系統(tǒng)實(shí)施方案

架構(gòu)圖如圖1所示。其中統(tǒng)一身份認(rèn)證系統(tǒng)采用微軟公司ActiveDirectory域服務(wù)管理功能，操作系統(tǒng)采用Windows Server 2008，提供標(biāo)準(zhǔn)LDAP目錄服務(wù)，為了保證統(tǒng)一身份認(rèn)證系統(tǒng)的高可用，AD域采用雙機(jī)實(shí)施方案。

單點(diǎn)登錄系統(tǒng)依托企業(yè)門戶來實(shí)現(xiàn)單點(diǎn)登錄功能，門戶首先實(shí)現(xiàn)AD域身份認(rèn)證，并與各信息系統(tǒng)建立集成接口，將認(rèn)證信息傳輸給其它信息系統(tǒng)認(rèn)證模塊，同時其它信息系統(tǒng)具備識別統(tǒng)一身份認(rèn)證系統(tǒng)認(rèn)證信息的模塊。

1.統(tǒng)一身份認(rèn)證實(shí)施方案

圖1 統(tǒng)一身份認(rèn)證和單點(diǎn)登錄系統(tǒng)架構(gòu)圖

在企業(yè)部署兩臺PC服務(wù)器，安裝微軟公司W(wǎng)indows 2008操作系統(tǒng)，在兩臺服務(wù)器上部署微軟公司AD產(chǎn)品，系統(tǒng)采用高可用方案雙機(jī)部署模式，實(shí)現(xiàn)了企業(yè)統(tǒng)一身份認(rèn)證服務(wù)并提供較高可用性。在域控服務(wù)器上，通過dcpromo命令安裝ActiveDirectory服務(wù)，安裝完畢即可配置完成企業(yè)LDAP目錄樹，實(shí)現(xiàn)企業(yè)部門和員工身份信息集中存儲，構(gòu)建完整統(tǒng)一的身份管理系統(tǒng)。

2.單點(diǎn)登錄系統(tǒng)實(shí)施方案

依托企業(yè)門戶系統(tǒng)實(shí)現(xiàn)門戶系統(tǒng)與統(tǒng)一身份認(rèn)證集成，單點(diǎn)登錄系統(tǒng)在獲取身份認(rèn)證Ticket后，將門戶系統(tǒng)認(rèn)證身份、時間戳、Token信息傳遞到信息系統(tǒng)認(rèn)證接口中，信息系統(tǒng)識別單點(diǎn)登錄認(rèn)證信息后，返回認(rèn)證Ticket，從 而實(shí)現(xiàn)信息系統(tǒng)單點(diǎn)登錄。為了保證單點(diǎn)登錄系統(tǒng)的高可用，門戶系統(tǒng)采用雙機(jī)集群負(fù)載均衡實(shí)施方案，能夠?qū)崿F(xiàn)雙機(jī)集群自動切換及負(fù)載動態(tài)分擔(dān)，提供穩(wěn)定單點(diǎn)登錄服務(wù)。

單點(diǎn)登錄系統(tǒng)為了保證身份認(rèn)證安全，隨機(jī)生成時間戳，部分代碼如下：

單點(diǎn)登錄系統(tǒng)為了保證Toke信息不被篡改，系統(tǒng)對Toke進(jìn)行加密，加密代碼如下：

3.認(rèn)證模塊標(biāo)準(zhǔn)化

對于已建設(shè)信息系統(tǒng)，通過對其身份認(rèn)證功能改造，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，同時識別門戶單點(diǎn)登錄系統(tǒng)Ticket以完成單點(diǎn)登錄系統(tǒng)集成。對于新建設(shè)設(shè)信息系統(tǒng)，要求系統(tǒng)實(shí)施商嵌入該身份認(rèn)證模塊，完成統(tǒng)一身份認(rèn)證，認(rèn)證部分代碼如下：

系統(tǒng)安全性

1.構(gòu)建服務(wù)器區(qū)安全域，部署服務(wù)器區(qū)防火墻。

2.服務(wù)器上部署防病毒軟件，保證終端安全。

3.實(shí)施AD域雙機(jī)部署，保證統(tǒng)一身份認(rèn)證系統(tǒng)高可用。

4.實(shí)施門戶雙機(jī)集群負(fù)載均衡，實(shí)現(xiàn)單點(diǎn)登錄系統(tǒng)負(fù)載均衡。

5.開展服務(wù)器安全基線配置，定期開展漏洞掃描、補(bǔ)丁更新及加固工作。

6.通過IT運(yùn)維審計系統(tǒng)，實(shí)現(xiàn)系統(tǒng)運(yùn)維安全。