应用系统在网上运行。尤其对于一些权限较高或是涉及业务较多的用户,如果每一个系统都需要他们进行口令的验证,那么用户使用系统的不便性是可想而知的。因此经常会有一些用户将多个系统设置成同一口令或是将记不住的口令写在纸上贴在桌子上,这样,应用系统的终端接入存在着极大的安全隐患,使一些别有用心的工作人员有机会利用他人密码登录系统,进行非法操作,也会给发生重大事故后的责任追查带来困难。
3、统一身份认证和单点登录建设方案
面对用户的重复登陆,系统管理员繁琐的账号管理工作和系统设置工作,Transnal SSO系统提供了一整套解决方案,在异构的IT系统中实现集中和便捷的身份管理、单点登陆、权限管理和集中审计,以满足企业对信息系统使用的方便性和安全管理的需求。
企业单点登录建设要求:
由于企事业单位的应用系统是经过长期建设成的,并都在运行着一些重要的业务,在实施单点登录方案时需要对应用系统不作大的改动,不影响业务的正常运行。
Transnal SSO对已有系统的整合:
Transnal SSO采用即插即用方式,对系统不做改造,通过系统配置工作,将企事业内部的应用系统在Transnal SSO服务器上进行注册登记,并配置相关应用系统的一些信息以及系统上原有用户的账户信息,配置完成后,用户即可通过Transnal SSO服务器的一次认证之后,就可访问纳入到Transnal SSO中的所有有权访问的应用系统,无论其是B/S结构的,还是C/S结构的系统。
Transnal SSO新系统纳入:
Transnal SSO单点登录解决方案可以方便地集成老的应用系统和新建的业务系统。对于老系统通过配置手段进行整合。对于新建系统提供标准的二次开发接口,将新系统与Transnal SSO平台无缝结合,新建系统只注重业务开发流程即可,不用再考虑身份认证和单点登录的实现。
Transnal SSO增强身份认证:
Transnal SSO提供了增强的身份认证机制,并设置多种身份认证手段,对重要的人员使用基于数字证书的认证方式,并采用USB Key作为认证器,同时也可提供动态口令认证,确保用户身份的唯一性和认证信息的机密性。
Transnal SSO统一身份管理:
通过Transnal IDM账号同步组件可以实现在应用系统与Transnal IDM之间进行数据同步,在Transnal 管理平台上对各系统中数据库的用户统一管理。对于其于LDAP或AD的存储方式,Transnal IDM通过配置即可实现数据同步。对于其他数据库,也可通过配置方式或是数据库同步代理方式实现账号同步。 Transnal SSO以LDAP技术构建,并为新系统的接入提供相应接口,可以为企事业搭建一个统一的身份认证和身份管理平台。
Transnal SSO访问资源授权:
企事业的应用系统与Transnal SSO平台整合后,在SSO平台上还可对用户进行粗粒度授权,控制用户其可以访问什么系统,不可以访问什么系统。其授权方式基于角色的授权模型,方便管理工作。
4、耶鲁大学CAS简介
Transnal SSO 采用国际先进的CAS系统构建,CAS系统是美国耶鲁大学开发的单点登录(Single Sign On)系统称为CAS(Central Authentication Service),是一个独立于平台的,易于理解的开源软件,支持代理功能。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。
CAS的设计目标
l、为多个Web应用提供单点登录基础设施,同时可以为非Web应用但拥有Web前端的功能服务提供单点登录的功能;
2、简化应用认证用户身份的流程;
3、将用户身份认证集中于单一的Web应用,让用户简化他们的密码管理,从而提高安全性;而且,当应用需要修改身份验证的业务逻辑时,不需要到处修改代码;
5、SSO用户整合方案特点:
1、用户无需频繁登录应用系统,大大降低了使用信息系统的复杂性;
2、实现完全跨域,支持不同域名及各系统的分布式应用;
3、用户无需记忆多个系统中的账号&密码,减少了各种密码问题而引起的安全风险;
4、统一整合用户信息,避免重复和冗余数据, 保证用户数据的真实性和唯一性。
5、具备了统一的针对整体的安全策略管理 ;
6、可以有效的实现用户的统一身份管理;
本文作者:网友 来源:网络
CIO之家 www.ciozj.com 微信公众号:imciow