亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        統(tǒng)一認證平臺的選型及技術(shù)實現(xiàn)

        2019-10-20 15:46:04曾喻
        科技創(chuàng)新導(dǎo)報 2019年14期

        曾喻

        摘? ?要:隨著核電信息化程度越來越高,經(jīng)過近幾年持續(xù)建設(shè),已基本建立了覆蓋公司主要業(yè)務(wù)領(lǐng)域的信息系統(tǒng),給企業(yè)的業(yè)務(wù)開展提供了大力支持。但與此同時,由于各業(yè)務(wù)系統(tǒng)分步實施,系統(tǒng)功能又相對獨立,由于缺少基礎(chǔ)技術(shù)組件的支撐,各系統(tǒng)平臺都建立了單獨的用戶認證機制。隨著系統(tǒng)越來越多,最終用戶在訪問不同系統(tǒng)時,都需要重新進行身份認證,需要輸入不同的帳號和口令,不僅不方便,容易遺忘,還存在安全隱患。因此要建立統(tǒng)一認證平臺,將各個系統(tǒng)的認證方式進行統(tǒng)一,使得員工通過統(tǒng)一的入口,訪問各個系統(tǒng),大大提高員工的工作效率。

        關(guān)鍵詞:CAS? SAP PORTAL? 統(tǒng)一認證

        中圖分類號:TP315? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼:A? ? ? ? ? ? ? ? ? ? ? ? 文章編號:1674-098X(2019)05(b)-0008-02

        近年來,江蘇核電有限公司高度重視信息化建設(shè),經(jīng)過近幾年持續(xù)建設(shè),已基本建立了覆蓋公司主要業(yè)務(wù)領(lǐng)域的信息系統(tǒng),給公司業(yè)務(wù)開展提供了大力支持。但與此同時,由于各業(yè)務(wù)系統(tǒng)分步實施,系統(tǒng)功能又相對獨立,由于缺少基礎(chǔ)技術(shù)組件的支撐,各系統(tǒng)平臺都需要單獨的用戶認證,認證的機制也存在差異。用戶在訪問不同系統(tǒng)時,都需要重新進行身份認證,需要輸入不同的帳號和口令,不僅不方便,容易遺忘,還存在安全隱患。因此要建立統(tǒng)一認證平臺,將各個系統(tǒng)的認證方式進行統(tǒng)一,使得員工通過統(tǒng)一的入口,訪問各個系統(tǒng),大大提高員工的工作效率。

        1? 項目選型、設(shè)計及實現(xiàn)

        1.1 建設(shè)目標

        建立基于公司AD域的統(tǒng)一認證平臺,使用登錄票(Logon Ticket)或用戶映射(User Mapping)方式為多個信息系統(tǒng)實現(xiàn)統(tǒng)一身份認證,主要包括:

        單點登陸:用戶以統(tǒng)一門戶作為單一的登錄入口,訪問其它應(yīng)用系統(tǒng)平臺或業(yè)務(wù)功能。

        單點注銷:通過單一的退出操作,自動關(guān)閉已建立與后端多個應(yīng)用系統(tǒng)服務(wù)器的會話連接,提高用戶訪問應(yīng)系統(tǒng)的安全性。

        會話管理:定義登陸后用戶瀏覽器與身份認證服務(wù)之間連接的有效時長,可以配置相關(guān)管理規(guī)則,對“被保護資源”的使用進行強制重新認證。

        帳號審計:根據(jù)審計需要,提供審計報表查詢功能。操作日志:賬號管理、賬號映射管理和賬號同步管理的所有操作,都需寫入操作日志,并提供日志監(jiān)控功能。

        1.2 項目需求及現(xiàn)狀分析

        1.2.1 系統(tǒng)認證現(xiàn)狀分析

        分析江蘇核電有限公司系統(tǒng)用戶認證的現(xiàn)狀,江蘇核電認證方式主要有基于CAS的認證、基于SAP PORTAL的認證、系統(tǒng)自開發(fā)的認證。認證用戶源主要包括AD域用戶源、SAP ECC用戶源、內(nèi)部網(wǎng)員工薪資系統(tǒng)用戶源及系統(tǒng)自開發(fā)的用戶源。

        1.3 統(tǒng)一認證平臺選型分析

        通過現(xiàn)狀分析可以看出可選用的統(tǒng)一認證平臺的實現(xiàn)方式分為兩種:(1)基于SAP PORTAL登錄票的單點登錄;(2)基于認證系統(tǒng)(CAS)的單點登錄。因為單點登錄(SSO)的安全性問題比普通應(yīng)用的安全性還要嚴重,所以首先從兩種登錄方式的安全性角度入手進行分析。

        基于SAP PORTAL登錄票的單點登錄安全性分析。

        (1)當(dāng)web工程使用SAP登錄票進行身份認證時,用戶的登錄票以非永久性cookie的方式存儲在用戶的web瀏覽器中,因此,在使用SSL(https)協(xié)議進行傳輸過程中,開發(fā)時需要保護登錄票不被破壞或竊取。

        (2)需標記登錄票為安全的cookie,只有在在ssl(https)協(xié)議下,客戶端瀏覽器才發(fā)送cookie,可以通過設(shè)置UME參數(shù)ume.logon.security.enforce_secure_cookie=true來實現(xiàn)。

        (3)為了減少惡意用戶使用登錄票重復(fù)攻擊,建議減少登錄票的有效期,系統(tǒng)默認為8h,可以通過設(shè)置參數(shù)ume.admin.login.ticket_lifetime進行調(diào)整,這個調(diào)整需要重啟服務(wù),所以在更改此參數(shù)前,應(yīng)做好規(guī)劃。

        基于認證系統(tǒng)(CAS)的單點登錄的安全性分析。

        (1)CAS認證包含兩部分:CAS Server和CAS Client。CAS Server負責(zé)完成對用戶的認證工作,CAS Client負責(zé)部署在客戶端,當(dāng)有對本地 Web 應(yīng)用的受保護資源的訪問請求,并且需要對請求方進行身份認證,Web應(yīng)用不再接受任何的用戶名密碼等類似的 Credentials,而是重定向到CAS Server進行認證。

        (2)TGC(cookie)的安全性:CAS通過SSL協(xié)議發(fā)送到客戶端,信息被竊取難度非常大,確保CAS的安全性;指定TGC的有效期。

        (3)CAS的Service Ticket只能使用一次,CAS協(xié)議規(guī)定,無論Service Ticket驗證是否成功,CAS Server都會將服務(wù)端的緩存中清除該Ticket,從而可以確保一個Service Ticket 被使用兩次。

        (4)Service Ticket隨機生成,且在一段時間內(nèi)失效, 相關(guān)參數(shù)可以通過在web.xml中進行配置。

        所以就兩種登錄方式的安全性而言,基于認證系統(tǒng)(CAS)的單點登錄安全性要高于基于SAP PORTAL登錄票的單點登錄,項目決定使用CAS作為統(tǒng)一認證平臺。

        1.4 統(tǒng)一認證的技術(shù)實現(xiàn)及難點

        整個設(shè)計思路分為4部分,CAS與SAP PORTAL的集成,CAS與JAVA類系統(tǒng)的集成,CAS與.net類系統(tǒng)的集成,CAS與MDM及ECM等平臺系統(tǒng)集成,用戶源方面則選用最大用戶源AD域作為用戶源,以員工號做為唯一的ID號。

        基于CAS與JAVA類系統(tǒng)的集成,CAS與.net類系統(tǒng)的集成均有標準的接口規(guī)范,CAS與 ECM及主數(shù)據(jù)系統(tǒng)已經(jīng)實現(xiàn)了集成,而SAP PORTAL使用自己的認證方式,如何實現(xiàn)SAP PORTAL與CAS兩種認證方式之間的互信成為整個項目技術(shù)難點。

        首先要解決SAP Portal的CAS認證。為了保證SAP Portal的版本的統(tǒng)一,我們不能直接在SAP Portal中部署CAS Client(需要修改標準組件),所以,我們增加一個CAS認證組件來部署CAS Client,用于實現(xiàn)CAS Server的認證,獲取CAS當(dāng)前登錄賬號信息。如何讓SAP Portal信任CAS認證組件獲取的CAS登錄賬號,需要在SAP Portal的認證組件中增加一個CAS登錄模塊,用于認證CAS認證組件獲取的CAS登錄賬號。通過CAS登錄模塊登陸到SAP Portal后,需要一個頁面重定向到SAP PORTAL。我們在KM中增加了一個重定向到SAP PORTAL的html(KM內(nèi)容默認支持SAP Portal認證)。

        關(guān)于單點登出的實現(xiàn):用戶點擊登出,注銷SAP Portal會話,重定向到CAS認證組件的登出頁面,CAS認證組件的登出頁面,清除CAS Session,并重定向到CAS Server的登出頁面。

        綜上所述,通過在SAP Portal新增CAS Login Module組件及KM中增加了一個重定向到SAP PORTAL的html方式,實現(xiàn)了SAP Portal與CAS之前的互信。

        2? 結(jié)語

        借助CAS認證系統(tǒng)作為統(tǒng)一認證平臺,以AD作為唯一的用戶源,統(tǒng)一了各個系統(tǒng)用戶認證方式,大大減輕了用戶運維的難度和新系統(tǒng)的接入成本。對用戶而言,用戶可以通過單一的登錄頁面訪問各個系統(tǒng)處理工作任務(wù),有效地促進應(yīng)用系統(tǒng)內(nèi)部資源有機的協(xié)同與統(tǒng)一,滿足公司精細化管理的需要。

        參考文獻

        [1] 張建偉.基于統(tǒng)一身份認證平臺的局域網(wǎng)安全設(shè)計[J].計算機技術(shù)與發(fā)展,2019,29(1):124-129.

        [2] 王強.文獻共享平臺中統(tǒng)一認證技術(shù)研究與實現(xiàn)[J].軟件,2018,39(11):202-206.

        [3] 陳興伯,林宗祥,張云雯.基于數(shù)字化校園的統(tǒng)一認證平臺需求分析設(shè)計[J].信息通信,2018(9):133-134.

        岳好紧好湿夹太紧了好爽矜持| 少妇熟女视频一区二区三区| 在教室伦流澡到高潮h麻豆| 亚洲国产成人精品无码区在线观看| 夜夜爽无码一区二区三区| 任你躁国产自任一区二区三区| 亚洲一区二区三区av色婷婷| 黄片小视频免费观看完整版| 精品亚洲成a人在线观看| 爆乳熟妇一区二区三区霸乳 | 欧美综合图区亚洲综合图区| 日韩精品不卡一区二区三区| 熟女少妇av一区二区三区 | 亚洲中文字幕无码mv| 超91精品手机国产在线| 一区二区三区四区四色av| 精品人妻少妇丰满久久久免| 国内自拍情侣露脸高清在线| 中文乱码字慕人妻熟女人妻| 国产看黄网站又黄又爽又色| 狠狠综合亚洲综合亚色| 日本一区二区不卡在线| 先锋中文字幕在线资源| 国产成人午夜精华液| 亚洲欧美精品91| WWW拍拍拍| 久久精品国产免费一区二区三区| 又色又爽又高潮免费视频国产| 伊人蕉久中文字幕无码专区| 国产女同一区二区在线| 国产精品熟女视频一区二区三区 | 成人免费无码视频在线网站 | 欧美精品色婷婷五月综合| 久久国产亚洲高清观看| 亚洲夜夜骑| 亚洲无人区乱码中文字幕 | 人妻少妇被粗大爽.9797pw| 内射少妇36p九色| 精品欧美久久99久久久另类专区| 青青草原亚洲在线视频| 亚洲一品道一区二区三区|