校园网统一身份认证案例描述
某大学现有外网和内网应用系统两大类。内网应用系统包括各院系、机构的二级部门应用系统,大多采用B/S模式实现,B/S模式的WWW服务器一般采用IIS和Apache实现Web访问,还有少量Domino。外网系统可以通过互联网直接访问,不需要认证用户身份。而内网系统需要身份认证才能进行访问,内网中各个系统的用户身份标识和口令又不统一,同一用户访问多个应用系统时需要输入不同的用户名和口令。为了解决身份认证的问题,此大学将身份认证系统作为校园网建设的重要内容之一,从而实现校外用户访问校园网内应用系统的身份认证功能。
统一认证需求分析—认证需求
目前校外用户访问校园网内的应用系统时,采用反向代理进行访问控制。现在,我们需要配置一套身份认证系统,当校外用户访问校内应用系统时,系统可以对其进行身份认证,从而取消反向代理服务器。主要需求如下:
1. 用户标识采用统一编码规则
校园网内的用户(包括教师、学生)采用统一的编码规则,实现用户身份的唯一标识(目前校内已有相应的规范)。
2. 身份认证系统与数据中心实时联动
学校已经建设了数据中心,因此身份认证系统中的用户标识可以从数据中心获得,并能与之实施联动。
3. 校内用户无需身份认证
校园网内的用户访问校园网应用系统时,因为已在网络连接时进行了端口认证,因此,无需再次进行身份认证。
4. 校外用户需要身份认证
校外用户访问校园网业务系统时需要进行身份认证,用户通过认证后,再次访问应用系统时,不需要二次认证。
统一认证需求分析—单点登录需求
目前用户在使用校园网内的多个业务系统时,必须输入多个用户名和口令进行多次认证,这给用户在使用系统时带来了很多麻烦,同时也增加了系统的维护工作量。因此现在需要有一个系统或机制实现“一次登录,全网可用”,即实现单点登录。主要需求如下:
1.整合所有应用系统
校园网内业务系统大多采用B/S模式,也有少量采用C/S模式,单点登录系统需要整合所有需要登录验证的应用系统。
2.一次认证,多次使用
校园网用户只需在网络连接或初始登录时输入用户名/口令进行认证,认证通过后,用户访问其他系统也使用同一用户身份,无需再次认证。
3.用户资源访问审计
用户登录后对校园网内资源的所有访问都记入日志,以便事后进行审计。
身份认证系统的总体设计和网络构架与实现的内容我们将会在下一节中介绍:分布式用户认证为单点登录护航 下篇
转载请注明:IT运维空间 » 安全防护 » 分布式用户认证为单点登录护航 上篇
发表评论