1统一身份认证
单点登录系统采用数字证书作为身份认证和身份管理的标准,并采用SAML、Oauth2等方式作为身份认证信息的载体,具有很好的互操作性和兼容性,可以为学校搭建一个统一身份认证和管理框架,单点登录系统提供开发接口给新建系统,可为后续新的应用系统开发提供了统一的身份认证平台和标准。
2身份认证网关
强身份认证
提供基于PKI数字证书的强身份认证,保证用户身份信息的公正性、安全性、唯一性。
加密传输信息
采用公私钥加密技术对认证信息进行全程加密,确保用户信息在传输过程不被窃取、不被篡改。
签名验签
提供签名验签的安全认证机制,身份认证网关通过对用户数字证书及签名进行校验确保认证信息的唯一性、正确性,进一步提高应用认证强度。
应用类型支持
支持对B/S应用、C/S应用进行数字证书强身份认证。
接入方式多样性
通过插件、代理等方式与应用进行认证接入实现应用的强身份认证。
安全资质
身份认证网关获得了国家保密局、国家密码管理局颁发的相关安全资质。
3统一访问控制
身份认证SSO支持多种身份认证方式,如数字证书,USB Key,动态口令身份认证,同时也保留了传统的静态口令认证,并且为其他认证方式如微信、短信,电子邮件,实名身份认证等认证方式提供支持,以适应学校对认证方式扩展的需求。
集成多种认证方式
统一认证产品提供用户名口令、动态令牌、数字证书、第三方认证组件、手机短信、临时口令、指纹等多种认证方式,满足不同应用场景的安全认证需求。
快速部署能力
统一认证产品针对应用对象和应用场景进行功能优化,提供了大量标准接口与适配器,大幅度减少了应用系统接入工作量,缩短了学校部署时间和用户上手时间为用户节省投资。
完善的单点登录机制
统一认证产品具有完善的单点登录体系,可安全地在应用系统之间传递或共享用户身份认证凭证,用户不必重复输入凭证来确定身份。 统一认证产品支持以下几种单点登录方式:
API插件
客户端代理
应用适配器
4系统集中管理
单点登录系统管理中心为单点登录系统提供管理功能,实现对用户身份信息,权限,应用系统,审计信息的集中管理。单点登录系统管理中心基于Web界面,系统管 理员通过这个管理中心可对用户,资源,权限及审计信息进行统一的管理,并对单点登录系统本身进行维护管理。同时系统支持分级授权管理功能,支持授权下属单 位管理自身的用户,并对其授权,减少管理员的负担。
5统一移动认证
教职工和学生访问敏感的校园数据时使用的设备越来越多是未经 IT 认可的设备。IT 部门想尽一切办法加强这些设备的安全策略,避免因数据泄露、未授权访问等严重的安全性漏洞而产生业务泄露。
身份认证管理器通过为移动设备提供凭据生命周期管理和无线证书配置解决了这个问题,确保仅经过身份认证的用户和信任的设备能够访问校园信息和应用程序。借助身份认证管理器,组织可以通过设备上保存的私有信任证书对用户进行身份认证,确保教职工和学生可以通过个人设备或学校发放的设备安全地访问校园资源。
需要把移动微信端和PC的业务应用进行打通,例如:通过微信端扫描方式可以自动登陆系统并获取相关的权限,同样需要支持OTP令牌的方式及APP应用管理SSO认证授权方式。
6统一日志审计
身份认证需要支持日志审计功能,也就是审计的4A和相关敏感信息
Account(账户):账户自助操作的信息、用户登陆、用户退出、找回密码、重置密码、修改个人信息、锁定、禁用、启用、申请开通系统权限登陆用户账户的操作。
Authentication(认证):用户登陆系统后的认证记录和关联系统的使用记录。
Authorization(授权):用户登陆系统后授权记录、授权系统和关联系统的使用记录
Audit(审计):管理员对用户、组织机构、角色、权限、资源、应用配置、安全配置、系统设置、策略配置等操作进行记录。
7统一安全管控
支持SHA1、MD5等常用密码算法
终端安全登录系统完全支持SHA1、MD5密码算法,可以使用SHA1、MD5密码算法数字证书进行身份认证。
4.1.10系统监控机制
1.身份认证系统的状态监控、监控使用情况、Cpu、内存、网络、数据库连接情况等相关信息的监控。
2.账户监控的异常操作、账户的启用、禁用、锁定等相应的监控。
3.日志异常的监控,系统间访问、交互、用户访问等日志的监控。
4.系统健康检查需要集成相应的监控软件和邮件、短信、微信等实时通知。
8系统总体设计(IPG & SPG)
忆信捷提供“身份认证平台”(IPG)和“身份认证网关”SGP产品整体的技术解决方案。其中,IPG满足组织架构管理(UD),身份认证及单点登录(SSO)、集中一级及二级授权(PS)、透明审计功能等全部4A功能需求;SPG作为加密认证网关实现业务数据传输过程的SSL加密隧道及TLS双向证书认证,同时还支持反向代理、双因子认证和API网关的作用。方案效果图如下: