统一身份认证系统

身份认证/访问控制

统一身份认证系统（IDS）基于SOA的架构，实现组织机构及人员信息存储，给应用系统提供用户登录、登录检查、会话保持、登录用户信息获取、SSO（单点登录）等功能。 

       IDS采用JAVA语言开发，利用Web Service作为数据传递和接口调用的桥梁，符合SOA的架构，系统扩展能力强，能够跨平台地与各种应用系统交互。1、IDS功能概述

       统一用户管理系统(IDS),实现网上应用系统的用户、角色和组织机构统一化管理，实现各种应用系统间跨域的单点登录和单点退出和统一的身份认证功能，用户登录到一个系统后，再转入到其他应用系统时不需要再次登录，简化了用户的操作，也保证了同一用户在不同的应用系统中身份的一致性。

图： 统一身份认证示意图

     如上图所示，IDS通过WebService对外发布认证服务，实现了平台的无关性，能与各种主机、各种应用系统对接。另外，IDS还提供了一套标准的接口，保证的IDS与各种应用系统之间对接的易操作性。

IDS的主要功能如下：       1) 用户管理 ：实现用户与组织创建、删除、维护与同步等功能；       2)  用户认证：通过SOA服务，支持第三方认证系统；       3) 单点登录 ：共享多应用系统之间的用户认证信息，实现在多个应用系统间自由切换；       4) 分级管理 ：实现管理功能的分散，支持对用户、组织等管理功能的分级委托；       5)  权限管理: 系统提供了统一的，可以扩展的权限管理及接口，支持第三方应用系统通过接口获取用户权限。       6)  会话管理： 查看、浏览与检索用户登录情况沈阳微信小程序

，管理员可以在线强制用户退出当前的应用登录；       7)  支持Windows、Linux、Solaris等操作系统；支持Tomcat、WebLogic、WebSphere等应用服务器；支持SQL Server等数据库系统；2、IDS的结构       统一身份认证通过统一管理不同应用体系身份存贮方式、统一认证的方式，使同一用户在所有应用系统中的身份一致，应用程序不必关心身份的认证过程。       从结构上来看，统一身份认证系统由统一身份认证管理模块、统一身份认证服务器、身份信息存贮服务器三大部分组成。       其中统一身份认证管理模块由管理工具和管理服务组成，实现用户组管理、用户管理；管理工具实现界面操作，并把操作数据递交给管理服务器，管理服务器在修改存贮服务器中的内容。       统一身份认证服务器向应用程序提供统一的Webservice认证服务。它接收应用程序传递过来的用户名和密码，验证通过后把用户的认证令牌返回给应用程序。       身份存储服务器存储身份、权限数据。其中身份存储服务器可以选择关系型数据库、LDAP目录、AD等。另外可以将CA发放的数字证书存储在身份存储服务器。

如下图所示：

3、IDS的特点1) 方便实用       实现单点登录（SSO）。用户一次登录后，就可以依靠认证令牌在不同系统之间切换。       IDS所有的管理功能都是基于页面实现的，管理员只要通过浏览器即可完成管理工作。       提出了分级管理员的概念，使管理大量用户变成了可能。2) 跨平台       IDS的实现基于SOA架构       接口采用SOAP XML标准，可跨平台与多种类型的应用系统对接3) 支持多种身份存在方式       支持通用关系型数据库       LDAP目录       Microsoft Active Directory(AD)4) 安全可靠       系统能够集成成熟的认证体系：CA，可以保证交易和企业内部活动中的身份不可抵赖，用户签名无法伪造。       系统在数据传输过程中，支持HTTPS方式的数据加密传输，阻止数据被监听、分析。       系统能够定义管理多种权限级别策略。