目录服务统一用户管理解决方案
目录服务统一用户管理解决方案
灵活、安全的统一企业应用系统的用户身份信息和策略,保护企业资源免受侵犯
1方案概述
随着企业信息化建设的发展,需要使用许多不同的信息系统。各种应用系统存在不同的用户管理策略和接口,随着用户登录系统的增多,出错机率必然增加,受到非法截获和破坏的可能性增大,大大降低了安全性。如果碰到员工跨部门的调动、升迁、组织结构的重组等,以往只能采用手工方式维护,不但工作繁琐,而且容易出错、难以保证数据的一致性。
目录服务统一用户管理解决方案将分散的用户数据整合到一致的目录服务平台下,并提供统一的操作管理界面,方便用户进行统一的管理与维护。企业用户可以基于最初访问网络时的一次身份验证(Single Sign On),对所有被授权的不同网络资源进行不障碍的访问,提高了网络用户的工作效率,降低网络操作的费用,同时也提高了网络的安全性。
2设计思想
?建立统一的人员信息平台,规划了人员信息使用方案,使得人员信息能够在不
同系统之间得到有效统一应用。
?实现人员信息集成,为完成人与人之间的信息系统间功能交互打下良好基础。
?统一的用户信息验证能方便用户使用和管理员统一管理,为未来的单点登录系
统创造条件。
?目录服务系统提供应用的用户信息验证能够有效的同PKI等个人身份验证有
机统一起来,形成在不同层次的应用安全体系。
?集中管理用户信息,权限更改变得容易;
?提供授权的管理模式,简化管理过程;
?同步用户数据,实时反映到各系统;
?提供自助服务,更改信息及时,减轻管理员工作量;
?基于J2EE标准技术构架和标准协议,可以无缝的集成不同应用系统;
?可以跨平台运行,支持:Windows、Redhat Linux、SUN Solaris、HP Unix系统。
?采用即插即用的代理方式集中管理各种LDAP服务,容易扩充新的目录服务器种类支持。
4提供主要功能
4.1 统一整体规划
?
数据设计:通过专门的数据分析方法论,使目录树结构更便于扩展,提高系统的可靠性和伸缩性;
?目录树设计:考虑到管理的可行性和方便性,同时兼顾将来系统扩展的需求,在命名中层次结构主要采用组织单元的形式。这样今后部门的调整合并等操作时,用户的改动将不牵涉DIT(目录信息树)数据结构。
?目录Schema设计:有效扩充标准Schema未能满足的数据属性。
?安全策略设计:针对企业管理行为横向、纵向的组织模式,在权限设计中引入RBAC(以角色基础的访问控制)和ACI(访问控制指令)。使权限控制更灵活,提高系统的可靠性、扩展性和伸缩性。
(注:文件素材和资料部分来自网络,供参考。请预览后才下载,期待你的好评与关注。)
中宇万通统一用户管理解决方案
统一用户管理、集中认证和单点登录解决方案 适用于大型网络级联部署的统一用户管理、统一目录发布、单点登录解决方案 应用场景 适用于大型网络的信息化建设和迅猛发展的移动互联网场景,面对多级机构和大规模用户管理,解决以下问题: ●用户的全生命周期管理问题 ●多系统的用户属性同步问题 ●多系统的用户信息统一变更问题 ●多系统的繁琐登录认证问题 ●多系统的认证方式不统一问题 ●人员异地漫游认证问题 ●安全问题无法定位到人的问题 目前,中宇万通的统一用户管理、集中认证和单点登录解决方案已经在公安、医疗、能源、制造等多个领域得以实施和推广,适用于级联部署的大型企业、机构和移动互联网的应用场景。 中宇万通的统一用户管理、集中认证和单点登录解决方案不仅仅适用于集团内部的用户统一管理、统一授权和统一认证,对接入终端也可以进行注册、审核、锁定、绑定和吊销的全生命周期管理,提供专机专用的安全机制。通过单点登录(SSO, Single Sign-on)和多类型强身份认证技术(数字证书、USBKey、安全TF卡、动态口令、加强的静态口令、生物识别等)为全网提供统一的安全级别提升,符合国家等保要求。 解决方案
符合国家和行业安全标准(支持SM1、SM2、SM3、SM4国密码算法) 符合国家密码管理局相关技术规范,符合公安《信息安全技术访问控制产品技术规范》,符合公安《身份安全鉴别类信息安全产品技术规范》,符合公安部集中认证网关相关技术规范,符合公安部集中认证网关相关技术规范,符合国家保密局安全中间件相关技术规范,符合中国人民解放军安全网关相关技术规范,符合国家等级保护要求。 统一用户管理、统一目录服务发布 适用于大规模级联场景的统一用户管理、统一目录服务发布、统一身份认证、统一权限管理、接入终端管理、用户和终端绑定、单点登录、移动互联网的认证整合、多应用系统的帐号托管等各种应用场景,接入终端支持Android、IOS、WP8移动终端设备、Windows PC 等各种形态,满足用户统一、集中的安全管理需求。 用户全生命周期管理 用户的注册、审批、使用、禁用、变更、锁定、吊销、退休、删除的全生命周期管理。终端的全生命周期管理和专机专用机制 终端的注册、审批、使用、禁用、锁定、吊销、删除的全生命周期管理,可以将终端和用户一对一或一对多绑定,实现专机专用的安全。在移动互联网场景下,可以实现移动终端的追踪、定位、锁定、强制删除数据,达到终端丢失,安全不丢失。 多类型强安全身份认证机制,全面提升信息化安全等级 支持加强的静态用户名口令认证、动态令牌认证、文件数字证书认证、安全USBKey认证、安全TF卡认证、生物识别认证、手机短消息认证等多种双因子和多因子认证方式,在不改造现有应用的情况下全面提升全网的身份认证安全等级。 单点登录技术,让用户的访问更加快速轻松 不仅不增加用户冗余的安全操作,反而简化用户日常的访问应用操作,简化用户重复认证应用的繁琐,提供便捷的应用管理和访问工具,让用户的访问更加快速、轻松。 简单的部署,方便的管理 不需要改变网络和应用的拓扑,让安全来得前所未有的自然。简单的部署,便捷的维护,方便的管理。 统一信任管理平台成功案例 公安 统一用户管理和集中认证管理平台 医疗 武清卫生局统一用户管理和单点登录系统 能源 中石油管道局集中用户管理系统 制造 北车集团统一信任管理平台
统一用户管理系统
1.详细需求 1.1 业务需求 统一用户管理平台是一个高性能、易管控的用户和权限数据集成平台,能够统一管理企业中各个信息系统的组织信息和用户信息,能够实现单点登录,简化用户的登录过程,同时提供集中便捷的身份管理、资源管理、安全认证和审计管理,能够实现各个系统的独立的权限注册,配置不同的业务域,独立的业务组织体系模型,并且对于不同权限级别的用户和管理员都有不同的系统功能和数据访问范畴,以满足用户对信息系统使用的方便性和安全管理的要求,最终实现异构系统的有机整合。在系统集成的过程中,借助其强大的系统管控能力,在实施过程中进行权限人员数据的规范化、数据同步自动化、系统访问可控化、权限管理统一化和监控审计可视化。 1.2 系统功能需求 1.2.1 统一用户管理 建立一套集中的用户信息库,利用同步接口提供的功能,把所有的系统用户进行统一存放,系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。形成一套全局用户库,统一管理,作为企业内所有IT应用的用户源。在人员离职、岗位变动时,只需在管理中心一处更改,即可限制其访问权限,消除对后台系统非法访问的威胁。方便了用户管理,也防止过期的用户身份信息未及时删除带来的安全风险。系统支持分级授权。 1.2.2 用户身份认证 遵循W3C的业界标准,在单点登录系统的基础上,实现基于域管理的身份认证服务构件,自主开发的系统能够使用该服务进行认证,同时提供多种认证方式,能实现双因素认证。采用LDAP(轻量目录访问协议,一个开放的目录服务标准)来建构统一用户信息数据库。LDAP已成为未来身份认证和身份管理的标准,具有很好的互操作性和兼容性,基于LDAP可以搭建一个统一身份认证和管理框架,并提供开发接口给各应用系统,为应用系统的后续开发提供了统一身份认证平台和标准。实现多种身份认证方式,支持LDAP、JDBC、WebService、Radius、Openid等多种身份认证方式。
目录服务统一用户管理解决方案
目录服务统一用户管理解决方案 灵活、安全的统一企业应用系统的用户身份信息和策略,保护企业资源免受侵犯 1方案概述 随着企业信息化建设的发展,需要使用许多不同的信息系统。各种应用系统存在不同的用户管理策略和接口,随着用户登录系统的增多,出错机率必然增加,受到非法截获和破坏的可能性增大,大大降低了安全性。如果碰到员工跨部门的调动、升迁、组织结构的重组等,以往只能采用手工方式维护,不但工作繁琐,而且容易出错、难以保证数据的一致性。 目录服务统一用户管理解决方案将分散的用户数据整合到一致的目录服务平台下,并提供统一的操作管理界面,方便用户进行统一的管理与维护。企业用户可以基于最初访问网络时的一次身份验证(Single Sign On),对所有被授权的不同网络资源进行不障碍的访问,提高了网络用户的工作效率,降低网络操作的费用,同时也提高了网络的安全性。 2设计思想 ?建立统一的人员信息平台,规划了人员信息使用方案,使得人员信息能够在不 同系统之间得到有效统一应用。 ?实现人员信息集成,为完成人与人之间的信息系统间功能交互打下良好基础。 ?统一的用户信息验证能方便用户使用和管理员统一管理,为未来的单点登录系 统创造条件。 ?目录服务系统提供应用的用户信息验证能够有效的同PKI等个人身份验证有 机统一起来,形成在不同层次的应用安全体系。
?集中管理用户信息,权限更改变得容易; ?提供授权的管理模式,简化管理过程; ?同步用户数据,实时反映到各系统; ?提供自助服务,更改信息及时,减轻管理员工作量; ?基于J2EE标准技术构架和标准协议,可以无缝的集成不同应用系统; ?可以跨平台运行,支持:Windows、Redhat Linux、SUN Solaris、HP Unix系统。 ?采用即插即用的代理方式集中管理各种LDAP服务,容易扩充新的目录服务器种类支持。 4提供主要功能 4.1 统一整体规划 ? 数据设计:通过专门的数据分析方法论,使目录树结构更便于扩展,提高系统的可靠性和伸缩性; ?目录树设计:考虑到管理的可行性和方便性,同时兼顾将来系统扩展的需求,在命名中层次结构主要采用组织单元的形式。这样今后部门的调整合并等操作时,用户的改动将不牵涉DIT(目录信息树)数据结构。 ?目录Schema设计:有效扩充标准Schema未能满足的数据属性。 ?安全策略设计:针对企业管理行为横向、纵向的组织模式,在权限设计中引入RBAC(以角色基础的访问控制)和ACI(访问控制指令)。使权限控制更灵活,提高系统的可靠性、扩展性和伸缩性。
统一用户管理系统
1.详细需求 1.1业务需求 统一用户管理平台是一个高性能、易管控的用户和权限数据集成平台,能够统一管理企业中各个信息系统的组织信息和用户信息,能够实现单点登录,简化用户的登录过程,同时提供集中便捷的身份管理、资源管理、安全认证和审计管理,能够实现各个系统的独立的权限注册,配置不同的业务域,独立的业务组织体系模型,并且对于不同权限级别的用户和管理员都有不同的系统功能和数据访问范畴,以满足用户对信息系统使用的方便性和安全管理的要求,最终实现异构系统的有机整合。在系统集成的过程中,借助其强大的系统管控能力,在实施过程中进行权限人员数据的规范化、数据同步自动化、系统访问可控化、权限管理统一化和监控审计可视化。 1.2系统功能需求 1.2.1统一用户管理 建立一套集中的用户信息库,利用同步接口提供的功能,把所有的系统用户进行统一存放,系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。形成一套全局用户库,统一管理,作为企业内所有IT应用的用户源。在人员离职、岗位变动时,只需在管理中心一处更改,即可限制其访问权限,消除对后台系统非法访问的威胁。方便了用户管理,也防止过期的用户身份信息未及时删除带来的安全风险。系统支持分级授权。 1.2.2用户身份认证 遵循W3C的业界标准,在单点登录系统的基础上,实现基于域管理的身份认证服务构件,自主开发的系统能够使用该服务进行认证,同时提供多种认证方式,能实现双因素认证。采用LDAP(轻量目录访问协议,一个开放的目录服务标准)来建构统一用户信息数据库。LDAP已成为未来身份认证和身份管理的标准,具有很好的互操作性和兼容性,基于LDAP可以搭建一个统一身份认证和管理框架,并提供开发接口给各应用系统,为应用系统的后续开发提供了统一身份认证平台和标准。实现多种身份认证方式,支持LDAP、JDBC、WebService、Radius、Openid等多种身份认证方式。
统一用户及权限管理
文件编号: 统一用户及权限管理平台 解决方案及设计报告 版本号0.9
拟制人王应喜日期2006年6月审核人__________ 日期___________ 批准人__________ 日期___________
目录 第一章引言 (1) 1.1编写目的 (1) 1.2背景 (1) 1.3定义 (1) 1.4参考资料 (1) 第二章统一权限管理解决方案 (2) 2.1需求分析 (2) 2.2系统架构 (3) 2.3系统技术路线 (7) 第三章统一用户及授权管理系统设计 (7) 3.1组织机构管理 (8) 3.2用户管理.......................................................................................................... 错误!未定义书签。 3.3应用系统管理、应用系统权限配置管理 (9) 3.4角色管理 (8) 3.5角色权限分配 (9) 3.6用户权限(角色)分配 (9) 3.7用户登录日志管理功 (9) 第四章对外接口设计 (10) 4.1概述 (10) 4.2接口详细描述 (10) 4.2.1获取用户完整信息 (14) 4.2.2获取用户拥有的功能模块的完整信息 (15) 4.2.3获取用户拥有的一级功能模块 (16) 4.2.4获取用户拥有的某一一级功能模块下的所有子功能模块 (17) 4.2.5获取用户拥有的某一末级功能模块的操作列表 (19) 4.2.6判断用户是否拥有的某一末级功能模块的某一操作权限 (20) 4.2.7获取某一功能模块的ACL—尚需进一步研究 (21)
统一用户管理及认证系统概要设计说明书
统一用户管理及认证系统 概要设计说明书 公司名称:北京万维易化系统软件开发有限公司 公司地址:北京西城区复兴门内大街158号远洋大厦F102室 邮政编码: 100031 公司网址:https://www.wendangku.net/doc/1217397910.html, 联系电话: 66412600 传真: 66412601
修改记录
目录 第一章引言 (1) 1.1编写目的 (1) 1.2背景 (1) 1.3定义................................................................................................... 错误!未定义书签。 1.4参考资料........................................................................................... 错误!未定义书签。 第二章总体设计 (1) 2.1需求规定 (1) 2.2运行环境 (2) 2.3基本设计概念和处理流程 (3) 2.4结构 (8) 2.5功能器求与程序的关系 (9) 2.6人工处理过程 (10) 2.7尚未问决的问题 (10) 第三章接口设计 (10) 3.1用户接口 (10) 3.2外部接口 (10) 3.3内部接口 (10) 第四章运行设计 (10) 4.1运行模块组合 (10) 4.2运行控制 (11) 4.3运行时间 (11) 第五章系统数据结构设计 (11) 5.1逻辑结构设计要点 (11) 5.2物理结构设计要点 (11) 5.3数据结构与程序的关系 (11) 第六章系统出错处理设计 (11) 6.1出错信息 (11) 6.2补救措施 (11) 6.3系统维护设计 (12)
统一用户管理及认证系统概要设计说明书
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. 统一用户管理及认证系统 概要设计说明书
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. 修改记录 目录 第一章引言......................................................... 错误!未定义书签。 1.1编写目的............................................................................................. 错误!未定义书签。 1.2背景..................................................................................................... 错误!未定义书签。 1.3定义..................................................................................................... 错误!未定义书签。 1.4参考资料............................................................................................. 错误!未定义书签。 第二章总体设计..................................................... 错误!未定义书签。 2.1需求规定............................................................................................. 错误!未定义书签。 2.2运行环境............................................................................................. 错误!未定义书签。 2.3基本设计概念和处理流程................................................................. 错误!未定义书签。 2.4结构..................................................................................................... 错误!未定义书签。 2.5功能器求与程序的关系..................................................................... 错误!未定义书签。 2.6人工处理过程..................................................................................... 错误!未定义书签。 2.7尚未问决的问题................................................................................. 错误!未定义书签。 第三章接口设计..................................................... 错误!未定义书签。 3.1用户接口............................................................................................. 错误!未定义书签。 3.2外部接口............................................................................................. 错误!未定义书签。 3.3内部接口............................................................................................. 错误!未定义书签。 第四章运行设计..................................................... 错误!未定义书签。 4.1运行模块组合..................................................................................... 错误!未定义书签。 4.2运行控制............................................................................................. 错误!未定义书签。 4.3运行时间............................................................................................. 错误!未定义书签。 第五章系统数据结构设计 ............................................. 错误!未定义书签。 5.1逻辑结构设计要点............................................................................. 错误!未定义书签。 5.2物理结构设计要点............................................................................. 错误!未定义书签。 5.3数据结构与程序的关系..................................................................... 错误!未定义书签。 第六章系统出错处理设计 ............................................. 错误!未定义书签。 6.1出错信息............................................................................................. 错误!未定义书签。 6.2补救措施............................................................................................. 错误!未定义书签。 6.3系统维护设计..................................................................................... 错误!未定义书签。
统一用户中心详细设计方案
统一用户中心 详细设计报告 制作人:日期:2018-01 版本:
目录 1 系统结构............................................................ 错误!未定义书签。用户中心服务系统(UCS)............................................ 错误!未定义书签。用户中心管理系统(UMS)............................................ 错误!未定义书签。门户系统(Portal) ................................................ 错误!未定义书签。业务子系统接入 .................................................... 错误!未定义书签。 2 用户中心服务系统(UCS) ............................................ 错误!未定义书签。用户中心服务系统安全性要求......................................... 错误!未定义书签。系统帐号传递机制 .................................................. 错误!未定义书签。登录界面.......................................................... 错误!未定义书签。功能说明.......................................................... 错误!未定义书签。单点登录.......................................................... 错误!未定义书签。会话保持.......................................................... 错误!未定义书签。单点退出.......................................................... 错误!未定义书签。组织架构同步...................................................... 错误!未定义书签。消息推送.......................................................... 错误!未定义书签。数据结构.......................................................... 错误!未定义书签。表清单............................................................ 错误!未定义书签。 T_COMPANY 公司表 .................................................. 错误!未定义书签。 T_DEPT 部门表 ..................................................... 错误!未定义书签。 T_EMPL 员工表 ..................................................... 错误!未定义书签。 T_USER 用户表 ..................................................... 错误!未定义书签。 T_DICTIONARY 字典表 ............................................... 错误!未定义书签。 T_ATTACHMENT 附件表 ............................................... 错误!未定义书签。 UC_ACCOUNT 登录帐号表.............................................. 错误!未定义书签。 UC_APP 业务系统表 ................................................. 错误!未定义书签。 UC_BUTTON 业务系统资源表........................................... 错误!未定义书签。 UC_DATA 业务系统数据表............................................. 错误!未定义书签。
中登统一账户平台业务方案概述
中国证券登记结算有限责任公司 统一账户平台建设业务方案(供证券公司系统改造参考) (1.2版) 中国证券登记结算有限责任公司 二○一四年一月
版本信息
目录 第一章概述 (5) 第一节证券账户基础架构 (5) 第二节相关系统的功能 (9) 第二章投资者信息管理 (11) 第一节投资者信息类型 (11) 第二节投资者信息的存放 (18) 第三节黑名单 (18) 第三章证券账户业务操作方案 (20) 第一节证券账户业务的主要变化 (20) 第二节证券账户开立 (23) 第三节证券账户查询 (33) 第四节证券账户资料变更 (44) 第五节证券账户注销 (49) 第六节证券账户关联关系维护 (52) 第七节证券账户使用信息维护 (56) 第八节投资者适当性管理信息维护 (60) 第九节合伙人信息维护 (63) 第十节休眠账户业务 (66) 第十一节不合格账户业务 (71) 第十二节境外B股开户代理机构账户业务 (76) 第十三节开户费用收取 (76)
第一章概述 为了方便投资者,提高效率,适用资本市场创新发展的形势,中国结算于2012年8月启动了证券账户业务整合工作,决定建立一套以投资者为核心,服务多个证券交易场所的统一管理的多层次证券账户架构,并建立与之配套的统一账户平台,由统一账户平台对市场各方提供账户服务。 第一节证券账户基础架构 一、多层次投资者账户架构 证券账户架构由客户号、一码通证券账户、证券账户三层构成。 (一)客户号 第一层为客户号,一个投资者只有一个客户号,客户号用于识别投资者。对于具有独立财产归属含义的证券投资产品,如证券投资基金、信托产品、集合理财产品等,视同独立的投资者,为其单独配发客户号。客户号供中国结算内部使用,不对外公开。 统一账户平台将客户分为四类:个人客户、机构客户、产品客户、中国结算内部客户(以中国结算及中国结算下属机构名义开立的账户)。对于四类客户,根据身份信息三要素(客户名称、身份证明文件类别、身份证明文件号码)分配不同的客户号,不同客户号之间的三要素不允许重复。 (二)一码通证券账户 第二层为一码通证券账户。一码通证券账户作为记载投资者证
用户统一认证解决方案
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。多大 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能: 1.用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如身份证,区分和标识了不同的个体。
统一用户管理的基本原理及其详细介绍
统一用户管理的基本原理及其详细介绍 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能: 1.用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如身份证,区分和标识了不同的个体。 2.UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。 3.应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。 4.应用系统保留用户管理功能,如用户分组、用户授权等功能。 5.UUMS应具有完善的日志功能,详细记录各应用系统对UUMS的操作。 统一用户认证是以UUMS为基础,对所有应用系统提供统一的认证方式和认证策略,以识别用户身份的合法性。统一用户认证应支持以下几种认证方式: 1. 匿名认证方式: 用户不需要任何认证,可以匿名的方式登录系统。 2. 用户名/密码认证: 这是最基本的认证方式。 3. PKI/CA数字证书认证: 通过数字证书的方式认证用户的身份。 4. IP地址认证: 用户只能从指定的IP地址或者IP地址段访问系统。 5. 时间段认证: 用户只能在某个指定的时间段访问系统。 6. 访问次数认证: 累计用户的访问次数,使用户的访问次数在一定的数值范围之内。 以上认证方式应采用模块化设计,管理员可灵活地进行装载和卸载,同时还可按照用户的要求方便地扩展新的认证模块。 认证策略是指认证方式通过与、或、非等逻辑关系组合后的认证方式。管理员可以根据认证策略对认证方式进行增、删或组合,以满足各种认证的要求。比如,某集团用户多人共用一个账户,用户通过用户名密码访问系统,访问必须限制在某个IP地址段上。该认证策略可表示为:用户名/密码“与”IP地址认证。
统一用户及权限管理
文件编号: 统一用户及权限管理平台 解决方案及设计报告 版本号0.9
拟制人王应喜日期2006年6月审核人__________ 日期___________批准人__________ 日期___________
目录 第一章引言 (1) 1.1 编写目的 (1) 1.2 背景 (1) 1.3 定义 (1) 1.4 参考资料 (2) 第二章统一权限管理解决方案 (2) 2.1 需求分析 (2) 2.2 系统架构 (3) 2.3 系统技术路线 (7) 第三章统一用户及授权管理系统设计 (7) 3.1 组织机构管理 (8) 3.2 用户管理............................................................................................................. 错误!未定义书签。 3.3 应用系统管理、应用系统权限配置管理 (10) 3.4 角色管理 (9) 3.5 角色权限分配 (9) 3.6 用户权限(角色)分配 (9) 3.7 用户登录日志管理功 (9) 第四章对外接口设计 (10) 4.1 概述 (10) 4.2 接口详细描述 (11) 4.2.1 获取用户完整信息 (15) 4.2.2 获取用户拥有的功能模块的完整信息 (16) 4.2.3 获取用户拥有的一级功能模块 (17) 4.2.4 获取用户拥有的某一一级功能模块下的所有子功能模块 (19)
4.2.5 获取用户拥有的某一末级功能模块的操作列表 (20) 4.2.6 判断用户是否拥有的某一末级功能模块的某一操作权限 (22) 4.2.7 获取某一功能模块的ACL—尚需进一步研究 (23) 4.2.8 获取某一模块的数据级权限规划规则—尚需进一步研究 (24)
统一用户管理系统
统一用户管理系统 一、概述 近十年以来,信息产业在中国得到了蓬蓬勃勃地发展,而且随着中国进入WTO,各个机关事业单位、银行、企业为了提高自身的工作效率,迎接新的挑战,更是加快了信息化建设的进程。比如:办公自动化系统以及各个机构相关的业务系统。 但是,目前比较普遍的现象是:各个业务系统相互独立、数据不一致;信息共享程度不高、管理分散……使得机构内的应用纷繁复杂,头绪很多,形成了一个个“应用孤岛”。由于各个系统相对孤立,不仅给用户使用各个系统和访问各个信息库带来麻烦,影响工作效率,而且由于各个孤立的系统有各自人员信息库,人员信息没有一个权威统一的来源,由不同的管理员分别手工管理,容易带来管理上的麻烦,造成信息不一致。 项目组经过长期地调查研究,考察了大量的用户需求,针对国内事业机构存在的共同问题,结合最新的J2EE技术,建立了一个通用的LDAP统一用户管理系统。“LDAP统一用户管理系统”是一个跨平台、与操作系统和LDAP服务器无关的统一用户管理平台。LDAP统一用户管理系统作为一个独立的模块,能够统一管理企业中各个系统的用户的公共信息;能够采用各种查询条件方便地查询用户信息;能够实现部门分级维护、人员按各种分类方式方便地管理。企业用户可以通过本系统查询其他用户的通讯录,如邮件、电话等信息。通过对用户信息的集中管理,企业内部的系统可以共享这些人员信息,解除各个系统中人员信息的冗余,实现企业内部各个系统的单点登录。它不仅具有丰富、灵活的系统功能,而且有完善的安全管理措施,对于不同权限级别的用户和管理员都有不同的系统功能和数据访问范围;并采用LDAP系统与PKI体系结合,增强体系的安全性。该用户管理系统最大范围地考虑到了用户的普遍要求。同时,作为单点登录的统一入口,它可以很方便的与其他信息子系统进行挂接。 二、特点或达到的效果 采用统一用户管理系统的好处: 1.节省信息化的投资; 2.保证了同一个实体的信息在各个应用系统中信息完全相同,避免了因为数据不一致而导致的信息泄露问题; 3.方便用户使用,可以实现单点登陆; 4.为PKI体系的建立提供基础; 5.降低了应用系统维护工作量。 三、方案图解
统一用户认证和单点登录解决方案
统一用户认证和单点登录解决方案 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。统一用户管理的基本原理。 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。多大例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9 个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUM)UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUM完成, 而授权等操作则由各应用系统完成,即统一存储、分布授权。UUM应具备以下基本功能: 1.用户信息规范命名、统一存储,用户ID 全局惟一。用户ID 犹如身份证,区分和标识了不同的个体。 2. UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。 3?应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。 4. 应用系统保留用户管理功能,如用户分组、用户授权等功能。 5. UUM应具有完善的日志功能,详细记录各应用系统对UUMS勺操作。
4A(统一安全管理平台)解决方案
4A(统一安全管理平台)简介 企业信息门户系统供稿1、介绍 企业信息化软件,一般经历下面几个阶段:无纸化办公—信息共享—信息安全等三个阶段,随着企业承载应用的越来越多,对所有应用的统一访问、统一控制、统一授权的需求也随着出现,4A就是针对此类问题的综合解决方案。4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。 2、4A系统背景 随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
3、4A平台的管理功能 1)集中帐号(account)管理 4A功能结构图 为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。 2)集中认证(authentication)管理 可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。 3)集中权限(authorization)管理 可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。