论文部分内容阅读
【摘 要】随着科技迅速发展,企业内部的信息化在科技的带动下也不断完善,曾经靠单一的信息系统建设来进行工作,随着发展,单一系统已无法满足发展的需要,逐步走向多功能多层次的多元化的系统建设,也大大提高了工作效率,但工作效率提高的同时,企业内部信息系统数量的增加也给企业信息的管理方面带来了各种各样的问题,面对其中用户管理和系统安全的问题,企业内部不得不通过有效的办法来进行解决。
【关键词】企业 统一身份认证 应用
一、前言
随着社会的发展,各大企业都不断的健全公司的信息化系统,主要的建设内容有协同办公系统、财务管理、设计信息化系统、采购仓储管理以及人力资源管理等项目,由于信息化资源的使用,很大程度上提高了企业的工作效率。但是随着企业的不断壮大,这些系统之间却没有完整体系架构,让企业用户工作时要在各个系统之间频繁登录,给用户使用带来许多不便,同时也给企業的信息资源带来很大的安全隐患,因此建立一个涵盖各个多方面内容的安全可靠的企业信息门户就尤为重要。
二、企业统一身份认证系统的设计
对于企业统一身份认证系统,主要的目标是为了为企业的一些跨区域网络服务以及应用系统,提供一个统一的用户管理平台。企业的用户必须要通过用户名以及密码才能够登录到系统中,并且只要用户登陆之后,便可以在其他授权访问的系统之间形成安全信任的关系,不用再次登录就可以进行相关操作。因此企业的统一身份认证系统主要功能是:用户基本信息的存储与管理,用户身份的验证以及用户的单点登录。
(一) LDAP目录系统设计
对于LDAP目录系统的设计,你可以理解它就是一种特殊类型的数据库,这种特殊的数据库主要的功能不是对数据进行存储,而是对存储数据的查询进行了优化,因此具有很强的优势。并且LDAP具有一个安全的协议,可以提供相应的访问限制。对于统一身份验证的设计,主要是利用LDAP目录服务作为统一身份的基础,针对企业相应的区域的地理分布、应用系统的部署以及网络情况进行相应的设计。各个分公司则是在本地进行相应的身份认证目录的存放以及管理着分公司的用户身份信息。并且这些分公司的身份管理系统将会把这些目录信息自动同步到企业总部的身份认证系统之中。
(二)单点登录设计
用户登录应用系统可以通过单点的方式登入应用系统进行访问,也就是所谓的SSO(Single Sign On),它的目的是实现身份认证的管理系统能够验证用户信息,以较为安全的方式转到应用系统中进行核对,应用系统通过身份认证功能认证正确的用户身份信息,在这过程中,身份认证系统会将信息在数据库中进行核对,如果信息正如,用户则完成了相应的登入,并且可以进入应用程序,将请求的资源和信息通过网关返回给企业门户。
在单点登录的过程中户涉及到两种登入状况,第一种是企业用户访问本地的系统和应用,第二种是系统在设计时会将同一个公司的所有系统作为一个信任域,在每个单个的信任域中都会有一个单独存在的认证系统进行相应的身份认证,然后企业本部的身份认证系统与之前每个信任域中的单个身份认证系统进行信息的交流和比对并且建立相应的联系。
用户通过单点登录本地的应用系统时,要先从身份认证管理系统中登录验证,如果顺利通过验证,则该用户可以对应用程序进行访问。如果是企业总部要到分公司的域进行登录,认证系统则会通过总部的域控系统给予相应的访问权限,分公司也可以通过分公司的域控系统进行用户的身份验证,管理器会通过SAML/协商,实现总部到分公司的登录认可。
(三)统一身份认证系统的管理设计
企业的统一身份认证主要有两个部分,第一是访问网关,第二是身份认证管理服务器。创建身份认证访问网关作为一个独立的访问认证入口,它主要提升了企业的信息和用户的安全性。身份认证管理服务器的责任则是在服务器中比对和认证用户登录的信息,并且负责与访问网关的通讯工作。访问网关在认证过程中会为应用系统提供相关的访问服务和保护,还对其进行监控和审计服务。身份认证管理服务器则是通过不同的IP地址让用户在地址不相同的情况下阻止登录和访问,用户要通过DNS域名向企业门户反馈登录信息,这种情况下,用户实际访问的是企业门户的代理。
通过以上的设计思想进行构建,实现了某大区域企业总部公司的身份认证入口,该总公司的其他各个分公司的员工可以通过子公司的单独域名进行登入。
三、结语
现今随着社会的发展,建立一个安全性与可靠性高的统一身份认证系统对于各大企业来说是十分重要,因此在现今的很多企业中,都加强了对身份认证系统的构建。对于企业统一身份认证系统的构建,主要是根据企业的地理分布以及应用系统的部署情况,利用LDAP目录系统,作为整个企业架构设计的基础,对用户的基本信息进行存储。并且根据网络身份认证的管理框架,设计了两大主要的组件,分别是访问网关以及身份认证管理服务器。访问网关是一个统一访问的入口,用户在访问时,必须要经过访问,并且利用反向代理技术对后端的企业用户提供相应的访问保护服务。而身份认证管理系统的主要功能是对各个应用系统进行用户身份的集中认证。主要是对企业的级联认证架构进行了设计,并且对于各个区域系统的身份认证管理服务器都是在级联认证的基础之上。主要是利用SAM/Liberty协议进行协商,并且支持用户的单点登录,从而很有效的对企业用户身份进行了统一集中的管理。
参考文献:
[1]黄美东.基于 LDAP 与 Kerberos 协议的统一认证系统研究与设计[D].上海交通大学,2010,1(2):10-12.
[2]周倜,王巾盈,李梦君等.Kerberos 协议版本的分析与比较[J].计算机科学,2010,6(02):121-122.
[3]王骞.基于 LDAP 的用户认证与授权技术在网管系统中的应用[D].北京邮电大学,2010.
[4]郑辉.基于LDAP的统一身份认证目录服务系统研究与设计[D].电子科技大学,2010.
[5]李爱华.统一身份认证以及身份认证应用模型的研究与实现[J].东南大学,2010,5(1):56-60.
【关键词】企业 统一身份认证 应用
一、前言
随着社会的发展,各大企业都不断的健全公司的信息化系统,主要的建设内容有协同办公系统、财务管理、设计信息化系统、采购仓储管理以及人力资源管理等项目,由于信息化资源的使用,很大程度上提高了企业的工作效率。但是随着企业的不断壮大,这些系统之间却没有完整体系架构,让企业用户工作时要在各个系统之间频繁登录,给用户使用带来许多不便,同时也给企業的信息资源带来很大的安全隐患,因此建立一个涵盖各个多方面内容的安全可靠的企业信息门户就尤为重要。
二、企业统一身份认证系统的设计
对于企业统一身份认证系统,主要的目标是为了为企业的一些跨区域网络服务以及应用系统,提供一个统一的用户管理平台。企业的用户必须要通过用户名以及密码才能够登录到系统中,并且只要用户登陆之后,便可以在其他授权访问的系统之间形成安全信任的关系,不用再次登录就可以进行相关操作。因此企业的统一身份认证系统主要功能是:用户基本信息的存储与管理,用户身份的验证以及用户的单点登录。
(一) LDAP目录系统设计
对于LDAP目录系统的设计,你可以理解它就是一种特殊类型的数据库,这种特殊的数据库主要的功能不是对数据进行存储,而是对存储数据的查询进行了优化,因此具有很强的优势。并且LDAP具有一个安全的协议,可以提供相应的访问限制。对于统一身份验证的设计,主要是利用LDAP目录服务作为统一身份的基础,针对企业相应的区域的地理分布、应用系统的部署以及网络情况进行相应的设计。各个分公司则是在本地进行相应的身份认证目录的存放以及管理着分公司的用户身份信息。并且这些分公司的身份管理系统将会把这些目录信息自动同步到企业总部的身份认证系统之中。
(二)单点登录设计
用户登录应用系统可以通过单点的方式登入应用系统进行访问,也就是所谓的SSO(Single Sign On),它的目的是实现身份认证的管理系统能够验证用户信息,以较为安全的方式转到应用系统中进行核对,应用系统通过身份认证功能认证正确的用户身份信息,在这过程中,身份认证系统会将信息在数据库中进行核对,如果信息正如,用户则完成了相应的登入,并且可以进入应用程序,将请求的资源和信息通过网关返回给企业门户。
在单点登录的过程中户涉及到两种登入状况,第一种是企业用户访问本地的系统和应用,第二种是系统在设计时会将同一个公司的所有系统作为一个信任域,在每个单个的信任域中都会有一个单独存在的认证系统进行相应的身份认证,然后企业本部的身份认证系统与之前每个信任域中的单个身份认证系统进行信息的交流和比对并且建立相应的联系。
用户通过单点登录本地的应用系统时,要先从身份认证管理系统中登录验证,如果顺利通过验证,则该用户可以对应用程序进行访问。如果是企业总部要到分公司的域进行登录,认证系统则会通过总部的域控系统给予相应的访问权限,分公司也可以通过分公司的域控系统进行用户的身份验证,管理器会通过SAML/协商,实现总部到分公司的登录认可。
(三)统一身份认证系统的管理设计
企业的统一身份认证主要有两个部分,第一是访问网关,第二是身份认证管理服务器。创建身份认证访问网关作为一个独立的访问认证入口,它主要提升了企业的信息和用户的安全性。身份认证管理服务器的责任则是在服务器中比对和认证用户登录的信息,并且负责与访问网关的通讯工作。访问网关在认证过程中会为应用系统提供相关的访问服务和保护,还对其进行监控和审计服务。身份认证管理服务器则是通过不同的IP地址让用户在地址不相同的情况下阻止登录和访问,用户要通过DNS域名向企业门户反馈登录信息,这种情况下,用户实际访问的是企业门户的代理。
通过以上的设计思想进行构建,实现了某大区域企业总部公司的身份认证入口,该总公司的其他各个分公司的员工可以通过子公司的单独域名进行登入。
三、结语
现今随着社会的发展,建立一个安全性与可靠性高的统一身份认证系统对于各大企业来说是十分重要,因此在现今的很多企业中,都加强了对身份认证系统的构建。对于企业统一身份认证系统的构建,主要是根据企业的地理分布以及应用系统的部署情况,利用LDAP目录系统,作为整个企业架构设计的基础,对用户的基本信息进行存储。并且根据网络身份认证的管理框架,设计了两大主要的组件,分别是访问网关以及身份认证管理服务器。访问网关是一个统一访问的入口,用户在访问时,必须要经过访问,并且利用反向代理技术对后端的企业用户提供相应的访问保护服务。而身份认证管理系统的主要功能是对各个应用系统进行用户身份的集中认证。主要是对企业的级联认证架构进行了设计,并且对于各个区域系统的身份认证管理服务器都是在级联认证的基础之上。主要是利用SAM/Liberty协议进行协商,并且支持用户的单点登录,从而很有效的对企业用户身份进行了统一集中的管理。
参考文献:
[1]黄美东.基于 LDAP 与 Kerberos 协议的统一认证系统研究与设计[D].上海交通大学,2010,1(2):10-12.
[2]周倜,王巾盈,李梦君等.Kerberos 协议版本的分析与比较[J].计算机科学,2010,6(02):121-122.
[3]王骞.基于 LDAP 的用户认证与授权技术在网管系统中的应用[D].北京邮电大学,2010.
[4]郑辉.基于LDAP的统一身份认证目录服务系统研究与设计[D].电子科技大学,2010.
[5]李爱华.统一身份认证以及身份认证应用模型的研究与实现[J].东南大学,2010,5(1):56-60.