宁盾某客户统一身份与单点登录案例分享

、项目背景1. 概述统一身份认证并不是什么新概念， 它在企业信息化建设过程中一 直被提 及，是企业不断发展的必然结果。粗浅来说，统一身份认证是 在企业多应用系统 并存的环境下， 减少用户在各个独立的应用系统中 登录次数的技术。 但因各业 务系统建设时间各不相同， 再加上系统架 构等技术实现问题，很难简单地做统 一规划。在企业高速发展阶段， 考虑到耗资不小的系统集成和管理、 数据 改造、 用户培训等方面的成本， 企业往往选择暂时搁置统一身份认证 问题，而是沿袭 传统的系统建设模式， 即各业务系统独立用户认证模 块，并使用独立的认证机 制在各自的数据库中进行用户认证， 即便这 种系统建设模式有很多弊端。在企业发展进入稳定期后， 各业务系统独立分散的局面所带来的 弊端逐渐 突出，用户身份分散隔离，用户账号管理不方便、用户资料 不统一等等不一而 足， 造成企业身份管理成本和管控风险的几何倍增 加、员工登录各业务系统操 作繁琐。为了能使用这些应用服务，同一用户必须申请多套账号和密码， 这不仅登 录麻烦而且容易出现账号密码丢失、 泄露等安全问题。 且随 着互联网发展，安 全边界日益扩大，员工、外包、合作伙伴、供应商 混杂，账号安全风险日益增 加，业务系统身份安全要求越来越高。而对于管理员来说，需要不断来维护所有系统中分散着的账号。这意味着每当有新入职或岗位调动， 就必须在对应的每个应用中分别 创建/修改 账号，分配用户权限，而企业应用系统还会增加，所带来 的身份管理工作还会不 断增加。 应用越多则账号创建和维护的成本就 越高。企业寻求能解决以上多应用系统并行、 多账号源共存所带来的操 作不便、 账号安全、管理困难等一系列问题的有效方案。统一身份认 证和单点登录作为目 前主流的业务整合解决方案， 被企业正式提上了 日程。2. 关键点统一身份管理将分散在各业务系统中的用户和权限资源进行统 一、集中的 管理， 用户的统一认证和单点登录改变原本孤立化的身份 认证及授权管理， 方 便管理员进行运维管理工作， 简化用户访问内部 各系统的过程，使得用户只需 要通过一次身份认证过程就可以访问具 有相应权限的所有资源。统一身份认证方 案主要解决如下关键问题： 单点登录用户在访问整个网络中的业务系统时， 只有一次主动地身份认证 过程，之 后就可以自如地在各业务系统中自由切换， 省去多次输入用 户名和密码进行身 份认证的操作过程。用户存储将各应用系统中的用户信息进行集中管理， 建立一个统一的用户 身份信息 存储库， 避免多套账号密码造成的用户信息的冗余， 也方便 管理员做管理和维 护。主要采用的方式是目录服务。业务系统整合 整合所有业务系统， 提供统一的身份认证， 由统一身份认证系统 将用户 的登录信息与身份信息存储库（目录服务）做比对，以认证用 户身份。各应用系 统无需再独立开发用户认证模块以及建立各自的身 份信息库。统一身份认证系统 还应负责检验单点登录用户token的合法性。安全认证提供安全的身份认证机制， 确保拥有访问权限的用户才能进入业 务系统， 减少未授权用户盗取、破坏企业业务信息的可能性，最常见 的方式是借助双因素 认证技术来保障用户登录身份安全。权限管理对各应用系统中的用户权限进行统一管理， 而不是直接在各业务 系统内分 别进行授权。 按照权限将用户划分成不同的角色、 用户组等， 对角色、用户组 进行集中授权。生命周期管理良好的身份管理系统， 建立在账号生命周期管理之上。 账号生命 周期管 理是指从新用户进入后的账号新建、启用、分组、分角色、权 限申请、审批、更 改等，到人员离开后账号的冻结、注销，形成一个 完整的管理流程。二、身份管理方案1. 方案概述 身份管理这一概念自提出起主要涉及三个主题： 认证、存储以及 管理，依 次解决的是判断一个用户是否为合法用户、 如何存储用来判 断用户合法性的身 份信息、如何管理这些身份信息等问题。相对应的， 在业务场景下， 统一身份管理主要探讨的仍然是以上 三个问 题，但要求实现“统一”，即整合认证、统一身份信息存储及 账号生命周期管 理。 整合认证是指整合各独立应用系统的认证方式及 分离于各应用的身份认证 过程， 实现统一认证； 统一身份信息存储是 指建立一个统一的用户身份信息 库， 负责存储分散在各应用中的用户 身份信息； 账号生命周期管理是指建立用 户账号的创建、 变更到注销 / 冻结的完整统一的管理流程。这就好比我们每个人刚出生时派出所户籍管理处会其编制一个 独一无二的 公民身份证号码， 作为唯一身份标识。 以后该公民银行开 户、办理护照等都需 要核验身份证来证明其身份。 而大家的身份信息 都统一存储在全国公民身份信 息系统中。 如果身份信息发生更改， 如 户籍地址（也是身份证上的“住 址”），需要到派出所办理相应手续 后领取新的身份证， 而被更改的信息也会 在全国公民身份信息系统做 相应的更新。在上述描述中， 我们去银行开户、 办理护照等用身份证来证明身 份，就 是一次次身份认证的过程。 而身份证号码作为唯一的身份标识、 身份证作为唯 一的证明工具， 可以既能用于办理银行开户又能办理出 入境手续，就是整合认 证（当然并非 IT 意义上的）。全国公民身份 信息系统用来统一存储大家的身份 信息， 也就是建立了统一的用户身 份信息库。而我们自出生起伴随一生的公民 身份证号码按国家标准被 编制生成、 以及按照预先规定好的流程办理户籍地址 更改， 就是账号 生命周期管理的具体体现。集中解决业务场景下统一身份管理的整合认证、身份信息存储、 账号生命周期管理三大问题， 来建立完整、 持续的统一身份认证和管 理体系。1）方案架构外网DMZs,1-K4iK!IIIB_wLj幷二梓|殍应用1应，;：应二用户终端User Center内网DKEY AM （主）DBLDAP用户身份信息库整合认证：不论企业总部还是分支，所有终端用户访问各业务系 统，统一 通过Portal门户来进入。用户操作平台（User Center）向身份认证平台（DKEY AM ）发送认证请求。身份认证平台（DKEY AM）调取LDAP服务 器/DB数据库中存储的身份信息并进行验证。仅一次身份验证通过后，用户即 可访问所有业务系统，而不需要切换到每个 业务系统中做多次重复验证。身份信息存储：借助LDAP或DB数据库存储用户身份信息，形成身份信 息库，包含了用户基本信息（如工号、姓名、性别等）、用 户类型（如员工、 代理商、外包等）、职能信息（如岗位、部门、职 级等）、属性信息（如身份 证号、家庭地址等）、认证信息（如账号 密码等）、授权信息（如角色、分组 等）。企业一般采用身份信息库 的工号/用户 ID 等作为用户的唯一身份标识，映 射到各应用系统中。账号生命周期管理：借助流程引擎，如BPM（ Bus in ess ProcessManager业务流程管理）或0A （ Office Automation办公自动化）， 连接HR及其他各业务系统，为不同类型的用户（如员工、外包、供 应商等） 自定义账号创建、审批等业务流，形成与企业自身业务相匹 配的生命周期管理 流程。当有新人员进入时，企业为其在HR系统中新增一条身份数据，这时针 对该用户的账号生命周期管理流程启动。 流程引擎在探测到该数据后，驱动 LDAP 或类似服务创建对应账号并 存储在用户身份信息库中。然后各业务系统 根据流程引擎的预定义， 以用户的唯一身份标识来创建各自的账号。 同理，流 程引擎探测到该 用户的身份信息发生变更，会驱动各业务系统自动/半自动同步更新。 后文会详 细说明流程引擎的概念和作用。账号生命周期管理的自动化程度， 受制于企业当前业务逻辑、各 业务系统弹性、企业信息化程度等诸多现实因素。2）方案组件架构中各组件之间相互支撑协作，主要负责：DKEY AM :基于 SSO 协议（如标准 OAuth2.0、 SAML、 CAS、OIDC及EasySSO协议等）与各业务系统对接，接管各业务系统身份认证； 通过LDAP目录服务或DB中存储的用户数据和权限，并为用户提供统一认 证、访问控制、授权管理及双因素认证等服务。LDAP Server/DB 数据库：是整个方案的身份信息数据中心， 作为账号源负责账号的统一存储 (如 AD 、IBM TDS 等)，为 DKEY AM 提供用户身份 数据源并提供同步服务。User Center ：作为用户登录认证门户 Portal 的后端服务器，提 供各应 用系统的统一登录， 为终端用户存储应用列表及提供如账号密 码修改、令牌绑 定等自助服务。门户 Portal 为终端用户提供多业务 系统的 SSO 单点登录入 口，并负责传递单点登录用户 token ，是统 一身份认证过程中终端用户唯一能 直观感知到的。方案中DKEY AM作为身份管理的核心组件，必须由提供。User Center 也是由提供，在企业已有 Portal 门户的情况下可根据需求沿 用原有组件。其他 组件可灵活配置， 具体在后文会有针对性地做描述。方案将 User Center 分离在 DMZ 区，其他组件放置在内网， 目 的是分 离账号 /业务系统的非关键数据及核心数据，从而提高系统的 安全性，也有利于 执行负载均衡和高可靠的实现。2. 名词解释1) 单点登录( Single Sign On )在跨业务系统访问中， 用户只需登录一次， 认证通过后就可以访 问权限 内的其他所有业务系统的机制， 即单点登录。 在单点登录流程 中，当用户第 次主动访问时，需要做身份信息认证，如果认证通过则AM认证系统返回一 个token给用户，用户访问其他应用时，只 需要带上这个token作为自己的凭 证即可，AM认证系统负责检查该token的合法性，如果合法，则用户不需要重演登录过程就可以访问。为了实现 SSO 则必须为多应用统一提供一个的单一登陆点，即并负责各应用SSO单点登录门户Portal。在统一身份认证过程中，SSO门户是用户访问各 应用并进行身份认证的唯一入口，给出用户访问登录页面， 依据用户身份授权 信息显示用户能够访问的所有应用， 间传递单点登录 token。tl /tV釋融 用反 Office 365心tokeriSSO统一号录门户U&ername2）轻量级目录访问协议（LDAP）要实现统一身份认证系统，就需先解决用户账号信息、授权信息 的统一存 储和管理。目录服务很好地解决了这个问题，它就像一部字 典，能够对公司中 的人员身份进行结构化存储，并提供快速的查询， 有了它可以统一管理大量用 户。轻量级目录访问协议 LDAP （ Lightweight Directory AccessProtocol ），是基于 X.500 标准的轻量级的目录服务，以树形结构 存储信息， 实现对组织、部门、人员、策略及其他资源的集中、分层、 分组管理，具备访问控制灵活、查询效率高等特点作为一个开放的目录服务标准， LDAP 已成为企业身份管理的事 实性标 准。 LDAP 优越的互操作性和兼容性，可以帮助企业搭建一个 统一的身份管理框架， 并具有强大的跨应用管理能力， 为企业其他系 统共享资源提供基础。 市面上主流的目录服务产品有 IBM Tivoli 、 Microsoft AD 、 Novell eDirectory 、 ForgeRock OpenDJ 等。3) 单点登录协议企业迫切要求将繁多的业务系统进行整合， 实现统一管理、 统一 认证。 必须具有一套标准，来实现各个应用与门户的集成，这就是单 点登录协议。不 同的应用系统支持的 SSO 协议也会有差异。目前市 面上主流的标准化 SSO 协议有 OAuth2.0 、SAML 、CAS、OIDC 等。 一般商用应用软件在设计之 初就考虑到了未来的单点登录需求， 能支 持至少一种标准 SSO 协议。也建议 尽量采用标准协议来对接。但并不是所有的应用系统都能够实现标准SSO，对 那些不符合SSO规范的应用系统，也需要提供相应的集成办法。总的来说，统一身份认证系统必须能提供对各业务系统的对接集 成，不论 是外采的还是企业自建的、遗留的还是新建的，后文会具体 说明是如何解决业 务系统对接。4) 双因素认证身份认证(Authentication )是对用户身份进行认证的过程，以判断出该用 户是否可以访问或使用某些系统资源。 身份认证在整个信 息安全中占据着很重 要的位置，是其他安全机制的基础。SSO 门户作为用户访问所有业务系统的唯一入口，一个账号打 通所有应用，账号安全的重要性可想而知。 再加之为适应包括供应商、 外包、合作伙 伴、员工移动办公等多类型人员的访问需求，SSO门户通常直接暴露至公 网，账号密码泄露、破解风险时刻存在。为使用 户身份得到更高的安全性， 在 用户输入账号密码登录门户时， 通常会 借助双因素认证技术，额外增加一层认 证因子，如动态口令令牌、扫 二维码等。 动态口令双因素认证， 通过为用户 提供随机的数字密码来 二次验证用户身份，该密码随着时间自动变化，具有唯 一性，从而加 固了用户账户安全。5) 权限管理身份与权限相伴而生。谈到身份，必然会涉及权限。在系统中预 设安全规 则或者安全策略， 从而使用户可以访问且只能访问自己被授 权的资源，就是权 限管理。分散的多业务系统下，其权限管理也是分 散的，这势必给系统管理员 带来大量不必要的管理操作。 因此统一身 份认证系统应支持对各业务系统的资 源访问权限控制， 利用集中的用 户及相关应用信息，实现集中的访问控制管 理、策略下发。统一权限管理分为三个等级。 一级权限管理仅实现对用户的粗粒 度控制， 即用户是否具有访问某应用的权限，形成用户在Portal门户的应用列表。二 级权限管理基于 RBAC 模型(基于角色的访问控制Role-Based Access Con trol ），身份管理系统通过向各业务系统返 回用户角色，角色与权限匹配，实现中粒度权限。三级权限管理需要梳理各业务系统建立统一的权限管理策略标准，并将权限粒度精确到 对象，实现细粒度权限。越高级别的权限管理，企业对应用系统的管 控力度越强，但要求对应用系统的改造量越大、实施周期更长，项目 风险也就越大。Portal门户级权限管理角也j菜皆菜单3Portal门户的用户在相应的/用户组的中粗粒度的权限控制。如可以授予角色为“管理 员”二级 权限管理业务系统中拥有管理员权限， 或设置仅在“财务” 组的用户可访问那些财务部 门内的应用系统。大型企业系统业务场景多变、业务对象庞杂， 业务系统的功能和 数据可能 不断新增和变更，权限也在随之变化，存在许多业务系统自 身独有的权限术语 或者自定义的权限对象（如HR的人事层级关系、VPN 的网段），难以统地规整到个身份管理系统中去，因此更 细粒度的权 限管理需要在各业务系统内单独设定。6) 流程引擎( WorkFlow Engine )企业级的工作流体系， 往往需要跨越多个服务器或业务系统。 流 程引擎 （如 BPM 、OA ）连接各业务系统，根据业务逻辑定义工作流 流程，并负责驱 动流程流动和控制流动路径。在身份管理中， 流程引擎负责身份管理业务流、 审批流的设计和 执行， 可将多业务系统的身份管理工作集成起来， 针对企业业务逻辑， 根据角色、 分工和条件或其他决定信息的不同， 设计不同的身份管理 流程标准， 以适应 多变的流程需求， 帮助企业形成账号生命周期管理 体系，并实现身份管理工作 的自动化 / 半自动化。企业未来还将有越 来越多的应用系统加入到统一身份认 证系统中， 借助流程引擎建立账 号生命周期管理流程对此也具有相当的积极意 义。标准架构下借助流程引擎实现的账号管理流程：审批人/主管AD/LDAP/AM上图并不能完全体现真实的账号管理流程， 企业实际业务流往往 千变万建创号账更变限段号账销芜结冻号账求入忻工入収,:1生成账号r审批J丄；-+开通申请流程引擎账号生命周期管理HRS BPM/OA生成账号 变更申请通知员匚生成账号 冻结申请人通过化，如账号创建需经过若干层的审批、 通知员工的过程也许是 口头或其他线下 方式、不同员工离职需办理不同手续并走审批流程， 凡此种种，不一而足。并 非所有账号管理流程都可以经过 BPM/OA ， 实现自动化流转。在已具备流程引擎的企业，统一身份认证系统需其对接，结合企 业各系统 资源，灵活配合和优化身份管理。在尚未引入流程引擎的企 业，统一身份认证 系统应具备自定义开发能力， 切入企业实际账号生 命周期管理工作中，连接各业务系统，承担流程引擎的工作，帮助企 业建立合 理、有效的身份管理流程体系3. 身份管理系统 1）产品组成身份管理系统旨在通过简单有效的方法， 将企业各个业务系统进 行集 成，统一用户身份管理，并提供统一的登录认证入口，实现用户 只要一次登录 就能访问系统权限范围内的所有业务系统。系统共包含 两个组件，统一身份管 理平台（DKEY AM ）及终端用户操作平台（User Center）。DKEY AM为运维及开发人员提供身份管理平台，负责统一对接所有业务 系统，实现统一的登录认证，并负责账号统一管理、账号映 射、权限管控及安 全认证。User Center作为SSO单点登录门户，负责为用户终端提供统一的web 访问页面，门户内存储该用户访问权限内的各应用访问链 接，是用户统一登 录、访问各应用、实现单点登录的系统。产品组成M 总理平台User CwiUr 户按忤平合）DKEY AM和User Center可帮助企业实现多业务系统集成和单点登 录，简化用户登录过程，在方便用户使用的同时，也减轻了系统 管理的工作负 担，借双因素认证还极大地保障了系统的安全性，解决了复杂应用环境下用户来回切换应用登录不方便（多次登录）、登录 不安全 （多套账号/密码）的问题。使用身份管理前，用户需输入对应的帐号密码分别登录各业务系 统；使用身份管理后，用户一次认证即可实现所有业务系统的登录 双因素认证 可提供动态密码加固用户访问安全。用户应巨2, OH账号誉两登Center 门户Part alDKt AitLDAP应用腿CM2）认证逻辑用户首次访问认证系统某应用的流程是:登录请求认证认证通过用户PortalDK验证to ken返回用 信息查询用户 信息User Cen ter用户访问某个应 用，门户传递token返回认证结果及token0匸了验证通过，实现单点登录LDAP应用1 .应用2 . .应用3 .应用4. 用户在浏览器登录Portal门户； User Center向DKEY AM认证服务器发送登录认证请求； AM认证服务器向LDAP目录服务器查询用户信息； LDAP目录服务将用户身份信息返回给AM认证服务器； AM认证服务器向用户返回认证结果、授权信息及SSO token ； 认证通过后，用户进入 Portal 门户，获得权限范围内的应用登 录入口； 用户从门户点击具体某个应用的访问入口， Portal 门户传递 token ； DKEY AM 验证应用所携带的 token 及用户信息； 验证通过，用户获得对该应用的访问权限，至此完成单点登录 过程。3）功能模块身份管理系统设计a）统一认证门户单点登录 Portal 门户集中展示了企业所有业务系统，是最终用 户访问各应 用并单点登录的唯一入口。用户在门户内可以看到其有权 访问的应用列表，直接 点击应用图标就可实现访问。 通过以下三种方 式提供 Portal 门户: 系统自带门户，为默认的通用门户， Portal 界面简洁，支持个 性化图标排序，并支持应用归类分组，企业LOGO可替换。保障了访问的便利 性，也满足了企业的一些个性化使用需求。 与企业内部自建办公网站/web应用进行整合，将其他业务系统集成到该 网站/web应用，形成企业自建Portal门户。 与专业的商用 portal 系统整合，女口 IBM、ForgeRock、Oracle 等， 在原有Portal门户系统中实现单点登录功能。另外，可与企业现有的钉钉/企业微信或自开发的移动办公平台 对接，嵌入SSO 门户，实现移动端用户的统一认证。对接企业微信 范例：不论是哪种Portal门户，都会面临如何以尽量少的改造成本将 老的、未纳 入的应用集成在 Portal 门户中的问题。b）统一应用接入身份管理通过单点登录协议与不同的业务系统对接， 建立信任关 系，使用 户在一个应用登录后，可以访问相应的应用系统群，而无需 每次访问业务系统都 要使用不同的账号和密码进行一次登录。支持主流sso标准，并提供自研EasySSO协议，降低应用对接成本，实现本地、云应用及企业自研发等所有应用系统的统一接入和 认证。具体按应用自身情况以下面三类方式进行对接：对接方式说明丄式标准协一般商业软件会采用如OAuth20、SAML、CAS、OIDC议等标准协议对接，如泛微OA、北森HR、帆软报表系统、阿里钉邮、ERP（SAP、Oracle八财务（用友、金碟）、办公(Office 365)EasySS对于不支持标准协议，但具备一次开发能力的，建议通O过EasySSO对接。EasySSO是自研的的简单SSO对接协议。与SAML对比，更灵活更方便。密码代对于不支持标准协议以及无法一次开发的老旧应用，通填过密码代填方式对接。缺点是需要管理各个业务系统密码。c）统一账号存储简单来说，身份管理实现了一个账号打通企业多业务系统的过程， 从而使最终用 户无需再记忆多套账号和密码。 在企业内已运行着一套 相对良好的账号存储、 管理工作体系的情况之下，通常建议客户借助 轻量级目录服务 LDAP 来构建统 一的用户身份信息库， 与企业的各应 用系统账号关联，来实现账号的打通过 程。（实际上大型企业一般都建设了 AD或其他LDAP目录服务）这时能通 过同步 AD/LDAP 账号 源，为企业提供账号改密、令牌绑定等自服务管理，从 而节约账号及 密码管理成本。但这是较为理想的状况。 在实际业务场景中， 企业当前的账号往 往零散 在各处、账号管理毫无章法、各应用间账号关联很弱。梳理账 号并建立相对完善 的统一存储体系对企业来说工作量巨大、 代价极高 这时会通过账号映射，来承 担起账号存储工作。具体见下一小节。d）统一账号映射身份管理可创建一个唯一一个主账号源体系， 并通过姓名、 手机 号、邮 箱、身份证号等属性与各应用之间的账号身份进行关联映射， 以达到统一身份和 单点登录的效果。 主账号源根据企业实际情况而定， 选取的标准有：覆盖面较 广，能囊括多数用户；身份信息较全，有更 多的关联属性。从预先选定好的用户数据较全面的应用系统或 HR 系统或 AD/LDAP 中同 步用户信息作为主账号源。再根据定义好的策略，实 现与其他应用系统的用户属 性字段的映射匹配， 支持批量自动映射或 单个映射。可同步用户分组 / 角色等 信息，实现用户权限自动分配， 从而方便对单点登录认证的授权和各应用系统权 限的授权。 当用户使 用尚未同步至系统的账号初次登录时， 会自动为该用户创 建账号作为主账号源，这样在系统运行后逐步地消除零散账号， 从而建立统一的 用户身份 信息库。在账号源上，支持本地账号，兼容企业AD/LDAP等外部账号源,支持关联微信、钉钉等社交账号，及 SAAS 和公有云应用账号唯一的击強号源堆关联因耒：姓名、手机号、曲箱彌证号)AD、 LDAPSt以LDAP目录服务或以平台来作为用户身份信息库，这二者互不冲突，企 业可以选择并行，保留当前已建立的AD/LDAP或类似系统，渐进式地平滑过渡 到，减轻对现有业务流的挫伤，减少企业整改成本e) 账号生命周期管理账号生命周期，是指用户从进入到离开的整个过程中， 用户身份 信息及账 号的创建、变更、注销/冻结的完整过程。更建议企业借助 专业的流程引擎，将多 业务系统的身份管理流程一体化集成起来，建立身份管理流程体系，实现账号全生命周期管理。以账号的创建流程为例，员工刚入职时企业会在HR或类似系统中建立员工 信息，流程引擎可将HR系统中的员工信息流转至AD/LDAP目录服务或其他统一身份信息库中，AD/LDAP为员工创建在目录中 的唯一身份及相应的权限。 根据此唯一身份标识，通过流程引擎预先设计好的后续流程，可全自动、或走申请-审批流程后半自动地为用户在各业务系统中创建账号与做相应的授权。身份管理可对接流程引擎，成为企业身份管理流程中的一环。 如 可在新进人员的账号创建后，为该账号自动绑定动态令牌，提供用户 身份的二次验证，实 现安全加固。在人员离开 /员工离职后，当企业 内部对用户身份做变更后，可自 动更改员工账号状态为“无效”，用 户对所有应用的访问权限同时失效，实现自 动禁用。另外， User Center 可为用户提供密码修改、激活动态令牌等自助服务，减轻企 业的账号管理 劳动。对尚不具备流程引擎的企业，支持二次开发以代替流程引擎，结 合企业当前 账号管理模式，在为企业建立统一的用户身份信息库的基 础上，帮助企业建立身 份管理流程标准和实现账号生命周期管理。4）负载均衡与高可用利用Heartbeat/Keepalive服务为DKEY AM认证服务进行高可用部署。DKEY AM之间通过主从复制方式进行数据的实时同步。用户iser Ce nterlDKEY AM 主）HeartbeatMySQL（主）主从冋步用户2负载均衡器User Cen te业务用户3User Cen ter3DKEY AMMySQL备）在正常情况下，当主机出现异常时，服务ip自动切换到备机进行工作，对业务不产生影响。User Center提供无状态服务，本身不存储任何关键业务信息，利用负载均衡器实现系统负载均衡部署架构:业务4.方案优势1）安全认证提供完善的双因素认证产品，帮助企业加强用户身份安全。动态密码安全认证：在单点登录过程中，通过在账号密码认证的 基础上增加 动态密码，形成身份认证安全加固。动态令牌支持手机令牌、企业微信/钉钉H5 令牌、硬件令牌、短信令牌等多令牌形式。还可兼容第三方令牌形式（如 RSA SecurID、GoogleAuthe ntication等），接管第三方令牌认证，实现逐步性替换，不改变用户原有 的认证习惯。企业微信（钉钉）扫码认证：通过与手机号、邮箱、企业微信账号等主账号进行关联，可实现借助企业微信或钉钉“扫一扫”来登录User Center，省去账号密码输入过程，提升BYOD等移动用户的登录认证安全。初恐密时认证泾多冷會膚齡盂企业障佰（fTW”打爲乩*2）扩展性身份问题伴随企业信息化建设从始到终都存在。大型企业经过多 年的身份管 理，其现状往往复杂多变，问题点也层出不穷，有根深蒂 固的历史遗留问题，也 有为应对新形势而提出的新型需求。 企业需要 一个更具包容性的可扩展方案，满 足企业信息化建设中统一身份管理 需求，并合理控制对当前资产和数据的破坏， 以减轻整改范围、整改 力度。方案的具有强大的扩展性，具体体现在：在 Portal 门户方面，系统自带门户，也可与企业自建站点整合、 与商用 Portal 系统整合；在应用对接方面，除支持各种标准化单点登录协议，自研简单灵 活的EasySSO，对难以整改的应用则可通过表单代填来实现纳入；在账号存储方面，可保留企业现有目录服务 /用户身份信息库， 也可借助身 份管理平台逐步建立统一的用户身份信息库，两种方式也可并行，实现渐进式地平滑过渡到；在安全认证方面， 除系统自带的令牌形式外， 还支持接管企业原 有第三方 令牌从而实现逐步替换，不改变用户当前操作习惯；在身份管理流程方面，对于企业的需求，可定制开发中间件，依 据企业自身 特点和实际情况，灵活配合实现账号生命周期管理。3) 延伸方案本方案主要解决的是企业应用级的统一身份认证问题。 除此之外， 还一体 化集成了网络接入身份认证、 终端设备合规准入解决方案， 形 成了从应用到网 络、 从用户到终端的产品闭环， 极大的提高了系统的 问题解决能力，已应用于 大量企业的信息化建设和网络建设中。网络接入身份认证： 为企业提供有线无线网络的一体化接入认证， 支持多 分支异构兼容，为企业提供员工、驻场人员、临时访客及其他 上网用户的统一身 份认证、授权、审计和无缝漫游。终端设备合规准入：自动化检测接入网络终端设备如 PC、BYOD、 IoT的合规性，实时定位终其风险并及时对其进行自动隔离、修复等 合规性处理，为终端提供自动分类、权限匹配及 IP 资源绑定等。三、安装及配置1. 环境需求：SSO需安装两套软件，AM （管理员操作平台）以及UC（终端用户平 台），建议分别装在两台服务器上。系统 Linux : Centos 6.5 以上版本或 Windows ；内存：8G+，硬盘：300G+ , CPU： 4core2. 软件安装Linux系统：将下载好的Linux版本软件安装包解压至/opt目录即可Windows系统：双击下载好的Windows版本软件安装包，按默认方式安 装3. 配置两套软件安装完成后，需要修改配置，保证两个平台之间能连通uc配置：在安装目录下，修改uchome/local/app.conf 文件，如下所 示Ezrinary.pczt-SC 30_UrFr -端口味牟.-aS任辽IN二丁 如左屁a 丄且Im *述導 siC CMidax,/-aL*IEtS9=12-! JZ jj -甘厶 ran. yBpoic=-90 :0皿 * 目 - v対AP rSW 百 UftMIU 匚=3 町 00 臭 Ur , t-n STit n sir：AgE -arit. jMtfrASecret*d.raifAA-CB2e-41&? -ar21-丄 ibbram5 UCzidEi定的斗丁庄世智能安全接入，从宁盾开始。宁盾成立以来专注于动态密码双因 素认证市 场，并以技术为导向，于 2013 年正式上线网络认证系统， 形成一体化身份认证 与访问管理解决方案。 为了应对企业组织、 应用 的移动化及云发展趋势， 宁盾 不断创新身份与访问安全管理技术， 形 成了融合智能多因素认证、 终端与网络 准入控制管理、 智能访客管理、 统一身份管理与单点登录、 网络设备 AAA 授 权管理、 大型商业 WiFi 认证管理等多个产品线于一体的全场景解决方案。