微波EDA网,见证研发工程师的成长!
首页 > 硬件设计 > 电源设计 > 基于4A技术的统一身份管理在企业门户系统中的应用

基于4A技术的统一身份管理在企业门户系统中的应用

时间:12-25 来源:互联网 点击:

(1) 访问管理器和身份管理器
  访问管理器为门户服务提供了针对Web服务器、J2EE应用服务器、Web代理服务器以及典型企业应用的多个策略代理 (Policy Agent) ;另外,它还提供了访问管理器 SDK,用以集成企业的Java或C/C++应用,实现集中认证、授权和单点登录[4]。
  用户管理与信息同步系统由身份管理器实现,对各应用或子网络系统用户帐号的集中管理,包括用户帐号在其相对应的应用系统里的自动创建及创建的规则,帐号生成的审批流程管理,帐号的禁用和销毁,帐号在各个应用系统之间的对应关系及同步,口令的管理,提供统一的管理界面和分级授权管理,帐号的审计和风险分析等。身份管理器也是一个标准的J2EE应用系统,它通过部署于其本身服务器端(而不是要管理的应用系统一端)的资源适配器创建和管理在各个应用系统上的用户帐号。
  (2) 统一认证
  访问管理器提供了公共的认证服务架构,具有灵活的认证方式和多种认证服务接口。因此,基于统一的认证服务的应用系统间可以实现单点登录。
  访问管理器提供的认证服务基于JAAS(Java认证与授权服务)框架,提供Java和XML/HTTP两种应用认证接口。
  (3) 认证方式定制化接口
  不同的认证方式具有不同的安全性、易用性和部署成本。因此,针对企业门户中不同的用户群与不同的应用范围,需要对认证方式进行定制化。在访问管理器中,可以根据角色、用户、服务指定不同的认证方式,也可以在认证时直接指定认证模块。对于不同组织、角色和服务,可以配置个性化的认证选项。
  访问管理器为应用程序提供两种类型的认证编程接口。对基于Java的应用系统(包括基于JSP的WEB应用系统和基于Java的应用程序)可以使用Java编程接口;对于非Java的应用系统,可以使用XML/HTTP编程接口或C/C++编程接口。
  (4) 单点登录支持
  单点登录的根本原理是保持用户的会话(session)状态。访问管理器对单点登录提供的SDK级别的支持,其中包括单点登录令牌的创建与验证。以Web应用的单点登录为例:用户通过访问管理器的认证页面进行认证,认证通过之后,平台为该用户创建一个单点登录令牌,并将该令牌的ID通过cookie返回至用户浏览器;当用户访问Web应用系统时,单点登录令牌ID自动通过cookie传递至Web应用系统,Web应用系统可以通过单点登录令牌ID还原单点登录令牌,并向Access Manager验证单点登录令牌是否有效。如果有效,则应用系统可以从单点登录令牌获取用户身份信息,而不再需要用户进行再次认证。对于C/S结构的应用,单点登录过程类似,只是单点登录令牌ID的传递方式不同。
  综上,基于4A技术的统一身份管理为企业门户服务带来较为全面的安全保障,从人员、访问、授权和审计等角度保护企业内部应用的数据的合法使用,具有如下优点:
  (1)统一认证、授权和审计,管理维护工作复杂度大幅度降低,减少维护操作带来的故障隐患;
  (2)统一监管,企业系统安全状况随时被自动监管;
  (3)免去用户在各系统间切换时需要再次输入用户名和口令的繁琐操作,减少帐号密码泄露机会;
  (4)对各个系统进行统一的访问审计,利于综合分析,及时发现入侵行为。
  但从技术实现方式和用户使用效果上看,基于4A的统一身份管理也存在着一定的不足,具体表现为:
  (1)技术实现方式限制较多,例如基于策略代理的SSO,对门户系统产品提出固定要求,对特定产品的版本、未提供开放接口的系统缺乏灵活的处理方法;
  (2)合规审计能力一般不强,多数产品只提供以日志为主的审计能力,以及基于日志的数据传输接口由第三方模块完成审计报告。
  相信,随着企业门户对安全管控需求的不断细化,随着各厂家产品和技术的发展,4A技术对企业门户安全的贡献将越来越突出。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top