2016/3/21 16:28:32 基于统一身份认证的单点登录技术在数字化校园中的应用

随着信息技术日新月异,高校的信息化建设取得了长足的进步,教学、科研、管理以及师生的日常生活都高度依赖校园信息化建设。但是尽管如此,存在一个很大的挑战:校内各部门在业务系统建设时各自为阵,没有统一接口的应用平台,各项应用的人口不统一,界面不统一,用户名和密码不统一,认证方式也各异,从而使得师生陷入了用户名和密码堆中,同时也使得管理和维护的成本非常高。所以,“应该建立一个统一的身份认证系统,从而实现统一的用户管理、统一的认证、统一的授权。”而数字化校园的核心内容之一就是把各种应用系统进行整合,建立一个安全、可靠、统一的身份认证中心。身份认证平台的核心思想是从方便用户使用和保证系统整体安全角度考虑,基于校园网络来实现应用系统用户的集中统一认证。重点包括:用户资料的集中存储和管理,用户身份集中的安全认证。

如果想要提供统一的用户管理、身份认证、安全保障的服务,就必须建立一个独立的、高安全性和可靠性的身份认证及用户权限管理系统,由该系统为校园网用户提供唯一的数字身份和实现基于SSO技术的单点登录,这样可以简化用户的操作,并能够提高系统整体安全。

一、什么是单点登录

“单点登录是指最终用户进行一次验证(即使用用户ID和口令登录)后即可访问多个应用程序的功能。”它不需要用户记住多个用户名、密码,也不需要用户进行多次登录访问的应用系统。单点登录主要有作用如下。

益教教育单点登录

1)从用户角度来看,单点登录解决了他们记忆多个用户名、密码的烦恼,解除了使用多个应用系统必须进行多次认证的重复劳动。

2)从系统管理员来看,单点登录系统可以使他们从繁琐的账号密码管理工作中解脱出来,不必每天为用户重置密码而苦恼,使从事信息化建设的工作人员真正的发挥他们在单位中的作用。

3)从应用开发商角度来看,单点登录使他们不必再开发身份认证模块,从而可以把更多精力投入到具体业务流程开发中。

4)从高校管理角度来看,单点登录提高了员工的工作效率,减少了管理成本,提高了高校信息系统的安全性,也节约了后续开发系统的成本,提高了经济效益。

二、传统的身份认证模式

身份认证平台支持集成高校数字化校园未来所有业务系统的集成业务,所有访问业务系统的用户,必须首先经过身份认证平台的校验。

1、认证过程

要完成认证集成,需要完成以下几步骤:

1)用户信息的同步

参考现有系统和规划系统中的用户信息系统,确定一套作为身份认证平台的“权威用户信息”,使用这套用户信息初始化身份认证平台,并保持两边的实时同步。对于新建系统,需要参照“权威认证信息”进行用户的处理;对于其他现有系统,需要根据“权威认证信息”做对应表,完成和身份认证的用户信息同步。

2)认证过程的集成

现有系统使用身份认证平台提供认证接口程序,登录现有系统时,跳转到身份认证平台,由平台进行身份校验,校验完成后返回认证的结果。跳转的方式有两种:1)界面跳转:访问现有系统时,直接跳转到统一身份认证系统的界面进行认证;2)界面不跳转,保持现有系统的认证界面,但后台的认证程序跳转到身份认证平台,由平台完成认证。

用户经过身份认证平台的认证后,将返回认证结果(是否通过,用户的id等信息),现有系统可根据认证结果进行自己的业务处理。

2、传统的认证模式缺点

1)对原有应用系统要进行改造,需要部署各种代理Agent程序。

2)对老的系统进行改造,可能存在软件开发人员找不到,而带来的人力、时间的浪费。

3)对C/S架构的软件系统,不能实现单点登录。

4)各应用系统对接,建设成本较高。

三、单点登录——即插即用解决方案

数字化校园单点登录

目前,有些厂商提出新的方式单点登录方式,是一种即插即用的解决方案。平台采用“即插即用”方式,达到“一点登录,全网漫游”的访问机制。其实现方式与应用系统的操作平台、开发平台、开发语言、数据库、Web服务器无关,可以在不改变现有软硬件及网络环境的前提下,无缝地将用户各种现有的应用系统整合到单点登录平台上,实现网络认证后就可访问所有的应用系统。该方案中,单点登录技术需要和802.1x或Web网络认证捆绑在一起,可以实现网络认证后就可访问允许访问的应用系统。捆绑的好处就是用户只需要登录一次就可以同时登录网络和应用系统。笔者认为对于校园网部分应用程序,即插即用的解决方案比传统的单点登录模式更加简便,实用。比如很多高校目前只有应用系统才采用单点登录,而邮件、VPN、上网账号只是做到了账号统一,就是和数字化校园的LDAP系统对接,实现账号统一。各高校在建设数字化校园的时候,整合老的应用系统的过程中也会发现有些无法进行整合,或者整合的成本很高,这时候即插即用解决方案成为首选。

1、工作原理

这种解决方案在认证服务器上保存用户所有应用系统的用户名和口令信息,认证服务器上采用透明转发机制,自动帮用户实现登录过程。需要配置每个需要认证的应用系统,形成存放用户名和口令的文件。当用户登录认证服务平台后,通过链接访问需要访问的应用系统,认证平台取出文件中对应的应用系统的用户名、口令,代替用户登录系统。用户除了第一次需要键入应用系统的用户名、密码外,以后可直接进入。

2、单点登录——插即用登录方式优点

1)应用无关性:即插即用解决方案对学校内部的各种应用程序不进行修改,而是通过系统配置的工作来实现。它的实现机制采用二次登录技术,与原有系统的开发语言、操作系统、数据库、应用平台类型等无关,真正体现了与“应用无关”的集成概念。保护所有类型的应用系统,可以保护基于各种协议,平台和开发语言的应用系统。在此方案中对系统采用配置的方式来实现对老系统实现单点登录。这种方案无论对于B/S还是C/S结构的应用系统都适用,尤其是对于C/S结构的应用系统,通过IE下载SSO控件,来对用户实现单点登录。不用对C/S系统进行改造,避免C/S不易实施单点登录问题。

2)即插即用:即插即用方案对老的系统不进行改造,以避免部门协调,开发商找不到而带来的实施周期长,成本高,或实施半途而废的现象。保持现有的软硬件及网络环境不变,保持用户原有的使用习惯。

3)高安全性和可靠性:利用数字证书进行身份认证,同时可以使用防火墙进行安全防护。移动用户可使用加密机制,将用户访问内部系统时在网上传输的数据进行加密处理,实现安全的远程访问。对于大用户量的访问,支持主备部署方式,以避免单点故障。用户可以在网内部署多认证台服务器,以平衡不同服务器之间的认证请求。单点登录可以整合网络登录功能,也提高了纯单点登录的安全性,因为网络认证可以绑定用户的IP、MAC、端口等信息,即使账号丢失了,由于绑定信息不对,用户也无法在其他地方登录,从而保证了应用系统的安全和账号的安全。

4)跨平台性:基于LDAP技术:提供了强大的跨平台性和跨应用管理能力,为企业其他系统共享资源提供基础。也便于其他应用系统采用同一标准开发纳入统一认证管理平台。


 
QQ在线咨询
销售热线
0371-53302651