返回
统一身份管理系统单点登录与身份同步接入规范

统一身份管理系统单点登录与身份同步接入规范

ID:20740160

大小:1003.00 KB

页数:17页

时间:2018-10-15

统一身份管理系统单点登录与身份同步接入规范_第1页
统一身份管理系统单点登录与身份同步接入规范_第2页
统一身份管理系统单点登录与身份同步接入规范_第3页
统一身份管理系统单点登录与身份同步接入规范_第4页
统一身份管理系统单点登录与身份同步接入规范_第5页
资源描述:

《统一身份管理系统单点登录与身份同步接入规范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、国网统一身份管理系统单点登录和身份同步接入规范项目名称<国网统一身份管理系统>文档类别<接口规范>文档编号<>版本<>密级<>二〇〇九年七月八日第17页共17页目录一、国网统一身份管理系统介绍31.1系统概述31.2单点登录流程41.3单点登录接入方式5二、国网应用系统单点登录集成62.1国网应用系统集成分类62.2应用系统权限管理模式72.3单点登录集成要求92.4单点登录集成流程12三、身份同步规范153.1用户身份数据流153.2帐号管理流程163.2.1帐号创建流程163.2.2帐号更新流程163.2.3帐号删除/禁用流程163.3帐号的身份同步17

2、3.4数据库改造17第17页共17页一、国网统一身份管理系统介绍1.1系统概述由上图可见国家电网统一身份管理系统由单点登录和目录管理两部分构成。其中单点登录采用的是Novell的单点登录产品AccessManager,其单点登录通过AccessManager访问网关、单点登录认证管理模块、认证目录三部分协作实现。统一身份管理系统中的目录包含三类:认证目录、资源目录和身份目录。认证目录是专用于NovellAccessManager做用户认证使用的目录,目录中包含所有登录总部门户的用户。用户核心属性是用户名、密码以及单点登录到应用系统的帐号和密码。资源目录是国网

3、总部部门数据以及应用权限数据的权威数据源。在该目录下管理用户所属的组织机构信息、各应用系统的信息、各应用系统的分组角色信息等。组织机构信息、应用系统信息、分组角色信息等可供各应用系统认证管理模块做权限管理。资源目录中的用户核心属性是用户名、OU。身份目录是国网用户的权威数据源。所有国网总部的用户都从身份目录中开始创建、修改、删除。该目录下的用户具有最全面的用户信息,它实时向认证目录和资源目录中同步用户信息。第17页共17页1.2单点登录流程对于NovellAccessManager产品实现的应用系统单点登录,其流程如下:1、用户访问某个应用系统的单点登录ur

4、l;2、Novell访问网关截获该访问请求,展示统一的单点登录页面;3、用户在统一的单点登录页面中输入统一的认证用户名和密码(即在认证目录中的用户名和密码);4、单点登录认证管理模块获取用户的录入信息,并与认证目录中的用户名和密码进行匹配验证,如果验证失败则返回:用户登录失败;5、验证通过后,单点登录认证管理模块将用户请求的应用系统url与内部的访问控制管理策略匹配,如果发现用户排除在允许访问的策略之外则返回:用户对指定资源的访问遭到拒绝;6、用户验证通过后,同时也被内部策略允许访问指定的资源,则单点登录认证管理模块从该用户的映射信息中提取出当前用户在指定应

5、用系统的认证信息,提交给应用系统的认证管理模块;7、应用系统的认证管理模块验证接收到的用户映射信息,不通过则返回给单点登录认证管理模块,然后由单点登录认证管理模块自动删除认证目录中记录的错误映射信息,并要求用户填写正确的映射信息;8、应用系统的认证管理模块验证用户映射信息通过,则向用户展示已登录信息,表示用户通过统一的认证入口单点登录到指定的应用系统中;9、如果用户在已登录的应用系统中链接访问其他应用系统,由于用户已经通过统一的认证入口,因此用户对其他应用系统的访问将依照第5步开始单点登录到任意授权访问的应用系统中。由以上过程可知,单点登录过程要跨越两个认证

6、过程:统一的认证入口和应用系统的认证管理模块。在认证完成后,有两处可以控制用户的访问权限,分别是通过统一认证管理模块和应用系统认证管理模块来控制,其中应用系统认证管理模块可以进一步使用分组和角色的方式来管理用户的访问权限。统一认证管理模块只能在访问控制策略中根据认证目录中的用户属性来控制哪些用户被允许或者被拒绝访问哪些Web资源(即应用系统url集合)。第17页共17页1.3单点登录接入方式根据Novell单点登录产品的特性,目前支持两种方式的单点登录接入方式:FormFill自动填表方式和身份注入。这两种方式都可以实现在统一认证完毕后,把特定信息(用户LD

7、AP属性信息或者与应用系统用户的映射信息)传递给应用系统自身的认证模块来实现单点登录。1.3.1FormFill自动填表通过表单进行登录的应用系统在登录时均有一个登录页面,可以对该登录页面上需要提交的表单项设置自动填表策略。例如,在某个登录页面中,用于实现登录的表单的名称为:login,需要提交的用于表示用户名的变量名为:username,用于表示用户密码的变量名为password,那么填表策略就可以设置如下:表单名称:login提交的内容:变量名称:username;类型:text变量名称:password;类型:password是否自动提交:是  该策略

8、工作的方式:当用户访问到该页面时,如果该用户有权限访

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。