專(zhuān)利名稱(chēng):一種統(tǒng)一身份管理���、認(rèn)證和授權(quán)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域,尤其涉及一種統(tǒng)一身份管理�、認(rèn)證和授權(quán)的方法
及系統(tǒng)。
背景技術(shù):
隨著企業(yè)信息水平的不斷進(jìn)步和發(fā)展���,企業(yè)新增了許多應(yīng)用系統(tǒng)�����,也隨之出現(xiàn)了 用戶(hù)統(tǒng)一管理的相關(guān)問(wèn)題��。目前�����,大部分的企業(yè)應(yīng)用一般處于多系統(tǒng)分散的用戶(hù)管理�����、認(rèn) 證��、訪問(wèn)控制水平���。部分企業(yè)基于某些產(chǎn)品實(shí)現(xiàn)了未統(tǒng)一用戶(hù)的集中認(rèn)證或訪問(wèn)控制���。極 少企業(yè)在小規(guī)模范圍、小集成環(huán)境完成了統(tǒng)一用戶(hù)的認(rèn)證授權(quán)�����。 發(fā)明人通過(guò)研究發(fā)現(xiàn)�,現(xiàn)有的身份管理、認(rèn)證和授權(quán)中�����,多套系統(tǒng)具有多套賬號(hào)���、 多套口令�����、多套安全策略����,無(wú)法進(jìn)行統(tǒng)一的管理�;多套系統(tǒng)存在多種認(rèn)證方式,不易實(shí)現(xiàn)統(tǒng) 一認(rèn)證�����、單點(diǎn)登錄��;多級(jí)服務(wù)授權(quán)�,難以實(shí)現(xiàn)對(duì)企業(yè)資源的統(tǒng)一授權(quán);在企業(yè)管理流程中�����, 無(wú)法實(shí)現(xiàn)對(duì)用戶(hù)身份生命周期的統(tǒng)一管理�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明實(shí)施例的目的在于提供一種統(tǒng)一身份管理���、認(rèn)證和授權(quán)的方法
及系統(tǒng)����,實(shí)現(xiàn)對(duì)身份管理、認(rèn)證和授權(quán)的統(tǒng)一�。 為實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例提供了如下技術(shù)方案 —種統(tǒng)一身份管理����、認(rèn)證和授權(quán)的系統(tǒng),包括 統(tǒng)一管理服務(wù)器��、輕量級(jí)目錄訪問(wèn)協(xié)議LDAP服務(wù)器�����、統(tǒng)一認(rèn)證服務(wù)器���、訪問(wèn)管理 服務(wù)器���、統(tǒng)一登錄服務(wù)器和應(yīng)用服務(wù)器,其中�, 所述統(tǒng)一管理服務(wù)器,用于對(duì)統(tǒng)一身份信息進(jìn)行管理,數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)庫(kù)��,并將統(tǒng) 一身份信息同步入LDAP服務(wù)器中�����;所述統(tǒng)一身份信息包括用戶(hù)信息���、認(rèn)證信息和權(quán)限信 息; 所述輕量級(jí)目錄訪問(wèn)協(xié)議LDAP服務(wù)器����,用于存儲(chǔ)�、并向應(yīng)用服務(wù)器提供統(tǒng)一身份 信息; 所述訪問(wèn)管理服務(wù)器�,用于完成權(quán)限控制,當(dāng)用戶(hù)第一次登錄時(shí)通過(guò)在應(yīng)用服務(wù) 器獲取用戶(hù)輸入的登錄信息并轉(zhuǎn)發(fā)給統(tǒng)一認(rèn)證服務(wù)器�,所述登錄信息包括用戶(hù)統(tǒng)一登錄 名����、用戶(hù)所選擇的認(rèn)證方式和認(rèn)證參數(shù)����;獲取所述統(tǒng)一認(rèn)證服務(wù)器對(duì)當(dāng)前用戶(hù)的認(rèn)證結(jié)果����, 并對(duì)所述認(rèn)證結(jié)果進(jìn)行保存���;并根據(jù)用戶(hù)的權(quán)限信息進(jìn)行訪問(wèn)控制,或者將當(dāng)前用戶(hù)的權(quán) 限信息返回給應(yīng)用服務(wù)器進(jìn)行判定�;當(dāng)用戶(hù)在訪問(wèn)應(yīng)用系統(tǒng)功能時(shí)��,訪問(wèn)管理服務(wù)器判定 用戶(hù)的權(quán)限信息和用戶(hù)意欲訪問(wèn)的系統(tǒng)功能是否符合要求����,符合則允許訪問(wèn)該功能�����,不符 合則拒絕訪問(wèn)該功能�。 所述統(tǒng)一認(rèn)證服務(wù)器����,用于根據(jù)所述登錄信息對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證��、獲取認(rèn)證結(jié) 果�����,并將所述認(rèn)證結(jié)果返回給所述訪問(wèn)管理服務(wù)器�; 所述統(tǒng)一登錄服務(wù)器��,用于為應(yīng)用提供統(tǒng)一的登錄頁(yè)面,便于實(shí)現(xiàn)認(rèn)證功能在用
5戶(hù)界面的擴(kuò)展����,方便接入系統(tǒng)的登錄頁(yè)面的統(tǒng)一管理��;
所述應(yīng)用服務(wù)器,向用戶(hù)提供某類(lèi)具體應(yīng)用功能�。 所述用戶(hù)信息包括用戶(hù)統(tǒng)一登錄名、該統(tǒng)一登錄名在各個(gè)應(yīng)用系統(tǒng)中對(duì)應(yīng)的賬號(hào)
和用戶(hù)基本信息��;所述認(rèn)證信息包括用戶(hù)可使用的認(rèn)證方式���、認(rèn)證憑證和驗(yàn)證用戶(hù)認(rèn)證的
認(rèn)證內(nèi)容�����;所述權(quán)限信息包括用戶(hù)全局角色以及用戶(hù)在各個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)權(quán)限����。 —種統(tǒng)一認(rèn)證和授權(quán)的方法��,應(yīng)用于包括多個(gè)應(yīng)用服務(wù)器的系統(tǒng)中��,該方法包
括 訪問(wèn)管理服務(wù)器通過(guò)所述多個(gè)應(yīng)用服務(wù)器中的第一應(yīng)用服務(wù)器上的訪問(wèn)代理截 取用戶(hù)訪問(wèn)應(yīng)用系統(tǒng)的請(qǐng)求�����,當(dāng)用戶(hù)為未通過(guò)認(rèn)證的情況下���,轉(zhuǎn)發(fā)用戶(hù)請(qǐng)求至統(tǒng)一登錄服 務(wù)器��; 統(tǒng)一登錄服務(wù)器向用戶(hù)提供預(yù)先制定的用戶(hù)登錄界面�,獲取用戶(hù)輸入的登錄信 息���,將所述登錄信息提交到訪問(wèn)管理服務(wù)器并轉(zhuǎn)發(fā)給統(tǒng)一認(rèn)證服務(wù)器����,所述登錄信息包括 用戶(hù)統(tǒng)一登錄名�����、用戶(hù)所選擇的認(rèn)證方式和認(rèn)證參數(shù)�; 所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)所述登錄信息對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證策略的實(shí)現(xiàn)、完成認(rèn) 證���、獲取認(rèn)證結(jié)果�����,并將所述認(rèn)證結(jié)果返回給所述訪問(wèn)管理服務(wù)器��; 所述訪問(wèn)管理服務(wù)器對(duì)所述認(rèn)證結(jié)果進(jìn)行保存�,并將當(dāng)前用戶(hù)的統(tǒng)一身份信息根 據(jù)預(yù)先的配置返回給所述應(yīng)用服務(wù)器上的訪問(wèn)代理�����,所述返回的統(tǒng)一身份信息包括用戶(hù) 基本信息、用戶(hù)在應(yīng)用中的賬號(hào)信息�����、數(shù)據(jù)權(quán)限及全局角色信息�����; 所述應(yīng)用服務(wù)器上的訪問(wèn)代理在認(rèn)證結(jié)果為認(rèn)證通過(guò)時(shí)�,允許當(dāng)前用戶(hù)訪問(wèn)應(yīng)用 服務(wù)器,并根據(jù)當(dāng)前用戶(hù)在應(yīng)用服務(wù)器的賬號(hào)����、數(shù)據(jù)權(quán)限和全局角色信息進(jìn)行訪問(wèn)控制。
可選地�,該方法還包括 訪問(wèn)管理服務(wù)器通過(guò)所述多個(gè)應(yīng)用服務(wù)器中的第二應(yīng)用服務(wù)器上的訪問(wèn)代理截 取用戶(hù)訪問(wèn)應(yīng)用系統(tǒng)的請(qǐng)求��,如果所述訪問(wèn)代理確定當(dāng)前用戶(hù)符合訪問(wèn)策略時(shí)���,則不再對(duì) 當(dāng)前用戶(hù)進(jìn)行重新認(rèn)證��。 所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)所述登錄信息對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證����、獲取認(rèn)證結(jié)果包 括 所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)認(rèn)證策略配置�����,通過(guò)認(rèn)證策略引擎進(jìn)行認(rèn)證策略的判定 和執(zhí)行���; 在認(rèn)證策略判定執(zhí)行后��,所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)所述認(rèn)證方式將認(rèn)證參數(shù)發(fā)送 給對(duì)應(yīng)的子認(rèn)證服務(wù)器進(jìn)行認(rèn)證��; 所述統(tǒng)一認(rèn)證服務(wù)器接收所述子認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果���。
所述訪問(wèn)策略包括 單點(diǎn)登錄域策略或者會(huì)話管理策略,其中�, 所述單點(diǎn)登錄域策略為配置多個(gè)應(yīng)用系統(tǒng)屬于一個(gè)單點(diǎn)登錄域,在該域中�,當(dāng)所
述用戶(hù)訪問(wèn)第二應(yīng)用服務(wù)器時(shí),所述第二應(yīng)用服務(wù)器通過(guò)所述訪問(wèn)管理服務(wù)器確認(rèn)當(dāng)前用
戶(hù)的認(rèn)證結(jié)果為認(rèn)證通過(guò)后�����,則不需要用戶(hù)再次認(rèn)證,用戶(hù)依據(jù)自身的權(quán)限訪問(wèn)第二應(yīng)用
系統(tǒng)的服務(wù)���,當(dāng)所述用戶(hù)訪問(wèn)單點(diǎn)登錄域外的應(yīng)用系統(tǒng)時(shí)����,重新進(jìn)行認(rèn)證���; 所述會(huì)話管理策略為當(dāng)所述統(tǒng)一認(rèn)證服務(wù)器對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證的認(rèn)證結(jié)果為
認(rèn)證通過(guò)時(shí)��,在所述訪問(wèn)管理服務(wù)器對(duì)所獲認(rèn)證結(jié)果進(jìn)行保存的同時(shí)開(kāi)始計(jì)時(shí)��;當(dāng)所述認(rèn)證結(jié)果存在的時(shí)間達(dá)到預(yù)設(shè)的安全時(shí)間閾值時(shí)�����,將所述管理服務(wù)器中保存的所述認(rèn)證結(jié)果 改為認(rèn)證未通過(guò)��。 在實(shí)施所述單點(diǎn)登錄域策略時(shí)����,所述訪問(wèn)管理服務(wù)器將其所保存的當(dāng)前用戶(hù)的認(rèn) 證方式對(duì)應(yīng)的安全級(jí)別與所述第二應(yīng)用服務(wù)器所屬的第二應(yīng)用系統(tǒng)的安全級(jí)別進(jìn)行比較�����, 當(dāng)?shù)诙?yīng)用系統(tǒng)的安全級(jí)別高于其所保存的當(dāng)前用戶(hù)的認(rèn)證方式對(duì)應(yīng)的安全級(jí)別時(shí)�����,返回 登錄失敗的登錄結(jié)果���,并要求用戶(hù)選擇高級(jí)別的認(rèn)證方式重新登錄第二應(yīng)用服務(wù)器��。
通過(guò)認(rèn)證策略引擎進(jìn)行認(rèn)證策略的判定和執(zhí)行包括
從登錄信息中獲取當(dāng)前用戶(hù)的統(tǒng)一登錄名以及認(rèn)證方式����; 認(rèn)證引擎根據(jù)所述用戶(hù)的統(tǒng)一登錄名以及認(rèn)證方式確定對(duì)當(dāng)前用戶(hù)的認(rèn)證策 略���; 執(zhí)行所述認(rèn)證策略�,并給出認(rèn)證策略執(zhí)行結(jié)果����。 所述認(rèn)證策略主要為對(duì)用戶(hù)認(rèn)證行為的認(rèn)證次數(shù)、認(rèn)證時(shí)間及次數(shù)和時(shí)間的組 合判定��;所述認(rèn)證策略執(zhí)行結(jié)果包括允許用戶(hù)進(jìn)行認(rèn)證或拒絕用戶(hù)認(rèn)證并凍結(jié)���、鎖定用 戶(hù)或用戶(hù)的認(rèn)證憑證��。 當(dāng)所述認(rèn)證方式為靜態(tài)口令認(rèn)證時(shí)�,在生成用戶(hù)口令或者用戶(hù)自行修改口令時(shí)進(jìn)
行策略判定,所述認(rèn)證策略包括口令長(zhǎng)度�、大小寫(xiě)要求以及口令不許重復(fù)。
—種統(tǒng)一身份管理的系統(tǒng)��,包括 統(tǒng)一管理服務(wù)器���,用于為系統(tǒng)中的每個(gè)用戶(hù)設(shè)置一個(gè)統(tǒng)一身份信息�����,并對(duì)統(tǒng)一身
份信息進(jìn)行管理����,將所述統(tǒng)一身份信息的數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)庫(kù)���,所述統(tǒng)一身份信息包括用戶(hù)
信息�、認(rèn)證信息和權(quán)限信息��。用戶(hù)信息為用戶(hù)統(tǒng)一登錄名����、該統(tǒng)一登錄名在各個(gè)應(yīng)用系統(tǒng)中
對(duì)應(yīng)的賬號(hào)和用戶(hù)基本信息���;認(rèn)證信息為該用戶(hù)可使用的認(rèn)證方式���、認(rèn)證憑證和驗(yàn)證用戶(hù)
認(rèn)證的認(rèn)證內(nèi)容���;權(quán)限信息為用戶(hù)全局角色、用戶(hù)在各個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)權(quán)限�; 所述數(shù)據(jù)庫(kù)用于在數(shù)據(jù)發(fā)生變化時(shí)根據(jù)配置,將需要的信息同步寫(xiě)入輕量級(jí)目錄
訪問(wèn)協(xié)議LDAP主服務(wù)器中��; 所述LDAP服務(wù)器用于存儲(chǔ)��、并向各個(gè)應(yīng)用服務(wù)器供給統(tǒng)一身份信息�。 本發(fā)明實(shí)施例所提供的方案,實(shí)現(xiàn)了身份管理�、認(rèn)證和授權(quán)在一個(gè)組織或者系統(tǒng)
的不同的應(yīng)用系統(tǒng)間的統(tǒng)一,避免了多應(yīng)用系統(tǒng)分散的身份管理���、認(rèn)證或者授權(quán)過(guò)程造成
的管理重復(fù)建設(shè)��、管理混亂等問(wèn)題����,有效地減少了應(yīng)用系統(tǒng)重復(fù)開(kāi)發(fā)安全機(jī)制和服務(wù),使得
應(yīng)用系統(tǒng)能夠更加集中力量進(jìn)行專(zhuān)業(yè)化的開(kāi)發(fā)����,提高了應(yīng)用系統(tǒng)開(kāi)發(fā)專(zhuān)業(yè)化程度,有利于
規(guī)范身份管理����、訪問(wèn)管理的機(jī)制和流程,降低了接入過(guò)程的復(fù)雜度��。
圖1為本發(fā)明一實(shí)施例所提供的系統(tǒng)的結(jié)構(gòu)示意圖����; 圖2為本發(fā)明一實(shí)施例所提供的方法的流程圖; 圖3為本發(fā)明一實(shí)施例所提供的方法中一步驟的流程圖����; 圖4為本發(fā)明一實(shí)施例所提供的方法中一裝置的結(jié)構(gòu)原理圖; 圖5為本發(fā)明一實(shí)施例所提供的方法的信令交互圖�����; 圖6為本發(fā)明一實(shí)施例所提供的系統(tǒng)的結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式
本發(fā)明實(shí)施例公開(kāi)了一種統(tǒng)一身份管理、認(rèn)證和授權(quán)的方法及系統(tǒng)��,為使本發(fā)明 的目的����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白���,以下參照附圖并舉實(shí)施例�����,對(duì)本發(fā)明作詳細(xì)說(shuō)明�。
圖1是本發(fā)明一實(shí)施例所提供一種統(tǒng)一身份管理�、認(rèn)證和授權(quán)的系統(tǒng),包括統(tǒng)一 管理服務(wù)器101�、輕量級(jí)目錄訪問(wèn)協(xié)議LDAP服務(wù)器102、統(tǒng)一認(rèn)證服務(wù)器103����、訪問(wèn)管理服務(wù) 器104、統(tǒng)一登錄服務(wù)器105和應(yīng)用服務(wù)器106�����,其中, 所述統(tǒng)一管理服務(wù)器101�、用于對(duì)統(tǒng)一身份信息進(jìn)行管理,數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)庫(kù)�����,并 將統(tǒng)一身份信息同步入LDAP服務(wù)器中��;所述統(tǒng)一身份信息包括用戶(hù)信息����、認(rèn)證信息和權(quán)限 信息; 所述用戶(hù)信息包括用戶(hù)統(tǒng)一登錄名���,該統(tǒng)一登錄名在各個(gè)應(yīng)用系統(tǒng)中對(duì)應(yīng)的賬號(hào) 和用戶(hù)基本信息�;所述認(rèn)證信息包括用戶(hù)可使用的認(rèn)證方式����、認(rèn)證憑證和驗(yàn)證用戶(hù)認(rèn)證的 認(rèn)證內(nèi)容;所述權(quán)限信息包括用戶(hù)全局角色以及用戶(hù)在各個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)權(quán)限�����。
本發(fā)明一實(shí)施例中,所述用戶(hù)基本信息包括用戶(hù)出生日期��、職務(wù)��、聯(lián)系方式等���。
所述輕量級(jí)目錄訪問(wèn)協(xié)議LDAP服務(wù)器102�,用于存儲(chǔ)���、并向應(yīng)用服務(wù)器提供統(tǒng)一 身份信息��; 所述訪問(wèn)管理服務(wù)器103,用于通過(guò)在應(yīng)用服務(wù)器獲取用戶(hù)輸入的登錄信息并轉(zhuǎn) 發(fā)給統(tǒng)一認(rèn)證服務(wù)器�����,所述登錄信息包括用戶(hù)統(tǒng)一登錄名����、用戶(hù)所選擇的認(rèn)證方式和認(rèn)證 參數(shù);獲取所述統(tǒng)一認(rèn)證服務(wù)器對(duì)當(dāng)前用戶(hù)的認(rèn)證結(jié)果���,并對(duì)所述認(rèn)證結(jié)果進(jìn)行保存��;并 將當(dāng)前用戶(hù)在應(yīng)用服務(wù)器歸屬的應(yīng)用系統(tǒng)中的賬號(hào)�����、數(shù)據(jù)權(quán)限和全局角色信息一并返回給 應(yīng)用服務(wù)器���; 所述統(tǒng)一認(rèn)證服務(wù)器104�����,用于根據(jù)所述登錄信息對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證����、獲取認(rèn)證 結(jié)果���,并將所述認(rèn)證結(jié)果返回給所述訪問(wèn)管理服務(wù)器��; 所述統(tǒng)一登錄服務(wù)器105�,用于為應(yīng)用提供統(tǒng)一的登錄頁(yè)面�����,便于實(shí)現(xiàn)認(rèn)證功能在 用戶(hù)界面的擴(kuò)展,方便接入系統(tǒng)的登錄頁(yè)面的統(tǒng)一管理�;
所述應(yīng)用服務(wù)器106,向用戶(hù)提供某類(lèi)具體應(yīng)用功能�。 本發(fā)明實(shí)例所提供的一種統(tǒng)一身份管理、認(rèn)證和授權(quán)的系統(tǒng)通過(guò)統(tǒng)一管理服務(wù)器 對(duì)用戶(hù)身份��、認(rèn)證�����、訪問(wèn)控制進(jìn)行管理�;統(tǒng)一認(rèn)證服務(wù)器對(duì)用戶(hù)進(jìn)行統(tǒng)一認(rèn)證,給出認(rèn)證結(jié) 果�;訪問(wèn)管理服務(wù)器對(duì)用戶(hù)的統(tǒng)一權(quán)限進(jìn)行管理、判定�����;LDAP服務(wù)器實(shí)現(xiàn)身份信息數(shù)據(jù)存 儲(chǔ)��,向應(yīng)用系統(tǒng)提供相關(guān)數(shù)據(jù)�;統(tǒng)一登錄服務(wù)器定制并向用戶(hù)提供認(rèn)證界面�,通過(guò)各個(gè)組成 部分的有機(jī)結(jié)合實(shí)現(xiàn)了對(duì)用戶(hù)統(tǒng)一身份管理、認(rèn)證和授權(quán)的功能��。 參見(jiàn)圖2�����,結(jié)合圖l所示的統(tǒng)一身份管理、認(rèn)證和授權(quán)系統(tǒng)���,本發(fā)明一實(shí)施例還 提供一種統(tǒng)一認(rèn)證和授權(quán)的方法�����,該方法應(yīng)用于包括多個(gè)應(yīng)用服務(wù)器的系統(tǒng)中���,該方法包 括 S201、訪問(wèn)管理服務(wù)器通過(guò)所述多個(gè)應(yīng)用服務(wù)器中的第一應(yīng)用服務(wù)器上的訪問(wèn)代 理截取用戶(hù)訪問(wèn)應(yīng)用系統(tǒng)的請(qǐng)求�,當(dāng)用戶(hù)為未通過(guò)認(rèn)證的情況下,轉(zhuǎn)發(fā)用戶(hù)請(qǐng)求至統(tǒng)一登 錄服務(wù)器�; S202、統(tǒng)一登錄服務(wù)器向用戶(hù)提供預(yù)先制定的用戶(hù)登錄界面���,獲取用戶(hù)輸入的登 錄信息��,將所述登錄信息提交到訪問(wèn)管理服務(wù)器并轉(zhuǎn)發(fā)給統(tǒng)一認(rèn)證服務(wù)器�,所述登錄信息 包括用戶(hù)統(tǒng)一登錄名���、用戶(hù)所選擇的認(rèn)證方式和認(rèn)證參數(shù)����;
S203、所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)所述登錄信息對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證策略的實(shí)現(xiàn)����、 完成認(rèn)證、獲取認(rèn)證結(jié)果���,并將所述認(rèn)證結(jié)果返回給所述訪問(wèn)管理服務(wù)器�����;
參見(jiàn)圖3�����,所述認(rèn)證策略的實(shí)現(xiàn)包括 S301�、從登錄信息中獲取當(dāng)前用戶(hù)的統(tǒng)一登錄名以及認(rèn)證方式��; S302����、根據(jù)所述用戶(hù)的統(tǒng)一登錄名以及認(rèn)證方式確定對(duì)當(dāng)前用戶(hù)的認(rèn)證策略; S303��、執(zhí)行所述認(rèn)證策略�,并給出認(rèn)證策略執(zhí)行結(jié)果。 所述認(rèn)證策略主要為對(duì)用戶(hù)認(rèn)證行為的認(rèn)證次數(shù)��、認(rèn)證時(shí)間及次數(shù)和時(shí)間的組 合判定�����;所述認(rèn)證策略執(zhí)行結(jié)果包括允許用戶(hù)進(jìn)行認(rèn)證或拒絕用戶(hù)認(rèn)證并凍結(jié)����、鎖定用 戶(hù)或用戶(hù)的認(rèn)證憑證。 在本發(fā)明一實(shí)施例中�����,當(dāng)所述認(rèn)證方式為靜態(tài)口令認(rèn)證時(shí)��,在生成用戶(hù)口令或者 用戶(hù)自行修改口令時(shí)進(jìn)行策略判定��,所述認(rèn)證策略包括口令長(zhǎng)度��、大小寫(xiě)要求以及口令不
許重復(fù)�����。 圖4是本發(fā)明實(shí)施例所提供的方法中,統(tǒng)一認(rèn)證服務(wù)器的工作原理圖����,從圖中可 以看出,統(tǒng)一認(rèn)證服務(wù)器集成了多種子認(rèn)證服務(wù)器����,例如動(dòng)態(tài)口令認(rèn)證服務(wù)器、指紋認(rèn)證服 務(wù)器���、靜態(tài)口令認(rèn)證服務(wù)器等等��,不同認(rèn)證方式對(duì)應(yīng)不同的子認(rèn)證服務(wù)器�����。各種認(rèn)證方式抽 象為統(tǒng)一編碼的認(rèn)證憑證����,可以實(shí)現(xiàn)對(duì)用戶(hù)使用認(rèn)證方式的管理��。統(tǒng)一認(rèn)證服務(wù)器以統(tǒng)一 的服務(wù)接口向外提供多種機(jī)制的認(rèn)證服務(wù)����。結(jié)合圖4,本發(fā)明實(shí)施例中���,所述統(tǒng)一認(rèn)證服務(wù) 器根據(jù)所述登錄信息對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證��、獲取認(rèn)證結(jié)果包括 所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)認(rèn)證策略配置��,通過(guò)認(rèn)證策略引擎進(jìn)行認(rèn)證策略的判定 和執(zhí)行�����; 在認(rèn)證策略判定執(zhí)行后�,所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)所述認(rèn)證方式將認(rèn)證參數(shù)發(fā)送 給對(duì)應(yīng)的子認(rèn)證服務(wù)器進(jìn)行認(rèn)證�����; 所述統(tǒng)一認(rèn)證服務(wù)器接收所述子認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果�����。
在得到認(rèn)證結(jié)果后�����,可以繼續(xù)進(jìn)行如下步驟 S204、所述訪問(wèn)管理服務(wù)器對(duì)所述認(rèn)證結(jié)果進(jìn)行保存�����,并將當(dāng)前用戶(hù)的身份信息 根據(jù)預(yù)先的配置返回給所述應(yīng)用服務(wù)器上的訪問(wèn)代理��,所述返回的統(tǒng)一身份信息主要為身 份信息和權(quán)限信息����,包括用戶(hù)基本信息、用戶(hù)在應(yīng)用中的賬號(hào)信息��、數(shù)據(jù)權(quán)限及全局角色 信息����; S205、所述應(yīng)用服務(wù)器上的訪問(wèn)代理在認(rèn)證結(jié)果為認(rèn)證通過(guò)時(shí)�,允許當(dāng)前用戶(hù)訪 問(wèn)應(yīng)用服務(wù)器,并根據(jù)當(dāng)前用戶(hù)在應(yīng)用服務(wù)器的賬號(hào)�����、數(shù)據(jù)權(quán)限和全局角色信息進(jìn)行訪問(wèn) 控制��。 可選地�����,當(dāng)該用戶(hù)在訪問(wèn)完所述第一應(yīng)用服務(wù)器之后,繼續(xù)訪問(wèn)該系統(tǒng)中的第二 應(yīng)用服務(wù)器時(shí)��,該方法還包括 訪問(wèn)管理服務(wù)器通過(guò)第二應(yīng)用服務(wù)器上的訪問(wèn)代理截取用戶(hù)訪問(wèn)應(yīng)用系統(tǒng)的請(qǐng)
求����,如果所述訪問(wèn)代理確定當(dāng)前用戶(hù)符合訪問(wèn)策略時(shí)�,則不再對(duì)當(dāng)前用戶(hù)進(jìn)行重新認(rèn)證。
本發(fā)明實(shí)施例中的訪問(wèn)策略包括單點(diǎn)登錄域策略或者會(huì)話管理策略���。 所述單點(diǎn)登錄域策略為配置多個(gè)應(yīng)用系統(tǒng)屬于一個(gè)單點(diǎn)登錄域��,在該域中����,當(dāng)所
述用戶(hù)訪問(wèn)第二應(yīng)用服務(wù)器時(shí)�����,所述第二應(yīng)用服務(wù)器通過(guò)所述訪問(wèn)管理服務(wù)器確認(rèn)當(dāng)前用
戶(hù)的認(rèn)證結(jié)果為認(rèn)證通過(guò)后����,通過(guò)訪問(wèn)代理或訪問(wèn)代理提供的用戶(hù)信息和權(quán)限信息數(shù)據(jù)進(jìn)行用戶(hù)訪問(wèn)控制����;當(dāng)所述用戶(hù)訪問(wèn)單點(diǎn)登錄域外的應(yīng)用系統(tǒng)時(shí)���,必須重新認(rèn)證�。 可選地���,在實(shí)施所述單點(diǎn)登錄域策略時(shí)�,所述訪問(wèn)管理服務(wù)器將其所保存的當(dāng)前
用戶(hù)的認(rèn)證方式對(duì)應(yīng)的安全級(jí)別與所述第二應(yīng)用服務(wù)器所屬的第二應(yīng)用系統(tǒng)的安全級(jí)別
進(jìn)行比較�����,當(dāng)?shù)诙?yīng)用系統(tǒng)的安全級(jí)別高于其所保存的當(dāng)前用戶(hù)的認(rèn)證方式對(duì)應(yīng)的安全級(jí)
別時(shí)�,返回登錄失敗的登錄結(jié)果,并要求用戶(hù)選擇高級(jí)別的認(rèn)證方式重新登錄第二應(yīng)用服務(wù)器�����。 所述會(huì)話管理策略為當(dāng)所述統(tǒng)一認(rèn)證服務(wù)器對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證的認(rèn)證結(jié)果為 認(rèn)證通過(guò)時(shí)�,在所述訪問(wèn)管理服務(wù)器對(duì)所獲認(rèn)證結(jié)果進(jìn)行保存的同時(shí)開(kāi)始計(jì)時(shí);當(dāng)所述認(rèn) 證結(jié)果存在的時(shí)間達(dá)到預(yù)設(shè)的安全時(shí)間閾值時(shí)�����,將所述管理服務(wù)器中保存的所述認(rèn)證結(jié)果 改為認(rèn)證未通過(guò)。 本發(fā)明實(shí)施例所提供的方法���,為系統(tǒng)中所有的用戶(hù)提供一個(gè)統(tǒng)一登錄名����,用戶(hù)可 以通過(guò)該統(tǒng)一登錄名登錄系統(tǒng)中的任意一個(gè)應(yīng)用系統(tǒng)�,如果用戶(hù)在某個(gè)應(yīng)用系統(tǒng)中有對(duì)應(yīng) 的信息,那么通過(guò)該統(tǒng)一登錄名確定用戶(hù)在某一具體應(yīng)用系統(tǒng)中的數(shù)據(jù)權(quán)限和角色信息�, 進(jìn)而該應(yīng)用系統(tǒng)再根據(jù)用戶(hù)在該應(yīng)用系統(tǒng)上的信息為該用戶(hù)提供服務(wù)��,從而從根本上實(shí)現(xiàn) 了對(duì)系統(tǒng)中所有的用戶(hù)實(shí)現(xiàn)了統(tǒng)一身份管理��、認(rèn)證和授權(quán)����。
圖5以對(duì)一個(gè)具體的訪問(wèn)請(qǐng)求的處理為例對(duì)本發(fā)明實(shí)施例所提供的方法進(jìn)行詳 細(xì)的說(shuō)明,該方法中涉及到的交互主體包括用戶(hù)�、應(yīng)用服務(wù)器1、應(yīng)用服務(wù)器2���、統(tǒng)一登錄服 務(wù)器��、統(tǒng)一認(rèn)證服務(wù)器以及訪問(wèn)管理服務(wù)器��。該方法包括
S501 �����、用戶(hù)向應(yīng)用服務(wù)器1發(fā)送訪問(wèn)請(qǐng)求�。 S502、應(yīng)用服務(wù)器1的訪問(wèn)代理對(duì)該訪問(wèn)請(qǐng)求進(jìn)行攔截�,將該請(qǐng)求提交訪問(wèn)管理 服務(wù)器進(jìn)行該用戶(hù)是否通過(guò)認(rèn)證。 S503�、訪問(wèn)管理服務(wù)器確定用戶(hù)未通過(guò)認(rèn)證,則轉(zhuǎn)發(fā)訪問(wèn)請(qǐng)求至統(tǒng)一登錄服務(wù)器��。 S504��、統(tǒng)一登錄服務(wù)器向用戶(hù)彈出認(rèn)證菜單��,要求用戶(hù)進(jìn)行認(rèn)證�����。 S505�����、用戶(hù)輸入統(tǒng)一登錄名、選擇認(rèn)證方式并輸入對(duì)應(yīng)的認(rèn)證參數(shù)���,向統(tǒng)一登錄服
務(wù)器發(fā)出認(rèn)證請(qǐng)求�����。 S506�、統(tǒng)一登錄服務(wù)將所述認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給訪問(wèn)管理服務(wù)器����。
S507、訪問(wèn)管理服務(wù)器將發(fā)認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給統(tǒng)一認(rèn)證服務(wù)器��。 S508��、統(tǒng)一認(rèn)證服務(wù)器進(jìn)行認(rèn)證策略判定���,并根據(jù)認(rèn)證請(qǐng)求中用戶(hù)選取的認(rèn)證方 式將認(rèn)證參數(shù)發(fā)送給對(duì)應(yīng)的子認(rèn)證服務(wù)器進(jìn)行認(rèn)證,并接收認(rèn)證結(jié)果���。
S509�����、統(tǒng)一認(rèn)證服務(wù)器將認(rèn)證結(jié)果返回給訪問(wèn)管理服務(wù)器�����。 S510�����、訪問(wèn)管理服務(wù)器205記錄認(rèn)證結(jié)果�,并且,在認(rèn)證結(jié)果為通過(guò)認(rèn)證時(shí)��,根據(jù) 配置獲取當(dāng)前用戶(hù)的身份信息����。 其中,當(dāng)前用戶(hù)的身份信息包括用戶(hù)基本信息�、用戶(hù)在應(yīng)用中的賬號(hào)信息、數(shù)據(jù)權(quán) 限及全局角色信息����。 S511、將認(rèn)證結(jié)果返回至應(yīng)用系統(tǒng)的代訪問(wèn)代理�����,將相關(guān)用戶(hù)身份信息提交給訪 問(wèn)代理。 S512���、所述訪問(wèn)代理或者應(yīng)用服務(wù)器根據(jù)當(dāng)前用戶(hù)的賬號(hào)信息和權(quán)限信息對(duì)當(dāng)前 用戶(hù)進(jìn)行訪問(wèn)控制����,用戶(hù)使用系統(tǒng)服務(wù)�。 其中,當(dāng)前用戶(hù)的權(quán)限信息包括當(dāng)前用戶(hù)的數(shù)據(jù)權(quán)限和全局角色�。
S513、用戶(hù)先應(yīng)用服務(wù)器2發(fā)送訪問(wèn)請(qǐng)求���。 S514��、應(yīng)用服務(wù)器2的訪問(wèn)代理攔截到訪問(wèn)請(qǐng)求后�����,根據(jù)所述當(dāng)前用戶(hù)的統(tǒng)一登 錄名向訪問(wèn)管理服務(wù)器查詢(xún)當(dāng)前用戶(hù)的認(rèn)證結(jié)果 S515、當(dāng)訪問(wèn)管理服務(wù)器返回當(dāng)前用戶(hù)的認(rèn)證結(jié)果為認(rèn)證通過(guò)時(shí)�,執(zhí)行一系列訪 問(wèn)策略判定,在對(duì)當(dāng)前用戶(hù)的訪問(wèn)策略判定通過(guò)后�����,訪問(wèn)代理或應(yīng)用系統(tǒng)根據(jù)用戶(hù)的權(quán)限 對(duì)用戶(hù)進(jìn)行訪問(wèn)控制,用戶(hù)使用系統(tǒng)服務(wù)��。 其中�����,對(duì)當(dāng)前用戶(hù)的訪問(wèn)策略包括會(huì)話時(shí)間����、認(rèn)證強(qiáng)度和應(yīng)用安全等級(jí)比對(duì)等,可 以根據(jù)實(shí)際情況確定具體的訪問(wèn)策略����,本發(fā)明對(duì)此不做限定。 本發(fā)明實(shí)施例所提供的方法���,在應(yīng)用服務(wù)器上部署的訪問(wèn)代理在收到用戶(hù)的訪問(wèn) 請(qǐng)求時(shí)����,提交至訪問(wèn)管理服務(wù)器�����;訪問(wèn)管理服務(wù)器判斷該用戶(hù)是否認(rèn)證過(guò)����,未做認(rèn)證則轉(zhuǎn)發(fā) 交易請(qǐng)求至統(tǒng)一登錄服務(wù)器�,統(tǒng)一登錄服務(wù)器向用戶(hù)彈出認(rèn)證菜單�,要求用戶(hù)進(jìn)行認(rèn)證,并 將用戶(hù)提交的認(rèn)證信息通過(guò)訪問(wèn)管理服務(wù)器轉(zhuǎn)發(fā)至統(tǒng)一認(rèn)證服務(wù)器�����;在統(tǒng)一認(rèn)證服務(wù)器上 完成認(rèn)證判定后�,再將結(jié)果返回訪問(wèn)管理服務(wù)器;如果認(rèn)證通過(guò)����,則訪問(wèn)管理服務(wù)器將當(dāng)前 用戶(hù)的身份信息如全局角色和數(shù)據(jù)權(quán)限等返回給應(yīng)用服務(wù)器,應(yīng)用服務(wù)器根據(jù)該用戶(hù)的全 局角色和數(shù)據(jù)權(quán)限為用戶(hù)提供服務(wù)���。在整個(gè)系統(tǒng)內(nèi)實(shí)現(xiàn)了企業(yè)內(nèi)多系統(tǒng)的用戶(hù)身份管理����、 認(rèn)證和授權(quán)的統(tǒng)一��,避免了現(xiàn)有技術(shù)因一人多用戶(hù)��、多套口令���、多套安全策略等不統(tǒng)一的管 理造成的重復(fù)建設(shè)��、管理復(fù)雜等問(wèn)題�����,提升了企業(yè)信息系統(tǒng)總體安全防范能力和水平����,規(guī)范 了相關(guān)的安全管理流程���。 參見(jiàn)圖6�����,本發(fā)明一實(shí)施例還提供一種統(tǒng)一身份管理的系統(tǒng)�����,該系統(tǒng)包括
統(tǒng)一管理服務(wù)器601�����,用于為系統(tǒng)中的每個(gè)用戶(hù)設(shè)置一個(gè)統(tǒng)一身份信息�����,并對(duì)統(tǒng)一 身份信息進(jìn)行管理��,將所述統(tǒng)一身份信息的數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)庫(kù)�����,所述統(tǒng)一身份信息包括用 戶(hù)信息����、認(rèn)證信息和權(quán)限信息,用戶(hù)信息為用戶(hù)統(tǒng)一登錄名�����、該統(tǒng)一登錄名在各個(gè)應(yīng)用系統(tǒng) 中對(duì)應(yīng)的賬號(hào)���;認(rèn)證信息為該用戶(hù)可使用的認(rèn)證方式�、認(rèn)證憑證和驗(yàn)證用戶(hù)認(rèn)證的認(rèn)證內(nèi) 容�����;權(quán)限信息為用戶(hù)全局角色、用戶(hù)在各個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)權(quán)限����; 所述數(shù)據(jù)庫(kù)602���,用于在數(shù)據(jù)發(fā)生變化時(shí)根據(jù)配置���,將需要的信息同步寫(xiě)入輕量級(jí) 目錄訪問(wèn)協(xié)議LDAP主服務(wù)器中; 所述LDAP服務(wù)器603��,用于存儲(chǔ)�、并向各個(gè)應(yīng)用服務(wù)器供給統(tǒng)一身份信息。
將圖6與圖1進(jìn)行對(duì)比可以發(fā)現(xiàn)���,本發(fā)明實(shí)施例所提供的該一種統(tǒng)一身份管理的 系統(tǒng)實(shí)際上由圖1中的統(tǒng)一管理服務(wù)器101和LDAP服務(wù)器102與一個(gè)數(shù)據(jù)庫(kù)結(jié)合形成���,實(shí) 現(xiàn)對(duì)用戶(hù)統(tǒng)一身份信息的建立與管理。從而為實(shí)現(xiàn)統(tǒng)一身份管理����、認(rèn)證和授權(quán)奠定基礎(chǔ)。
本發(fā)明實(shí)施例所提供的系統(tǒng)��,實(shí)現(xiàn)了身份管理、認(rèn)證和授權(quán)在一個(gè)組織或者系統(tǒng) 的不同的應(yīng)用系統(tǒng)間的統(tǒng)一���,避免了多應(yīng)用系統(tǒng)分散的身份管理��、認(rèn)證或者授權(quán)過(guò)程造成 的管理重復(fù)建設(shè)��、管理混亂等問(wèn)題�����,有效地減少了應(yīng)用系統(tǒng)重復(fù)開(kāi)發(fā)安全機(jī)制和服務(wù)����,使得 應(yīng)用系統(tǒng)能夠更加集中力量進(jìn)行專(zhuān)業(yè)化的開(kāi)發(fā)��,提高了應(yīng)用系統(tǒng)開(kāi)發(fā)專(zhuān)業(yè)化程度���,有利于 規(guī)范身份管理���、訪問(wèn)管理的機(jī)制和流程,降低了接入過(guò)程的復(fù)雜度�����。 此外,本發(fā)明實(shí)施例所提供的系統(tǒng)通過(guò)對(duì)認(rèn)證強(qiáng)度和應(yīng)用系統(tǒng)安全級(jí)別的比較���, 在實(shí)現(xiàn)統(tǒng)一身份管理����、認(rèn)證和授權(quán)的基礎(chǔ)上���,還實(shí)現(xiàn)了多重安全級(jí)別的接入控制,進(jìn)一步增 強(qiáng)了整個(gè)系統(tǒng)的安全性����。 本發(fā)明可以在由計(jì)算機(jī)執(zhí)行的計(jì)算機(jī)可執(zhí)行指令的一般上下文中描述,例如程序模塊���。 一般地�����,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類(lèi)型的例程����、程序�、對(duì)象、組件、數(shù)據(jù)結(jié)構(gòu)等等����。也可以在分布式計(jì)算環(huán)境中實(shí)踐本發(fā)明,在這些分布式計(jì)算環(huán)境中��,由通過(guò)通信網(wǎng)絡(luò)而被連接的遠(yuǎn)程處理設(shè)備來(lái)執(zhí)行任務(wù)����。在分布式計(jì)算環(huán)境中,程序模塊可以位于包括存儲(chǔ)設(shè)備在內(nèi)的本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)中��。 以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�����,應(yīng)當(dāng)指出���,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)����,在不脫離本發(fā)明原理的前提下���,還可以做出若干改進(jìn)和潤(rùn)飾���,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍���。
權(quán)利要求
一種統(tǒng)一身份管理、認(rèn)證和授權(quán)的系統(tǒng)��,其特征在于���,包括統(tǒng)一管理服務(wù)器�����、輕量級(jí)目錄訪問(wèn)協(xié)議LDAP服務(wù)器、統(tǒng)一認(rèn)證服務(wù)器��、訪問(wèn)管理服務(wù)器�、統(tǒng)一登錄服務(wù)器和應(yīng)用服務(wù)器,其中����,所述統(tǒng)一管理服務(wù)器,用于對(duì)統(tǒng)一身份信息進(jìn)行管理�����,數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)庫(kù),并將統(tǒng)一身份信息同步入LDAP服務(wù)器中�;所述統(tǒng)一身份信息包括用戶(hù)信息、認(rèn)證信息和權(quán)限信息�;所述輕量級(jí)目錄訪問(wèn)協(xié)議LDAP服務(wù)器,用于存儲(chǔ)�����、并向應(yīng)用服務(wù)器提供統(tǒng)一身份信息��;所述訪問(wèn)管理服務(wù)器�����,用于完成權(quán)限控制�����,當(dāng)用戶(hù)第一次登錄時(shí)通過(guò)在應(yīng)用服務(wù)器獲取用戶(hù)輸入的登錄信息并轉(zhuǎn)發(fā)給統(tǒng)一認(rèn)證服務(wù)器�,所述登錄信息包括用戶(hù)統(tǒng)一登錄名、用戶(hù)所選擇的認(rèn)證方式和認(rèn)證參數(shù)����;獲取所述統(tǒng)一認(rèn)證服務(wù)器對(duì)當(dāng)前用戶(hù)的認(rèn)證結(jié)果,并對(duì)所述認(rèn)證結(jié)果進(jìn)行保存��;并根據(jù)用戶(hù)的權(quán)限信息進(jìn)行訪問(wèn)控制,或者將當(dāng)前用戶(hù)的權(quán)限信息返回給應(yīng)用服務(wù)器進(jìn)行判定��;當(dāng)用戶(hù)在訪問(wèn)應(yīng)用系統(tǒng)功能時(shí)�����,訪問(wèn)管理服務(wù)器判定用戶(hù)的權(quán)限信息和用戶(hù)意欲訪問(wèn)的系統(tǒng)功能是否符合要求�����,符合則允許訪問(wèn)該功能�����,不符合則拒絕訪問(wèn)該功能���;所述統(tǒng)一認(rèn)證服務(wù)器,用于根據(jù)所述登錄信息對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證��、獲取認(rèn)證結(jié)果�,并將所述認(rèn)證結(jié)果返回給所述訪問(wèn)管理服務(wù)器;所述統(tǒng)一登錄服務(wù)器����,用于為應(yīng)用提供統(tǒng)一的登錄頁(yè)面����,便于實(shí)現(xiàn)認(rèn)證功能在用戶(hù)界面的擴(kuò)展����,方便接入系統(tǒng)的登錄頁(yè)面的統(tǒng)一管理;所述應(yīng)用服務(wù)器���,向用戶(hù)提供某類(lèi)具體應(yīng)用功能�����。
2. 根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于��,所述用戶(hù)信息包括用戶(hù)統(tǒng)一登錄名�、該統(tǒng) 一登錄名在各個(gè)應(yīng)用系統(tǒng)中對(duì)應(yīng)的賬號(hào)和用戶(hù)基本信息;所述認(rèn)證信息包括用戶(hù)可使用的 認(rèn)證方式����、認(rèn)證憑證和驗(yàn)證用戶(hù)認(rèn)證的認(rèn)證內(nèi)容;所述權(quán)限信息包括用戶(hù)全局角色以及用 戶(hù)在各個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)權(quán)限。
3. —種統(tǒng)一認(rèn)證和授權(quán)的方法����,其特征在于,應(yīng)用于包括多個(gè)應(yīng)用服務(wù)器的系統(tǒng)中�,該 方法包括訪問(wèn)管理服務(wù)器通過(guò)所述多個(gè)應(yīng)用服務(wù)器中的第一應(yīng)用服務(wù)器上的訪問(wèn)代理截取 用戶(hù)訪問(wèn)應(yīng)用系統(tǒng)的請(qǐng)求,當(dāng)用戶(hù)為未通過(guò)認(rèn)證的情況下����,轉(zhuǎn)發(fā)用戶(hù)請(qǐng)求至統(tǒng)一登錄服務(wù) 器;統(tǒng)一登錄服務(wù)器向用戶(hù)提供預(yù)先制定的用戶(hù)登錄界面�,獲取用戶(hù)輸入的登錄信息,將 所述登錄信息提交到訪問(wèn)管理服務(wù)器并轉(zhuǎn)發(fā)給統(tǒng)一認(rèn)證服務(wù)器����,所述登錄信息包括用戶(hù)統(tǒng) 一登錄名、用戶(hù)所選擇的認(rèn)證方式和認(rèn)證參數(shù)���;所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)所述登錄信息對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證策略的實(shí)現(xiàn)��、完成認(rèn)證�、 獲取認(rèn)證結(jié)果��,并將所述認(rèn)證結(jié)果返回給所述訪問(wèn)管理服務(wù)器�;所述訪問(wèn)管理服務(wù)器對(duì)所述認(rèn)證結(jié)果進(jìn)行保存�,并將當(dāng)前用戶(hù)的統(tǒng)一身份信息根據(jù)預(yù) 先的配置返回給所述應(yīng)用服務(wù)器上的訪問(wèn)代理���,所述返回的統(tǒng)一身份信息包括用戶(hù)基本 信息、用戶(hù)在應(yīng)用中的賬號(hào)信息�����、數(shù)據(jù)權(quán)限及全局角色信息�����;所述應(yīng)用服務(wù)器上的訪問(wèn)代理在認(rèn)證結(jié)果為認(rèn)證通過(guò)時(shí)���,允許當(dāng)前用戶(hù)訪問(wèn)應(yīng)用服務(wù) 器�,并根據(jù)當(dāng)前用戶(hù)在應(yīng)用服務(wù)器的賬號(hào)��、數(shù)據(jù)權(quán)限和全局角色信息進(jìn)行訪問(wèn)控制����。
4. 根據(jù)權(quán)利要求3所述的方法,其特征在于��,還包括訪問(wèn)管理服務(wù)器通過(guò)所述多個(gè)應(yīng)用服務(wù)器中的第二應(yīng)用服務(wù)器上的訪問(wèn)代理截取用 戶(hù)訪問(wèn)應(yīng)用系統(tǒng)的請(qǐng)求�����,如果所述訪問(wèn)代理確定當(dāng)前用戶(hù)符合訪問(wèn)策略時(shí),則不再對(duì)當(dāng)前 用戶(hù)進(jìn)行重新認(rèn)證�。
5. 根據(jù)權(quán)利要求3所述的方法,其特征在于����,所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)所述登錄信息 對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證、獲取認(rèn)證結(jié)果包括所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)認(rèn)證策略配置����,通過(guò)認(rèn)證策略引擎進(jìn)行認(rèn)證策略的判定和執(zhí)行;在認(rèn)證策略判定執(zhí)行后�����,所述統(tǒng)一認(rèn)證服務(wù)器根據(jù)所述認(rèn)證方式將認(rèn)證參數(shù)發(fā)送給對(duì) 應(yīng)的子認(rèn)證服務(wù)器進(jìn)行認(rèn)證����;所述統(tǒng)一認(rèn)證服務(wù)器接收所述子認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果。
6. 根據(jù)權(quán)利要求4所述的方法�����,其特征在于�����,所述訪問(wèn)策略包括 單點(diǎn)登錄域策略或者會(huì)話管理策略����,其中,所述單點(diǎn)登錄域策略為配置多個(gè)應(yīng)用系統(tǒng)屬于一個(gè)單點(diǎn)登錄域���,在該域中�����,當(dāng)所述用 戶(hù)訪問(wèn)第二應(yīng)用服務(wù)器時(shí)����,所述第二應(yīng)用服務(wù)器通過(guò)所述訪問(wèn)管理服務(wù)器確認(rèn)當(dāng)前用戶(hù)的 認(rèn)證結(jié)果為認(rèn)證通過(guò)后�,則不需要用戶(hù)再次認(rèn)證,用戶(hù)依據(jù)自身的權(quán)限訪問(wèn)第二應(yīng)用系統(tǒng) 的服務(wù)����,當(dāng)所述用戶(hù)訪問(wèn)單點(diǎn)登錄域外的應(yīng)用系統(tǒng)時(shí),重新進(jìn)行認(rèn)證��;所述會(huì)話管理策略為當(dāng)所述統(tǒng)一認(rèn)證服務(wù)器對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證的認(rèn)證結(jié)果為認(rèn)證 通過(guò)時(shí)���,在所述訪問(wèn)管理服務(wù)器對(duì)所獲認(rèn)證結(jié)果進(jìn)行保存的同時(shí)開(kāi)始計(jì)時(shí)���;當(dāng)所述認(rèn)證結(jié) 果存在的時(shí)間達(dá)到預(yù)設(shè)的安全時(shí)間閾值時(shí)�,將所述管理服務(wù)器中保存的所述認(rèn)證結(jié)果改為 認(rèn)證未通過(guò)�����。
7. 根據(jù)權(quán)利要求6所述的方法��,其特征在于����,在實(shí)施所述單點(diǎn)登錄域策略時(shí),所述訪問(wèn) 管理服務(wù)器將其所保存的當(dāng)前用戶(hù)的認(rèn)證方式對(duì)應(yīng)的安全級(jí)別與所述第二應(yīng)用服務(wù)器所 屬的第二應(yīng)用系統(tǒng)的安全級(jí)別進(jìn)行比較����,當(dāng)?shù)诙?yīng)用系統(tǒng)的安全級(jí)別高于其所保存的當(dāng)前 用戶(hù)的認(rèn)證方式對(duì)應(yīng)的安全級(jí)別時(shí),返回登錄失敗的登錄結(jié)果����,并要求用戶(hù)選擇高級(jí)別的 認(rèn)證方式重新登錄第二應(yīng)用服務(wù)器。
8. 根據(jù)權(quán)利要求5所述的方法���,其特征在于��,通過(guò)認(rèn)證策略引擎進(jìn)行認(rèn)證策略的判定 和執(zhí)行包括從登錄信息中獲取當(dāng)前用戶(hù)的統(tǒng)一登錄名以及認(rèn)證方式��;認(rèn)證引擎根據(jù)所述用戶(hù)的統(tǒng)一登錄名以及認(rèn)證方式確定對(duì)當(dāng)前用戶(hù)的認(rèn)證策略����; 執(zhí)行所述認(rèn)證策略�,并給出認(rèn)證策略執(zhí)行結(jié)果。
9. 根據(jù)權(quán)利要求8所述的方法�����,其特征在于���,所述認(rèn)證策略主要為對(duì)用戶(hù)認(rèn)證行為的 認(rèn)證次數(shù)����、認(rèn)證時(shí)間及次數(shù)和時(shí)間的組合判定�;所述認(rèn)證策略執(zhí)行結(jié)果包括允許用戶(hù)進(jìn) 行認(rèn)證或拒絕用戶(hù)認(rèn)證并凍結(jié)、鎖定用戶(hù)或用戶(hù)的認(rèn)證憑征��。
10. 根據(jù)權(quán)利要求8所述的方法����,其特征在于���,當(dāng)所述認(rèn)證方式為靜態(tài)口令認(rèn)證時(shí),在 生成用戶(hù)口令或者用戶(hù)自行修改口令時(shí)進(jìn)行策略判定����,所述認(rèn)證策略包括口令長(zhǎng)度、大小 寫(xiě)要求以及口令不許重復(fù)�����。
11. 一種統(tǒng)一身份管理的系統(tǒng)��,其特征在于��,包括統(tǒng)一管理服務(wù)器���,用于為系統(tǒng)中的每個(gè)用戶(hù)設(shè)置一個(gè)統(tǒng)一身份信息�����,并對(duì)統(tǒng)一身份信 息進(jìn)行管理���,將所述統(tǒng)一身份信息的數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)庫(kù),所述統(tǒng)一身份信息包括用戶(hù)信息�、認(rèn)證信息和權(quán)限信息��。用戶(hù)信息為用戶(hù)統(tǒng)一登錄名����、該統(tǒng)一登錄名在各個(gè)應(yīng)用系統(tǒng)中對(duì)應(yīng) 的賬號(hào)和用戶(hù)基本信息�;認(rèn)證信息為該用戶(hù)可使用的認(rèn)證方式、認(rèn)證憑證和驗(yàn)證用戶(hù)認(rèn)證 的認(rèn)證內(nèi)容�����;權(quán)限信息為用戶(hù)全局角色�、用戶(hù)在各個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)權(quán)限�;所述數(shù)據(jù)庫(kù)用于在數(shù)據(jù)發(fā)生變化時(shí)根據(jù)配置,將需要的信息同步寫(xiě)入輕量級(jí)目錄訪問(wèn) 協(xié)議LDAP主服務(wù)器中���;所述LDAP服務(wù)器用于存儲(chǔ)���、并向各個(gè)應(yīng)用服務(wù)器供給統(tǒng)一身份信息。
全文摘要
本發(fā)明實(shí)施例公開(kāi)了一種統(tǒng)一用戶(hù)管理���、認(rèn)證和授權(quán)的方法和系統(tǒng)���,在本發(fā)明提供的實(shí)施中�,首先實(shí)現(xiàn)了企業(yè)用戶(hù)的整合集中���,即為實(shí)現(xiàn)了跨企業(yè)內(nèi)應(yīng)用的統(tǒng)一用戶(hù)����;然后基于統(tǒng)一用戶(hù)實(shí)現(xiàn)了統(tǒng)一認(rèn)證和訪問(wèn)控制����;并實(shí)現(xiàn)了對(duì)整個(gè)過(guò)程的統(tǒng)一管理。
文檔編號(hào)G06Q10/00GK101719238SQ200910238678
公開(kāi)日2010年6月2日 申請(qǐng)日期2009年11月30日 優(yōu)先權(quán)日2009年11月30日
發(fā)明者吳青云, 周鵬東, 安雷軍, 張曉東, 朱鵬, 李曉敦, 沙鋒, 趙亮, 郭漢利, 金志凌, 閆立志, 馬予強(qiáng) 申請(qǐng)人:中國(guó)建設(shè)銀行股份有限公司