身份认证系统解决方案.doc

杭州广播电视大学统一身份认证和单点登录平台解决方案
北京神州融信信息技术有限公司
目录
1 学校系统现状 3
2 统一身份认证和单点登录需求 3
3 方案实现目标 4
方案对业务的影响 4
4 单点登录和统一认证技术方案说明 5
系统逻辑结构 5
单点登录实现方案 6
后置代理解决方案 6
即插即用方式 10
帐号同步实现 11
紧急恢复措施 12
新系统的集成 13
门户集成方案 13
校园网门户集成 13
增值门户集成 14
与其他系统集成 14
5 系统部署 16
6 网站内容管理方案 17
前端展示 17
后台管理 17
7 系统实施周期 18
8 系统实施效益 19
学校系统现状
学校经过多年的信息化建设,形成了几个核心的教学系统,以方便电大学生在校外可以通过网络资源来访问学习资源,或进行其他学习活动。
目前广播电视大学有一个统一的教学平台,在此平台上还有独立的四个应用系统,当学生通过教学平台登录后,就可直接登录其他四个应用系统,不需再进行登录。但是如果直接访问其中的一个系统,还需要分别进行登录。
此教学平台和四个应用系统都是使用的同一套用户数据库SQL SERVER,并具有相同的用户名和密码。目前在SQL Server数据库中有15万学生用户账号和信息。
学校内还有一些其他的小的系统,各自独立开发,需要不同的用户名和密码。
目前校内还有一套邮件系统。
统一身份认证和单点登录需求
由于随着信息化的发展,广播电视大学的教学应用系统和办公类系统会越来越多,并且学生也会越来越多,如果在每一个系统上都独立维护这些用户信息,将来必然维护工作非常大,并且用户分散管理,会造成管理混乱,因此,学校希望搭建一个统一身份认证和单点登录平台,以简化应用系统登录和用户的维护,并建立一个统一的用户认证和管理标准规范。具体需求如下:
建立一个单点登录平台,对目前的教学平台和四个应用系统实现真正的单点登录,无论登录哪一个系统都可实现单点登录,不需再输入用户名和密码。对于后续新建系统实现单点登录。
建立一个统一身份认证管理平台,基于LDAP技术构建,在LDAP上统一管理用户账号和密码。当用户访问其中的一个系统时,其认证都到LDAP中进行认证,不用在本地的数据库中进行认证。
对于目前的教学平台,其采用的是SQLSERVER数据库,需要将其用户信息导入到LDAP中,在LDAP中只存储用户名和密码,以及学生等基本信息,其他学生信息在SQL SERVER中存储。
对于教学平台的SQL SERVER数据库,需要实现与LDAP中用户名和密码同步。在LDAP中加入一个用户账号和密码时,需要同步到教学平台的SQL SERVER数据库。
将来会有新的系统,如计费接入系统,SSL VPN,都可以通过LDAP进行认证,无需再在这些系统上建立一套用户数据库,直接读取LDAP中的用户信息进行认证。
统一身份认证和单点登录平台支持双机热备,保证系统的稳定性。
需要新建学校网站系统,具有后台内容管理功能,可以通过后台内容管理在网站上发布信息。
方案实现目标
UTrust统一身份认证和单点登录平台着力解决企事业单位用户统一身份认证、管理、单点登录和访问控制的问题。量身定制式的服务最大化地贴切用户的需求。
UTrust统一身份认证和单点登录平台将实现以下功能:
单点登录
访问控制
统一身份认证和身份管理
统一集中授权(应用级)
统一日志审计
认证与授权系统将采用的软件产品包括:
UTrust SSO单点登录系统
UTrust认证授权系统
UTrust账号同步系统
方案对业务的影响
方案实施后,IT系统将具备的特性:
用户将具有唯一的用户身份标识;
IT系统将具有集中的身份管理服务器
应用系统将有统一的认证接口
单点登录和统一身份认证技术方案说明
系统逻辑结构
系统的逻辑结构及其与各个应用系统之间的连接方式如下图所示,下面详细说明:
UTrust SSO服务-单点登录服务
UTrust SSO完成对应用系统的单点登录功能,提供简单门户方式的单点登录或是与简易门户的单点登录功能。它还提供后台管理,供管理员灵活配置以适应C/S,B/S等各种不同情况下的登录。同时提供管理当前在线访问用户的功能。
通过与SSO Agent配置,实现全网“漫游”式单点登录的方式和访问控制功能。
UTrust ess Manager交互,实现对用户的多种身份认证方式及得到用户的可访问权限。
SSO Client Agent-单点登录代理
SSO Age