企业级的级联身份认证架构及应用设计.pdf
《企业级的级联身份认证架构及应用设计.pdf》由会员分享,可在线阅读,更多相关《企业级的级联身份认证架构及应用设计.pdf(5页珍藏版)》请在咨信网上搜索。
1、SCIENCE&TECHNOLOGY INFORMATION科技资讯 2023 NO.16 信 息 与 智 能科技资讯SCIENCE&TECHNOLOGY INFORMATION企业级的级联身份认证架构及应用设计杨智 王宏 徐凯(四川中电启明星信息技术有限公司 四川成都 610041)摘要:随着企业信息化建设的不断深入,企业对信息化系统的应用需求也逐步深入。在各个应用的部署模式上,有的应用是在总部实现统一部署,有的应用是总部与子级分公司实现多级部署的模式并存。而在各子级分公司中,用户会涉及同时访问多套信息化应用进行办公,在此种情况下如何实现用户无差异访问统一部署应用与本地应用,并确保用户身份认
2、证的可靠性和安全性,是企业信息化应用实现单点认证一个必须解决的问题。该文结合在国网公司的实践经验,提出一套企业级的级联身份认证架构及应用设计方案,方案在确保总部与网省公司的身份认证的可靠性和安全性基础上,同时实现网省公司可以无差异访问统一部署业务应用与本地应用。关键词:身份单点认证 企业多级部署 企业级级联认证 无差异访问中图分类号:TP31文献标识码:A 文章编号:1672-3791(2023)16-0021-05Design of Eenterprise-level Cascaded Authentication Architecture and Its ApplicationYANG Z
3、hi WANG Hong XU Kai(Aostar Information Technologies Co.,Ltd.,Chengdu,Sichuan Province,610041 China)Abstract:With the continuous deepening of enterprise informatization construction,the application requirements of enterprises for the informatization system are also gradually deepening.In the deployme
4、nt mode of each application,some applications are deployed uniformly at headquarters,and some applications coexist in the multi-level deployment mode of headquarters and subsidiaries.In each subsidiary,users will be involved in accessing multiple sets of information applications for office work at t
5、he same time,and in this case,how to realize users undifferentiated access to unified deployment applications and local applications and ensure the reliability and security of user identity authentication is a problem that must be solved for enterprise information applications to achieve single sign
6、-on authentication.Based on the practical experience in State Grid Corporation of China,this paper proposes a design scheme of a set of enterprise-level cascaded identity authentication architecture and application.On the basis of ensuring the reliability and security of the identity authentication
7、of headquarters and provincial companies,the scheme also enables provincial companies to achieve the undifferentiated access to uniformly deployed business applications and local applications.Key Words:Single sign-on identity authentication;Multi-level enterprise deployment;Enterprise-level cascaded
8、 authentication;Undifferentiated access随着企业数字化建设的快速深入推进,企业应用对可靠性易用性的要求也逐步提高。在大型央企中,在各个应用的部署模式上,有的应用是在总部实现统一部署,有的应用是总部与子级分公司实现多级部署的模式,这两种模式并存。在央企推动改革创新的过程中,子级分公司的个性化需求更偏向于切合自身实DOI:10.16661/ki.1672-3791.2211-5042-4894作者简介:杨智(1990),男,本科,工程师,研究方向为企业信息化建设开发。21SCIENCE&TECHNOLOGY INFORMATION科技资讯信 息 与 智 能 2
9、023 NO.16 SCIENCE&TECHNOLOGY INFORMATION科技资讯际情况的需求,因此根据不同应用的实际情况,多种部署方式的情况会一直持续下去。因此,在子级分公司用户的日常办公中,子级分公司的本地业务应用与总部业务应用具有系统整合需求。这种系统整合主要采用界面集成的方式,大型企业一般是建设统一门户1作为统一入口,用户一次登录之后,可以访问有权限的业务应用,尤其是跨单位、跨域的场景下,界面集成须依赖具备级联能力的认证服务支撑。在此种情况下,如何保障统一部署的应用与多级部署应用之间的认证互通,确保用户登录统一门户之后能直接访问一级部署与多级部署的业务应用,是一个突出的问题。本文
10、结合支撑国网公司企业内部的级联认证经验,从数据同步2、级联认证、安全防护等方面提出的基于企业级的完整级联认证方案,并阐述了该方案在国网公司的实际应用情况。1 总体架构国家电网公司业务应用中,主要分成总部一级部署、省市公司二级部署两种部署方式:一是在国网总部集中部署,供全网使用的一级部署应用;二是总部网省两级部署,或是省市自建而部署在省市公司的二级部署应用。1.1 统一权限平台统一权限平台作为国网公司统一的身份认证、权限管理平台,承载了全网用户身份数据的集中管理与业务应用的统一认证业务。业务应用通过与统一权限平台集成,实现了身份维护与数据同步,用户访问业务应用之间的单点登录3,一来可以降低开发成
11、本,二来可通过统一权限的集中化管理,提升国网公司整体身份认证的安全防护能力。1.2 统一门户国网公司通过信息化的不断深入,建设了一套基于统一单点认证服务的内网企业门户,形成企业级认证、统一的门户展示、便捷性业务应用访问入口、平台级防护、开放式框架等核心能力,改变了大而全、专业间相互独立的企业级门户应用建设方式,实现应用入口集中、防护集中。统一门户在总部与网省都有个性化的一套部署,无论是网省还是总部用户,都会通过各自的门户平台去实现线上办公。统一权限平台同为两级部署架构,目前已分别实现了总部、省市公司Web端业务应用的身份纳管和统一认证,如图1所示。用户登录统一门户之后,如果访问总部一级部署的信
12、息化应用,则需要统一权限平台建立一套针对企业级应用的级联认证机制。企业级级联认证主要采用OAuth2.04协议实现业务应用的授权管理,统一权限在认证协议上支持CAS、OAuth2.0认证体系。要实现企业级的级联认证,两级统一权限的认证服务之间需要形成一种安全互信机制,实现的用户身份票据互。另外,两级统一权限之间要建立完善的数据同步机制,确保两侧数据一致。2 级联认证2.1 单点登录与级联认证单点登录的过程大致如下:首先,用户登录统一门户成功之后,在门户中点击业务应用图标;其次,业务统一权限平台统一权限平台身份管理认证管理权限管理 统一权限平台统一权限平台身份管理认证管理权限管理 一级部署应用一
13、级部署应用经法系统协同办公 党建系统I6000PMS2.0营销2.0 统一门户统一门户集成应用地址集成应用地址认证认证认证认证数数据据同同步步级级联联认认证证证证书书互互信信访问访问统一门户统一门户总部总部网省网省 图1 省市两级部署架构图22SCIENCE&TECHNOLOGY INFORMATION科技资讯 2023 NO.16 信 息 与 智 能科技资讯SCIENCE&TECHNOLOGY INFORMATION应用跳转统一认证进行登录,统一认证校验业务应用合法性之后,为业务应用颁发一次性单点票据,并重定向回业务应用;最后,业务应用后台用一次性票据到统一权限获得用户信息,登录结束。普通的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业级 级联 身份 认证 架构 应用 设计
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。