统一身份认证平台

一、产品简介

近年来随着企业信息化建设的不断进步以及互联网技术的不断发展,越来越多的基于B/S架构的网络应用服务被开发出来。整合现有应用与应用中的多套用户系统,减少开发成本和难度,提高用户工作效率,这些需求使统一身份认证的重要作用越来越突出。 统一身份认证是指用户在进入企业信息门户系统时一次性进行身份认证。通过后台系统赋予用户相应角色,当用户通过门户系统进入办公系统等系统时不再需要进行身份认证授权。相关应用系统会自动从认证服务中心器获得该用户相应的登录用户与角色信息,使用户不需要记忆各应用系统的用户名和密码,便可以通过门户系统访问、使用经授权的所有业务子系统。

二、服务对象

需要打通目前已经存在的多个应用系统间的登录状态以及相应的角色管理的企业、高校、政府、组织等

三、产品功能(价值)

1、单点登录

在认证中心登录完成后,认证中心会生成一个登录令牌。用户在访问其他子系统的时候,子系统会自动识别当前的登录令牌,并通过登录令牌去服务器获取登录的用户信息,完成当前用户的认证过程。

2、登录源插件化

应对客户本地有多套用户信息的情况,只要各个应用能够提供相关的登录接口或者能够直接访问数据库,都能够完成本地用户以多源的形式接入统一身份认证系统。

3、用户角色的管理

认证中心实现了对多源用户的角色管理,即实现了哪个登录源的哪个用户拥有什么角色信息的功能。(仅管理角色,具体该角色拥有什么权限,各个子系统内部自行再管理或定义)

4、登录权限的管理

本功能是解决哪个登录源的哪个用户能够访问本地的哪个应用的权限的问题的。(仅仅是个访问应用的权限,具体应用内容的权限由子系统内部自行管理或定义)

5、登录界面的定制化

可根据请求站点的不同而展示不同的登录模版,以满足在用户本地各个接入的应用程序对于登录界面的个性化要求。另考虑到对于弹出遮罩层(iframe)进行登录的场景需求也不少的情况下,新增了简洁登录模版(也可根据每个应用,进行个性化定制)

6、客户端与认证中心通讯机制

为防止用户拿到token以后滥用的情况,认证中心服务器有IP地址的验证机制,即:每次登录成功,生成token后,会记录相应的IP地址。如果有客户端拿着token来获取登录信息的时候,就会检测该客户端的IP是否和登录时的IP一致。当前这个验证机制是可配置的。仅仅有IP地址的验证肯定是不够的,为了加强系统间的安全性,认证中心还采用了指纹加密技术,以时间戳和私钥为明文,然后进行SHA1加密。这样就保证每次请求的时间有效性(时间戳)和客户端有效性(私钥)。