|
基于SOA的統(tǒng)一身份認(rèn)證服務(wù)技術(shù)研究與實(shí)現(xiàn)
資源天下 2019/8/17 8:45:31
(接上頁(yè))
4.2 IDS的結(jié)構(gòu)
統(tǒng)一身份認(rèn)證通過(guò)統(tǒng)一管理不同應(yīng)用體系身份存貯方式��、統(tǒng)一認(rèn)證的方式,使同一用戶在所有應(yīng)用系統(tǒng)中的身份一致�,應(yīng)用程序不必關(guān)心身份的認(rèn)證過(guò)程。
從結(jié)構(gòu)上來(lái)看����,統(tǒng)一身份認(rèn)證系統(tǒng)由統(tǒng)一身份認(rèn)證管理模塊、統(tǒng)一身份認(rèn)證服務(wù)器�、身份信息存貯服務(wù)器三大部分組成�。
其中統(tǒng)一身份認(rèn)證管理模塊由管理工具和管理服務(wù)組成,實(shí)現(xiàn)用戶組管理���、用戶管理���;管理工具實(shí)現(xiàn)界面操作,并把操作數(shù)據(jù)遞交給管理服務(wù)器����,管理服務(wù)器在修改存貯服務(wù)器中的內(nèi)容。
統(tǒng)一身份認(rèn)證服務(wù)器向應(yīng)用程序提供統(tǒng)一的Webservice認(rèn)證服務(wù)���。它接收應(yīng)用程序傳遞過(guò)來(lái)的用戶名和密碼���,驗(yàn)證通過(guò)后把用戶的認(rèn)證令牌返回給應(yīng)用程序����。
身份存儲(chǔ)服務(wù)器存儲(chǔ)身份�、權(quán)限數(shù)據(jù)。其中身份存儲(chǔ)服務(wù)器可以選擇關(guān)系型數(shù)據(jù)庫(kù)����、LDAP目錄、AD等��。另外可以將CA發(fā)放的數(shù)字證書(shū)存儲(chǔ)在身份存儲(chǔ)服務(wù)器��。
如圖3所示:
圖3 認(rèn)證結(jié)構(gòu)
4.3 IDS的特點(diǎn)
(1)方便實(shí)用
實(shí)現(xiàn)單點(diǎn)登錄(SSO)��。用戶一次登錄后���,就可以依靠認(rèn)證令牌在不同系統(tǒng)之間切換��。
IDS所有的管理功能都是基于頁(yè)面實(shí)現(xiàn)的�,管理員只要通過(guò)瀏覽器即可完成管理工作����。
提出了分級(jí)管理員的概念�����,使管理大量用戶變成了可能����。
(2)跨平臺(tái)
IDS的實(shí)現(xiàn)基于SOA架構(gòu)��。
接口采用SOAP XML標(biāo)準(zhǔn)����,可跨平臺(tái)與多種類(lèi)型的應(yīng)用系統(tǒng)對(duì)接。
(3)支持多種身份存在方式
支持通用關(guān)系型數(shù)據(jù)庫(kù)
LDAP目錄
Microsoft Active Directory(AD)
(4)安全可靠
系統(tǒng)能夠集成成熟的認(rèn)證體系:CA��,可以保證交易和企業(yè)內(nèi)部活動(dòng)中的身份不可抵賴�,用戶簽名無(wú)法偽造��。
系統(tǒng)在數(shù)據(jù)傳輸過(guò)程中���,支持HTTPS方式的數(shù)據(jù)加密傳輸��,阻止數(shù)據(jù)被監(jiān)聽(tīng)��、分析���。
系統(tǒng)能夠定義管理多種權(quán)限級(jí)別策略����。
|