CA單點(diǎn)登錄介紹

1、單點(diǎn)登錄 -eTrust SSO概述在當(dāng)今世界的分布計(jì)算環(huán)境中， 用戶(hù)每天要登錄到很多不同的系統(tǒng)和應(yīng)用中。 每個(gè)系統(tǒng)都有自己的認(rèn)證過(guò)程，要求用戶(hù)輸入不同的用戶(hù)名、口令。用戶(hù)需要進(jìn)入的系統(tǒng)越多，用戶(hù)出錯(cuò)的概率和安全問(wèn)題出現(xiàn)的可能性就越多。在 Internet 中，如果訪問(wèn)一個(gè)公司網(wǎng)站過(guò)于復(fù)雜或者不安全，客戶(hù)或合作者可能中止和他們的業(yè)務(wù)關(guān)系，對(duì)公司業(yè)務(wù)的影響不言而喻。CA 的 eTrust Single-Sign On ，使用戶(hù)進(jìn)行單一認(rèn)證。一旦獲得認(rèn)證，用戶(hù)可以立即訪問(wèn)所有被授權(quán)的系統(tǒng)，包括 C/S 系統(tǒng)。系統(tǒng)或安全管理員可以實(shí)施安全控制，但不用改變或影響用戶(hù)登錄。 eTrust Single

2、Sign On支持多種第三方用戶(hù)認(rèn)證方式，這使管理員加強(qiáng)和客戶(hù)化了登錄過(guò)程的安全性。體系架構(gòu)為了實(shí)現(xiàn)單點(diǎn)登錄的功能，eTrust SSO 采用了 Client/Server 軟件結(jié)構(gòu)。主要包括如下部分：1) 授權(quán)引擎 eTrust SSO 服務(wù)器 。它決定著用戶(hù)是否可以登錄以及他們可以訪問(wèn)哪些資源。它通過(guò)安全地管理用戶(hù)口令集并自動(dòng)對(duì)每一Web 和非 Web 應(yīng)用提交正確的口令來(lái)完成本功能。它簡(jiǎn)化了最終用戶(hù)的登錄過(guò)程，減少了口令管理工作量，并增強(qiáng)了總體應(yīng)用的安全性。該產(chǎn)品支持多種驗(yàn)證最終用戶(hù)身份的方法，從而為使用該產(chǎn)品的所有公司提供了靈活性。z eTrust SSO 數(shù)據(jù)庫(kù) 存儲(chǔ)了所有關(guān)于用戶(hù)、

3、組、資源、應(yīng)用、登錄參數(shù)和訪問(wèn)控制規(guī)則等信息，與其它 eTrust 產(chǎn)品所使用的是同一個(gè)數(shù)據(jù)庫(kù)。一旦你在該數(shù)據(jù)庫(kù)中錄入信息，這些產(chǎn)品都可對(duì)該共享數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)和更新操作， 以滿足其各自的或共同的需求， 從而為用戶(hù)提供了有效而先進(jìn)的方法。 在安裝該數(shù)據(jù)庫(kù)的過(guò)程中或安裝完成以后， 您可以將公司已有數(shù)據(jù)庫(kù)中的用戶(hù)和組信息導(dǎo)入其中。您還可以通過(guò)運(yùn)行一個(gè)eTrust SingleSign-On支持的實(shí)用程序，或使用eTrust Single Sign-On所支持的命令行界面來(lái)輸入用本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第1頁(yè)共15頁(yè)戶(hù)和組信息。z登錄會(huì)話與

4、eTrust SSO 數(shù)據(jù)庫(kù)保存在同一服務(wù)器主機(jī)上，上面提供了eTrust SSO 客戶(hù)端進(jìn)行用戶(hù)登錄應(yīng)用操作時(shí)所執(zhí)行的指令。2)eTrust SSO 客戶(hù)端軟件安裝運(yùn)行于每一個(gè)使用eTrust Single Sign-On 系統(tǒng)的工作站。eTrust Single Sign-On 客戶(hù)端軟件的功能有：z 與主身份驗(yàn)證代理進(jìn)行通訊，對(duì)訪問(wèn)eTrust Single Sign-On 的用戶(hù)進(jìn)行身份驗(yàn)證。z 顯示最終用戶(hù)被授權(quán)使用的應(yīng)用。z 與 eTrust SSO 服務(wù)器通訊并從服務(wù)器平臺(tái)上檢索登錄日志和登錄數(shù)據(jù)。z 執(zhí)行登錄會(huì)話并使用戶(hù)登錄所授權(quán)應(yīng)用。z（如果登錄會(huì)話發(fā)出指令），將登錄嘗試的結(jié)

5、果送到eTrust SSO 服務(wù)器。3)eTrust SSO身份驗(yàn)證代理運(yùn)行于企業(yè)的身份驗(yàn)證主機(jī)/平臺(tái)上， 例如Windows NT和第三方安全服務(wù)器，方便了最終用戶(hù)的主身份驗(yàn)證。實(shí)際上，單點(diǎn)登錄系統(tǒng)對(duì)用戶(hù)的認(rèn)證是可以通過(guò)這些用戶(hù)系統(tǒng)完成的，這就很容易把 SSO 的用戶(hù)認(rèn)證與企業(yè)正在使用的認(rèn)證系統(tǒng)結(jié)合起來(lái)。以下示意圖顯示了安裝在網(wǎng)絡(luò)中的eTrust Single Sign-On 各種組件：本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第2頁(yè)共15頁(yè)功能介紹在當(dāng)今分布式計(jì)算環(huán)境中，用戶(hù)每天都需要登錄到許多不同的應(yīng)用軟件和系統(tǒng)，如包括電子郵件、 網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和

6、WEB 服務(wù)器等。 每一個(gè)系統(tǒng)都要求自己獨(dú)特的安全登錄步驟。用戶(hù)使用的系統(tǒng)越多，所必須記住的 ID 和口令就越多，客戶(hù)出錯(cuò)和威脅到安全性的可能也就越大。換句話說(shuō)，多個(gè)口令導(dǎo)致多種安全隱患。例如，一個(gè)系統(tǒng)管理員可能要管理 5 臺(tái) UNIX 主機(jī)、 20 臺(tái) Windows NT 服務(wù)器、維護(hù)上面的多個(gè)數(shù)據(jù)庫(kù)、 維護(hù)電子郵件系統(tǒng)、 還要管理多臺(tái)網(wǎng)絡(luò)設(shè)備等， 他需要記憶各個(gè)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備的用戶(hù)名和口令。其它的管理人員和工作人員也是如此。各種系統(tǒng)用戶(hù)的口令應(yīng)該互不相關(guān)，口令比較長(zhǎng)而且沒(méi)有規(guī)律，在使用一段時(shí)間后要改變?yōu)樾碌闹担?這樣才能保證統(tǒng)的安全。但是，要讓一個(gè)人記憶許多長(zhǎng)而

7、難記又經(jīng)常變化的口令是很困難的。如果用戶(hù)忘記了口令，就不能執(zhí)行任務(wù)，從而降低生產(chǎn)效率。最終用戶(hù)必須請(qǐng)求幫助臺(tái)幫助，在重新獲得口令之前只能等待，這樣造成了系統(tǒng)和安全管理員資源的浪費(fèi)。為牢記登錄信息，用戶(hù)一般會(huì)簡(jiǎn)化密碼，為多個(gè)系統(tǒng)使用相同的口令，或創(chuàng)建一個(gè)口令”本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第3頁(yè)共15頁(yè)列表 ”這是會(huì)危及公司信息保密性的幾種常用做法。人們往往對(duì)他所維護(hù)的所有系統(tǒng)都使用相同或相似的口令，口令常常使用自己或親朋好友的姓名、生日、紀(jì)念日等?！昂诳汀睍?huì)比較容易地猜出其口令，猜出一個(gè)口令， 就能更加容易地猜到其它口令。當(dāng)系統(tǒng)要求用戶(hù)改變

8、口令時(shí)，人們往往按照一定規(guī)律改變，如數(shù)字加一、字母后移一個(gè)等，這樣“黑客”很容易根據(jù)老口令猜到新口令。還有用戶(hù)喜歡把口令記在筆記本上，這就更容易失密了。以上這些都對(duì)系統(tǒng)安全性帶來(lái)了極大的威脅。從規(guī)章制度上限制用戶(hù)上述行為是不現(xiàn)實(shí)的，只有從技術(shù)上采取一定措施，幫助用戶(hù)解決記憶長(zhǎng)而無(wú)規(guī)律、易變口令的問(wèn)題，才能真正保證系統(tǒng)的安全。單點(diǎn)登錄 (SSO，Single Sign-on) 是一種用于方便用戶(hù)訪問(wèn)系統(tǒng)的技術(shù)，可以幫助企業(yè)解決上述問(wèn)題。 CA 公司的 eTrust Single Sign-On 就是單點(diǎn)登錄產(chǎn)品中最好的產(chǎn)品之一，實(shí)現(xiàn)了“一人一個(gè)帳號(hào)、一個(gè)口令”登錄管理模式。它允許用戶(hù)通過(guò)一次登錄

9、，便可自動(dòng)訪問(wèn)所有已授權(quán)的企業(yè)級(jí)應(yīng)用和系統(tǒng)，從而增強(qiáng)了總體的安全性，提高了生產(chǎn)率。 eTrust Single Sign-On 簡(jiǎn)化了單一控制點(diǎn)，并使訪問(wèn)方法得到標(biāo)準(zhǔn)化，從而使添加和刪除用戶(hù)等管理任務(wù)變得更快、效率更高。同時(shí)，口令的減少，也減輕了重新設(shè)置口令的需求，使得服務(wù)臺(tái)的技術(shù)人員能夠參與解決更多的重要問(wèn)題。利用單點(diǎn)登錄技術(shù)實(shí)現(xiàn)登錄的原理如下所示：在系統(tǒng)實(shí)施過(guò)程中，由管理員可以把原來(lái)需要最終用戶(hù)記憶的各種登錄過(guò)程、帳戶(hù)和口令等信息集中記錄在單點(diǎn)登錄服務(wù)器的數(shù)據(jù)庫(kù)中；最終用戶(hù)在登錄任何應(yīng)用系統(tǒng)之前，首先在單點(diǎn)登錄系統(tǒng)中登錄，獲得該該系統(tǒng)的安全認(rèn)證。該登錄和認(rèn)證過(guò)程可以通過(guò)用戶(hù)名 /口令、指紋

10、識(shí)別器、智能卡、令牌卡等多種方式完成，從而最大程度地保證用戶(hù)認(rèn)證的有效性和安全性；單點(diǎn)登錄系統(tǒng)一旦認(rèn)證了用戶(hù)，就從數(shù)據(jù)庫(kù)中取出該用戶(hù)需要登錄的所有應(yīng)用系統(tǒng)的過(guò)程記錄，在用戶(hù)的計(jì)算機(jī)桌面上建立對(duì)于每個(gè)應(yīng)用系統(tǒng)的圖標(biāo)集。用戶(hù)雙擊代表某應(yīng)用系統(tǒng)的圖標(biāo)時(shí)，單點(diǎn)登錄系統(tǒng)就會(huì)自動(dòng)取出數(shù)據(jù)庫(kù)中記錄的登錄過(guò)程、帳戶(hù)和口令，在客戶(hù)端自動(dòng)自動(dòng)相應(yīng)的客戶(hù)端程序，自動(dòng)完成帳戶(hù)、口令等信息的輸入，完成對(duì)目標(biāo)應(yīng)用系統(tǒng)的登錄過(guò)程。本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第4頁(yè)共15頁(yè)從最終用戶(hù)的角度看，他開(kāi)機(jī)后首先要做的是登錄單點(diǎn)登錄系統(tǒng)，登錄完成后，桌面上就出現(xiàn)代表應(yīng)用系統(tǒng)的圖

11、標(biāo)， 雙機(jī)某圖標(biāo)， 在不進(jìn)行任何額外輸入的情況下， 就進(jìn)入了應(yīng)用系統(tǒng)。也就是實(shí)現(xiàn)了“一人一個(gè)帳號(hào)、一個(gè)口令”登錄管理模式。借助 eTrust Single Sign-On 加集中并提高可管理性。另外，不但能提高用戶(hù)生產(chǎn)效率，用戶(hù)eTrust Single Sign-On 還能 :ID和口令的控制也能更z 自動(dòng)完成用戶(hù)登錄過(guò)程 只要點(diǎn)擊界面即可，從而即時(shí)訪問(wèn)所有授權(quán)應(yīng)用軟件或系統(tǒng)。z 方便的加以調(diào)整 以適應(yīng)所希望的用戶(hù)認(rèn)證和應(yīng)用授權(quán)方法。z 提高整體安全性并降低風(fēng)險(xiǎn) - 通過(guò)保護(hù)用戶(hù) ID 和網(wǎng)絡(luò)流量提高整體安全性并降低風(fēng)險(xiǎn)。z 減少用戶(hù)等待時(shí)間 - 因口令丟失或泄露而引起的問(wèn)題。直接改進(jìn)業(yè)務(wù)過(guò)

12、程和降低底線成本。許多傳統(tǒng)的 Single Sign-On 解決方案難以實(shí)現(xiàn)最初設(shè)想的優(yōu)點(diǎn)， 原因是它們?cè)谠O(shè)計(jì)上不能滿足當(dāng)今企業(yè)的復(fù)雜性。 eTrust Single Sign-On 通過(guò)設(shè)計(jì)精良的分階段部署可隨時(shí)有效管理整個(gè)實(shí)施周期。它可通過(guò)多種途徑滿足這一重要的需求：z 分段實(shí)施 。各機(jī)構(gòu)能分段實(shí)施 eTrust Single Sign-On ，即先在用戶(hù)最急需和應(yīng)用軟件作用最關(guān)鍵的部門(mén)實(shí)施，然后在分階段部署到其他企業(yè)部門(mén)。z數(shù)據(jù)庫(kù) ：過(guò)去，建立一個(gè)Single Sign-On 的數(shù)據(jù)庫(kù)是一個(gè)耗時(shí)且資源密集的過(guò)程，eTrustSingle Sign-On提供了獨(dú)一無(wú)二的功能，可方便地為用戶(hù)

13、ID 和口令自動(dòng)創(chuàng)建中心存儲(chǔ)庫(kù)。z 瘦客戶(hù)機(jī) 。eTrust Single Sign-On 支持用戶(hù)工作站上只需少量軟件的瘦客戶(hù)機(jī)配置。這種方法能減少安裝和維護(hù)，使eTrust Single Sign-On 更可行，擴(kuò)展性更好。支持Web 的eTrust Single Sign-On 無(wú)須在客戶(hù)端工作站上安裝軟件。z 開(kāi)放型設(shè)計(jì) ： eTrust Single Sign-On 開(kāi)放型設(shè)計(jì)允許公司改進(jìn)基礎(chǔ)安全設(shè)備的性能以滿足將來(lái)的需求。新的身份驗(yàn)證和授權(quán)機(jī)制例如PKI和數(shù)字式證書(shū)，或一次性口令可以在用戶(hù)完全不知道的情況下在后臺(tái)嵌入。本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可

14、，請(qǐng)勿擴(kuò)散到第三方。第5頁(yè)共15頁(yè)z審核 ：審核可作為一起。eTrust Single Sign-On產(chǎn)品的一部分，也可與eTrust 審核產(chǎn)品集成在另外， eTrust SSO 還具備如下一些特色：z熟悉的桌面 ： eTrust Single Sign-On的普通用戶(hù)界面通過(guò)Windows95/98/2000單或桌面上的圖標(biāo)與桌面無(wú)縫集成，并可用于任何Windows 客戶(hù)端工作站（95/98/2000 ，或 Windows NT ）。的開(kāi)始菜Windowsz 自動(dòng)化登錄過(guò)程 ： eTrust Single Sign-On 實(shí)際上可簡(jiǎn)化任何網(wǎng)絡(luò)應(yīng)用資源的登錄過(guò)程。通常與eTrust Singl

15、e Sign-On一起使用的應(yīng)用包括：e-mail包、數(shù)據(jù)庫(kù)、Web、 Java 和HTML應(yīng)用程序、傳統(tǒng)應(yīng)用程序以及ERP 應(yīng)用程序。z保護(hù)Single Sign-On服務(wù)器 ：用戶(hù)ID和密嗎被集中存放在一個(gè)Unix或Windows NT服務(wù)器上的存儲(chǔ)庫(kù)中，該存儲(chǔ)庫(kù)由eTrust 訪問(wèn)控制來(lái)保護(hù)。z開(kāi)放型身份驗(yàn)證： eTrust Single Sign-On支持各種各樣的身份驗(yàn)證機(jī)制，包括WindowsNT 和 NetWare OS 身份驗(yàn)證、 Single Sign-On 身份驗(yàn)證、 Entrust 證書(shū)、 iD2 靈通卡集成，等等。z 口令管理 ：口令強(qiáng)化機(jī)制包括根據(jù)企業(yè)的需要而添加自定

16、義質(zhì)量檢查的口令自動(dòng)生成、口令策略、和口令出口。 eTrust Single Sign-On 也可以保持目標(biāo)應(yīng)用程序的口令與主身份驗(yàn)證口令的同步性，這一點(diǎn)可滿足使用單一口令進(jìn)行遠(yuǎn)程訪問(wèn)時(shí)的需求。z敏感應(yīng)用程序：公司可以選擇將關(guān)鍵任務(wù)應(yīng)用程序指定為“敏感的”，從而要求用戶(hù)再一次進(jìn)行身份驗(yàn)證。z保護(hù)網(wǎng)絡(luò)數(shù)據(jù)流：所有在eTrust Single Sign-On 組件間傳輸?shù)男畔⒍急煌耆用?。z 耐用性和可擴(kuò)展性 ： eTrust Single Sign-On 服務(wù)器提供了抗毀性和裝載平衡，負(fù)載平衡可根據(jù)站點(diǎn)需求允許用戶(hù)重定向到不同的服務(wù)器。z API 工具包 ： eTrust Single Sign

17、-On 的 API 工具包可處理不斷變化的需求、增長(zhǎng)的環(huán)境以及與補(bǔ)充產(chǎn)品的集成等問(wèn)題?？诹钔?。eTrust Single Sign-On 能保持目標(biāo)應(yīng)用軟件上的口令與主認(rèn)證口令的同步，本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第6頁(yè)共15頁(yè)可以滿足用一個(gè)口令進(jìn)行遠(yuǎn)程訪問(wèn)的要求。特點(diǎn)和優(yōu)勢(shì)eTrust Single Sign-on 作為 CA 的單點(diǎn)登錄產(chǎn)品，具有下列特點(diǎn)和優(yōu)勢(shì)。開(kāi)放的體系結(jié)構(gòu)eTrust SSO 在開(kāi)發(fā)之初就提供開(kāi)放的體系結(jié)構(gòu)。它保證了企業(yè)安全策略和標(biāo)準(zhǔn)變更時(shí)的適應(yīng)性，保護(hù)了安全管理中的用戶(hù)投資。eTrust SSO 是高度可伸縮的，

18、可分布實(shí)施，以滿足安全標(biāo)準(zhǔn)需求的增強(qiáng)。靈活的認(rèn)證eTrust SSO 支持大量的認(rèn)證方式，滿足組織的特殊要求。它支持的認(rèn)證方式可以從流行的 UNIX/NT 系統(tǒng)到生物認(rèn)證方式、 PKI 數(shù)字認(rèn)證、 口令令牌等。 它不限制組織的認(rèn)證需求，使組織中的安全管理團(tuán)隊(duì)可以達(dá)到他們所希望的認(rèn)證手段。從一個(gè)基地支持客戶(hù)/服務(wù)器模式和WEB 方式eTrust SSO 可以提供用戶(hù)訪問(wèn)多個(gè)網(wǎng)絡(luò)和系統(tǒng)資源，只需通過(guò)一個(gè)SSO 服務(wù)器系統(tǒng)就能進(jìn)行。它支持當(dāng)今最流行的Client/Server 應(yīng)用，包括UNIX 、 Windows （95、 98、NT 和2000 ），MVS和其它主機(jī)系統(tǒng)。對(duì)于當(dāng)今異構(gòu)的平臺(tái)環(huán)境，

19、eTrust SSO 簡(jiǎn)化了組織進(jìn)行多平臺(tái)認(rèn)證的麻煩和不方便。典型部署方式eTrust SSO 的一般配置方式為一臺(tái)SSO 服務(wù)器，對(duì)C/S 結(jié)構(gòu)環(huán)境，每個(gè)客戶(hù)端需要安裝 eTrust SSO Client 。對(duì)于大型環(huán)境，建議安裝兩臺(tái)SSO 服務(wù)器作為Fail-over 。eTrust SiteMindereTrust SiteMinder是基于 WEB 應(yīng)用的站點(diǎn)安全管理的基礎(chǔ)，它能夠幫助企業(yè)對(duì)所有的本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第7頁(yè)共15頁(yè)用戶(hù)認(rèn)證和訪問(wèn)進(jìn)行集中化管理，并通過(guò)集中定義企業(yè)范圍的安全策略強(qiáng)化這種管理效果。同時(shí)，它的先進(jìn)

20、的管理工具能過(guò)對(duì)復(fù)雜的分布式eTrust SiteMinder系統(tǒng)進(jìn)行快速、輕松的開(kāi)發(fā)、配置和管理。功能特性產(chǎn)品特性實(shí)現(xiàn)單點(diǎn)登錄和對(duì)于用戶(hù)認(rèn)證和訪問(wèn)管理基于策略的集中化控制跨多應(yīng)用程序、平臺(tái)和互聯(lián)網(wǎng)域的單點(diǎn)登錄提供豐富的用戶(hù)體驗(yàn)、提高安全性能保證，同時(shí)降低由于口令丟失造成的客戶(hù)支持成本集中化的安全管理通過(guò)減少需要大量IT人員管理的冗余的用戶(hù)目錄和應(yīng)用程序特定安全邏輯來(lái)降低IT 陳本和復(fù)雜程度認(rèn)證管理支持最廣泛的認(rèn)證途徑，包括：口令、標(biāo)識(shí)、X.509 認(rèn)證、定制化表單、生物測(cè)定以及以上這些方法的組合、CRL( 證書(shū)撤銷(xiāo)單 ) 和 OCSP（證書(shū)有效性檢查）實(shí)時(shí)交易安全和集成化WEB 服務(wù)從 WE

21、B 應(yīng)用中撤銷(xiāo)安全商業(yè)邏輯并將其集中到SiteMinder成本和復(fù)雜程度創(chuàng)建用于實(shí)時(shí)評(píng)估來(lái)自本地或外源的不同動(dòng)態(tài)數(shù)據(jù)的安全策略訪問(wèn)第三方的基于XML的 WEB 服務(wù)，啟動(dòng)實(shí)時(shí)交易認(rèn)證企業(yè)級(jí)管理簡(jiǎn)易性降低管理成本策略中，從而降低運(yùn)營(yíng)OneView 監(jiān)控器通過(guò) WEB 瀏覽器或者 SNMP 系統(tǒng)管理應(yīng)用程序?qū)﹃P(guān)鍵操作信息進(jìn)行預(yù)先監(jiān)控集中代理管理(CAM) 使得 IT 管理人員可以通過(guò)一個(gè)集中化的管理節(jié)點(diǎn)對(duì)大型WEB服務(wù)器環(huán)境中的所有的SiteMinder 代理進(jìn)行持續(xù)安全的管理。安全方案設(shè)計(jì)人員可以通過(guò)策略快速配置（RapidPolicy Deployment ）工具有效維持多種安全策略管理開(kāi)發(fā)、

22、測(cè)試和生產(chǎn)環(huán)境。通過(guò)加強(qiáng)型、細(xì)分化的報(bào)表控制中心（Report Command Center）進(jìn)行運(yùn)營(yíng)環(huán)境分本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第8頁(yè)共15頁(yè)用戶(hù)認(rèn)證和訪問(wèn)進(jìn)行集中化管理，并通過(guò)集中定義企業(yè)范圍的安全策略強(qiáng)化這種管理效果。同時(shí)，它的先進(jìn)的管理工具能過(guò)對(duì)復(fù)雜的分布式eTrust SiteMinder系統(tǒng)進(jìn)行快速、輕松的開(kāi)發(fā)、配置和管理。功能特性產(chǎn)品特性實(shí)現(xiàn)單點(diǎn)登錄和對(duì)于用戶(hù)認(rèn)證和訪問(wèn)管理基于策略的集中化控制跨多應(yīng)用程序、平臺(tái)和互聯(lián)網(wǎng)域的單點(diǎn)登錄提供豐富的用戶(hù)體驗(yàn)、提高安全性能保證，同時(shí)降低由于口令丟失造成的客戶(hù)支持成本集中化的安全管

23、理通過(guò)減少需要大量IT人員管理的冗余的用戶(hù)目錄和應(yīng)用程序特定安全邏輯來(lái)降低IT 陳本和復(fù)雜程度認(rèn)證管理支持最廣泛的認(rèn)證途徑，包括：口令、標(biāo)識(shí)、X.509 認(rèn)證、定制化表單、生物測(cè)定以及以上這些方法的組合、CRL( 證書(shū)撤銷(xiāo)單 ) 和 OCSP（證書(shū)有效性檢查）實(shí)時(shí)交易安全和集成化WEB 服務(wù)從 WEB 應(yīng)用中撤銷(xiāo)安全商業(yè)邏輯并將其集中到SiteMinder成本和復(fù)雜程度創(chuàng)建用于實(shí)時(shí)評(píng)估來(lái)自本地或外源的不同動(dòng)態(tài)數(shù)據(jù)的安全策略訪問(wèn)第三方的基于XML的 WEB 服務(wù)，啟動(dòng)實(shí)時(shí)交易認(rèn)證企業(yè)級(jí)管理簡(jiǎn)易性降低管理成本策略中，從而降低運(yùn)營(yíng)OneView 監(jiān)控器通過(guò) WEB 瀏覽器或者 SNMP 系統(tǒng)管理應(yīng)用

24、程序?qū)﹃P(guān)鍵操作信息進(jìn)行預(yù)先監(jiān)控集中代理管理(CAM) 使得 IT 管理人員可以通過(guò)一個(gè)集中化的管理節(jié)點(diǎn)對(duì)大型WEB服務(wù)器環(huán)境中的所有的SiteMinder 代理進(jìn)行持續(xù)安全的管理。安全方案設(shè)計(jì)人員可以通過(guò)策略快速配置（RapidPolicy Deployment ）工具有效維持多種安全策略管理開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境。通過(guò)加強(qiáng)型、細(xì)分化的報(bào)表控制中心（Report Command Center）進(jìn)行運(yùn)營(yíng)環(huán)境分本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第8頁(yè)共15頁(yè)授權(quán)及審計(jì)策略，用戶(hù)對(duì)服務(wù)器的所有訪問(wèn)都必須經(jīng)過(guò)Agent 的處理后方可得到執(zhí)行。3用戶(hù)庫(kù)（

25、User Store ）：用戶(hù)庫(kù)中存放著用戶(hù)的認(rèn)證信息，在一個(gè)用戶(hù)請(qǐng)求訪問(wèn)某一資源后， Agent 會(huì)將請(qǐng)求發(fā)送到 Policy Server進(jìn)行判斷， 如果該資源是受保護(hù)的，則 Policy Server 會(huì)將用戶(hù)信息在用戶(hù)庫(kù)中進(jìn)行認(rèn)證，如果認(rèn)證通過(guò)則進(jìn)入權(quán)限檢查過(guò)程。目前用戶(hù)庫(kù)可以是關(guān)系數(shù)據(jù)庫(kù)、NTLM 、LDAP Server 、主機(jī)用戶(hù)等。4授權(quán)策略庫(kù)（ Policy Store ）：所有 Policy Server 制定的策略都存放在授權(quán)策略庫(kù)，該庫(kù)與 SiteMinder 系統(tǒng)是分離的，可以存放在關(guān)系數(shù)據(jù)庫(kù)、LDAP Server 中，當(dāng) Policy Server 需要進(jìn)行用戶(hù)認(rèn)

26、證及授權(quán)時(shí)， 就必須從 Policy Store 中進(jìn)行策略檢查。 SiteMinder 提供工具來(lái)導(dǎo)入和倒出制定的策略，用戶(hù)可以很方便地利用這些工具將已經(jīng)制定好或者以前制定好的策略進(jìn)行備份、恢復(fù)或者移植。eTrust SiteMinder工作原理1PolicyServer用戶(hù)認(rèn)證和權(quán)限存儲(chǔ)庫(kù)47?LDAP56?RDBMS?Mainframe? 員工? 合作伙伴? 客戶(hù)5317726Web Serverwith Agent?NT Domain被保護(hù)的應(yīng)用系統(tǒng)? 客戶(hù)服務(wù)系統(tǒng)? ERP 系統(tǒng)?OA系統(tǒng)附圖 2.eTrust SiteMinder工作原理如上圖所示，Siteminder 工作過(guò)程如

27、下：1用戶(hù)發(fā)出請(qǐng)求訪問(wèn)某一應(yīng)用系統(tǒng)的受保護(hù)資源本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第10頁(yè)共15頁(yè)2SiteMinder Agent 接到用戶(hù)請(qǐng)求后要求用戶(hù)進(jìn)行認(rèn)證3將用戶(hù)認(rèn)證信息送往Policy Server4用戶(hù)信息在用戶(hù)庫(kù)中被認(rèn)證5認(rèn)證信息返回給Policy Server 并傳遞給Agent6如果認(rèn)證通過(guò)， Web Agent 將用戶(hù)訪問(wèn)重定向到用戶(hù)需要訪問(wèn)的應(yīng)用系統(tǒng)，獲取相應(yīng)信息，否則將要求用戶(hù)重新進(jìn)行認(rèn)證7. 用戶(hù)看到能夠訪問(wèn)的內(nèi)容，同時(shí)將用戶(hù)認(rèn)證通過(guò)信息寫(xiě)入加密的瀏覽器cookie 中，以便實(shí)現(xiàn)SSO這種在一個(gè)單一的SiteMinde

28、r Policy Server 環(huán)境中實(shí)現(xiàn)所有應(yīng)用的用戶(hù)集中認(rèn)證和SSO功能，就是本項(xiàng)目中某一節(jié)點(diǎn)范圍內(nèi)實(shí)現(xiàn)統(tǒng)一認(rèn)證和SSO 的方法。eTrust SiteMinder的冗余部署結(jié)構(gòu)由于 eTrust SiteMinder 整體結(jié)構(gòu)的模塊化設(shè)計(jì)，因此 SiteMinder 能夠非常簡(jiǎn)便地根據(jù)可靠性及性能的要求進(jìn)行冗余部署，如下圖所示：NYLAWeb AgentGroupWeb AgentGroupSecondaryPrimaryConnectionPrimaryConnectionPolicyPolicyPolicyPolicyPolicyPolicyServerServerServerSer

29、verServerServer#1#2#3#4#5#6Cluster #1Cluster #2MonitorMonitor本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第11頁(yè)共15頁(yè)附圖 3.eTrust SiteMinder的冗余結(jié)構(gòu)設(shè)計(jì)說(shuō)明：首先，從上圖最上方的eTrust SiteMinder Web Agent來(lái)說(shuō)，由于eTrust SiteMinder WebAgent是安裝在Web Server 上，（或者是Application Agent也是如此，此處僅以Web Agent為例說(shuō)明）如果WEB Server本身就是采用冗余或者負(fù)載均衡部署

30、結(jié)構(gòu)，如采用四層交換實(shí)現(xiàn) WEB Server 的負(fù)載均衡等， 那么實(shí)際上 Web Agent 也同時(shí)實(shí)現(xiàn)了冗余或者負(fù)載均衡的結(jié)構(gòu)。第二， eTrust SiteMinder 本身是采用 Agent 驅(qū)動(dòng)的機(jī)制，也就是說(shuō)，只有當(dāng) Web Agent 發(fā)起對(duì) Policy Server 的訪問(wèn)時(shí)， Policy Server 才會(huì)對(duì) Agent 進(jìn)行響應(yīng)（除采用定期輪換通訊密鑰外），因此， 可以很方便地通過(guò) Agent 的設(shè)置將一個(gè) Agent 指向一個(gè) Policy Server 的群組或者位于不同地點(diǎn)的多個(gè) Policy Server 群組，這樣實(shí)際上就形成了 Policy Server 的

31、冗余或者負(fù)載均衡的結(jié)構(gòu)，這樣一個(gè)結(jié)構(gòu)會(huì)將指向冗余或者負(fù)載均衡的 Web Server 的請(qǐng)求均衡地指向不同的 Policy Server 進(jìn)行認(rèn)證、授權(quán)的負(fù)載均衡和實(shí)現(xiàn) Policy Server 本身的冗余處理。第三，所有的 Policy Server 都能夠通過(guò)統(tǒng)一的監(jiān)控系統(tǒng)對(duì)系統(tǒng)的健康狀況進(jìn)行監(jiān)控，如通過(guò) SNMP 與網(wǎng)管系統(tǒng)進(jìn)行集成， 通過(guò)網(wǎng)管系統(tǒng)發(fā)現(xiàn) SiteMinder 是否存在某些故障或?qū)Ξ?dāng)前的運(yùn)行狀態(tài)進(jìn)行監(jiān)控等。eTrust SiteMinder對(duì)平臺(tái)的支持平臺(tái)用戶(hù)目錄認(rèn)證系統(tǒng)其他系統(tǒng)Web AgentsSun Java SystemPasswordsApplication S

32、erversMicrosoft IISDirectory ServerPasswords over SSLSun ONENT DomainsBEA WebLogicForms-basedApacheMicrosoft ActiveIBM WebSphereX.509 certificatesHP ApacheDirectoryERP/CRMIBM Directory ServerFull CRL & OSCPPeoplesoftLotus DominoNovell eDirectorysupportSiebelIBM HTTPSmart cardsMS SQL ServerSAPOra

33、cle HTTPTwo factor tokensOracle RDBMSOracleDomino GoMethod ChainingSiemens DirXRADIUS NetworkPolicy ServerSAMLOracle InternetAccess DevicesMS NT/WinCustom methodsDirectoryFirewalls2000/Win2003Critical PathBiometric devicesCommunicationSun SolarisDirectory ServerCombination ofServers本文檔僅限深圳市卓越方達(dá)科技有限公

34、司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。HP-UXLotus Domino LDAPmethodsRed Hat第12 頁(yè)共15頁(yè)Enterprise LinuxCA eTrust成功案例北京移動(dòng)知識(shí)管理門(mén)戶(hù)系統(tǒng)統(tǒng)一認(rèn)證平臺(tái)面對(duì)競(jìng)爭(zhēng)已趨白熱化的無(wú)線通訊市場(chǎng)，北京移動(dòng)確立了三大“治本工程” ，而首當(dāng)其沖的就是知識(shí)管理。 北京移動(dòng)知識(shí)管理門(mén)戶(hù)系統(tǒng)是配合公司三大治本策略之知識(shí)管理策略搭建的配套 IT 系統(tǒng)。知識(shí)管理門(mén)戶(hù)系統(tǒng)旨在使用一系列的 IT 和管理手段來(lái)實(shí)現(xiàn)公司的知識(shí)回收、信息的迅速傳播、 員工的知識(shí)共享及交流協(xié)作等， 進(jìn)而促進(jìn)北京移動(dòng)服務(wù)水平的提高、 業(yè)務(wù)開(kāi)展的加速和企業(yè)文化的形成，

35、最終達(dá)到提高企業(yè)核心競(jìng)爭(zhēng)力的目的。在結(jié)構(gòu)上， 該知識(shí)管理門(mén)戶(hù)由負(fù)責(zé)身份認(rèn)證、數(shù)據(jù)分析、 個(gè)性化服務(wù)等多個(gè)功能模塊構(gòu)成。從長(zhǎng)遠(yuǎn)來(lái)講，知識(shí)管理門(mén)戶(hù)還需要同時(shí)提供合作伙伴以及客戶(hù)的有效接入及訪問(wèn)途徑，將合作伙伴的業(yè)務(wù)與北京移動(dòng)知識(shí)管理內(nèi)部信息化建設(shè)有機(jī)融合在一起，同時(shí)，在客戶(hù)的個(gè)性化需求與內(nèi)部系統(tǒng)之間建立溝通的橋梁，使得企業(yè)門(mén)戶(hù)可以提供擴(kuò)展的端到端的個(gè)性化服務(wù)。知識(shí)管理門(mén)戶(hù)對(duì)內(nèi)整合BOSS、網(wǎng)管、辦公等應(yīng)用系統(tǒng)，服務(wù)于全體移動(dòng)員工，對(duì)外與北京移動(dòng)的合作伙伴和客戶(hù)進(jìn)行信息溝通，實(shí)現(xiàn)信息橋梁的作用。在二期工程中， 北京移動(dòng)繼續(xù)采用了IBM WebSphere Portal 作為門(mén)戶(hù)的基礎(chǔ)平臺(tái)，采用Sit

36、eMinder 對(duì)各個(gè)系統(tǒng)的人員進(jìn)行統(tǒng)一管理，目前，北京移動(dòng)的用戶(hù)主要使用知識(shí)管理一期和 OA 兩個(gè)系統(tǒng)，這兩個(gè)系統(tǒng)需要分別使用不同的用戶(hù)名、密碼。在這種情況下，用戶(hù)需要記住 2 套用戶(hù)名和密碼，對(duì)于需要經(jīng)常使用其他IT 系統(tǒng)（如MIS 、USD 等）的用戶(hù)，就不得不記住更多的用戶(hù)名和密碼。這樣有可能導(dǎo)致用戶(hù)忘記密碼，從而增加管理員重置密碼的工作， 增加系統(tǒng)開(kāi)銷(xiāo)。 系統(tǒng)目前緊迫的需求是實(shí)現(xiàn)單點(diǎn)登錄功能。即用戶(hù)只需要在初始進(jìn)行一次登錄和身份認(rèn)證， 就可以訪問(wèn)其具有訪問(wèn)權(quán)限的任何系統(tǒng)，而不需要再次登錄， 后續(xù)系統(tǒng)會(huì)自動(dòng)獲取用戶(hù)信息，從而識(shí)別出用戶(hù)身份。這樣，無(wú)論用戶(hù)要訪問(wèn)多少個(gè)應(yīng)用，他只需要進(jìn)行一次登錄， 而不需要用戶(hù)重復(fù)的輸入認(rèn)證信息。從用戶(hù)管理方面， 實(shí)現(xiàn)統(tǒng)一用戶(hù)管理、統(tǒng)一授權(quán)， 對(duì)于用戶(hù)的變更， 添加用戶(hù)， 權(quán)限控制都使用統(tǒng)一的管理界面，減輕管理員負(fù)擔(dān)。本文檔僅限深圳市卓越方達(dá)科技有限公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第13頁(yè)共15頁(yè)河南移動(dòng)企業(yè)信息門(mén)戶(hù)系統(tǒng)統(tǒng)一認(rèn)證平臺(tái)河南移動(dòng)企業(yè)信息門(mén)戶(hù)系統(tǒng)是作為整合整個(gè)企業(yè)內(nèi)部資源的重要平臺(tái)， 作為一個(gè)面向全省員工使用的企業(yè)門(mén)戶(hù)系統(tǒng)，