紫越统一认证系统

身份认证/访问控制

紫越统一身份认证系统支持多种整合方式，拥有科学的整合标准，对主流的基于.NET、J2EE、LOTUS NOTES等体系结构的系统整合有成熟的整合方案。系统整合对象即可包括新建的应用信息系统，也可包括部门原有的且可以进行应用整合改造信息系统。

1.1 应用场景

从系统架构中看到，统一身份认证系统的统一认证与统一用户密切配合为其他系统提供统一的用户身份管理、统一的认证认证及授权服务，实现用户登录门户后的“一次鉴权”。系统的部署包括访问路由（代理）服务、认证、授权服务、URL策略代理服务、SSO API服务以及证书管理服务。

系统提供两种整合方式：

（一）使用策略代理或单点登录代理（Policy Agent或SSO Agent）进行整合，策略代理是统一认证和用户平台提供的各类SSO的插件。

（二）使用统一认沈阳软件设计

证和用户平台提供的标准开发包，这是为应用系统与应用整合门户实现SSO时提供的开发包，包括web-based应用、java应用系统以及其它应用系统（.NET、LOTUS NOTES等）。开发包提供的开发接口基于web service技术，保证了对各种类型应用系统的支持。基于开发包用户可以访问统一认证和用户平台提供的各种服务：单点验证、用户信息、组织、组、权限、资源、授权等。

1.2 功能构成

1.3 统一用户身份的使用部署

统一身份管理通过在LDAP目录服务器中或关系型数据库中保存用户的信息，把各个应用系统的用户信息进行统一管理、存储；原应用系统存储在其它LDAP或数据库的用户信息需要部分地导入统一身份管理系统，供所有应用系统统一认证（可以通过手工导入或通过自动同步）。通过统一用户身份的管理，实现了用户UID全局唯一，用户登录一个应用系统后，再登录其他系统时不再提示用户登录，或登录一个系统后，通过链接直接访问其他应用系统。

1.4 支持的认证方式和策略

以统一用户平台为基础，对所有应用系统提供各类不同的认证方式和认证策略，以识别用户身份的合法性。用户认证平台支持以下几种认证方式和：

用户名/密码认证：这是最基本的认证方式；

PKI/CA数字证书认证：通过数字证书的方式认证用户的身份；

IP地址认证：用户只能从指定的IP地址或者IP地址段访问系统；

时间段认证：用户只能在某个指定的时间段访问系统；

访问次数认证：累计用户的访问次数，使用户的访问次数在一定的数值范围之内。各类认证方式的实现有一致的接口，管理员可灵活地进行装载和卸载，同时还可按照用户的要求方便地扩展新的认证模块。

认证平台也支持根据不同部门或岗位用户的不同认证安全要求，管理员可以灵活设置相应的认证方式，可以根据认证策略对认证方式进行增加、删除或组合，以满足各种认证的要求。