建立統(tǒng)一身份認證系統(tǒng)

系統(tǒng)實施方案

架構(gòu)圖如圖1所示。其中統(tǒng)一身份認證系統(tǒng)采用微軟公司ActiveDirectory域服務(wù)管理功能，操作系統(tǒng)采用Windows Server 2008，提供標準LDAP目錄服務(wù)，為了保證統(tǒng)一身份認證系統(tǒng)的高可用，AD域采用雙機實施方案。

單點登錄系統(tǒng)依托企業(yè)門戶來實現(xiàn)單點登錄功能，門戶首先實現(xiàn)AD域身份認證，并與各信息系統(tǒng)建立集成接口，將認證信息傳輸給其它信息系統(tǒng)認證模塊，同時其它信息系統(tǒng)具備識別統(tǒng)一身份認證系統(tǒng)認證信息的模塊。

1.統(tǒng)一身份認證實施方案

圖1 統(tǒng)一身份認證和單點登錄系統(tǒng)架構(gòu)圖

在企業(yè)部署兩臺PC服務(wù)器，安裝微軟公司W(wǎng)indows 2008操作系統(tǒng)，在兩臺服務(wù)器上部署微軟公司AD產(chǎn)品，系統(tǒng)采用高可用方案雙機部署模式，實現(xiàn)了企業(yè)統(tǒng)一身份認證服務(wù)并提供較高可用性。在域控服務(wù)器上，通過dcpromo命令安裝ActiveDirectory服務(wù)，安裝完畢即可配置完成企業(yè)LDAP目錄樹，實現(xiàn)企業(yè)部門和員工身份信息集中存儲，構(gòu)建完整統(tǒng)一的身份管理系統(tǒng)。

2.單點登錄系統(tǒng)實施方案

依托企業(yè)門戶系統(tǒng)實現(xiàn)門戶系統(tǒng)與統(tǒng)一身份認證集成，單點登錄系統(tǒng)在獲取身份認證Ticket后，將門戶系統(tǒng)認證身份、時間戳、Token信息傳遞到信息系統(tǒng)認證接口中，信息系統(tǒng)識別單點登錄認證信息后，返回認證Ticket，從 而實現(xiàn)信息系統(tǒng)單點登錄。為了保證單點登錄系統(tǒng)的高可用，門戶系統(tǒng)采用雙機集群負載均衡實施方案，能夠?qū)崿F(xiàn)雙機集群自動切換及負載動態(tài)分擔(dān)，提供穩(wěn)定單點登錄服務(wù)。

單點登錄系統(tǒng)為了保證身份認證安全，隨機生成時間戳，部分代碼如下：

單點登錄系統(tǒng)為了保證Toke信息不被篡改，系統(tǒng)對Toke進行加密，加密代碼如下：

3.認證模塊標準化

對于已建設(shè)信息系統(tǒng)，通過對其身份認證功能改造，實現(xiàn)統(tǒng)一身份認證，同時識別門戶單點登錄系統(tǒng)Ticket以完成單點登錄系統(tǒng)集成。對于新建設(shè)設(shè)信息系統(tǒng)，要求系統(tǒng)實施商嵌入該身份認證模塊，完成統(tǒng)一身份認證，認證部分代碼如下：

系統(tǒng)安全性

1.構(gòu)建服務(wù)器區(qū)安全域，部署服務(wù)器區(qū)防火墻。

2.服務(wù)器上部署防病毒軟件，保證終端安全。

3.實施AD域雙機部署，保證統(tǒng)一身份認證系統(tǒng)高可用。

4.實施門戶雙機集群負載均衡，實現(xiàn)單點登錄系統(tǒng)負載均衡。

5.開展服務(wù)器安全基線配置，定期開展漏洞掃描、補丁更新及加固工作。

6.通過IT運維審計系統(tǒng)，實現(xiàn)系統(tǒng)運維安全。