oa系统指纹统一身份认证服务平台解决方案

oa系统指纹统一身份认证服务平台解决方案内容摘要：

如一台则无法实现数据实时备份 及负载分配），两台 UIAS Server 的 硬件和软件配置 完全一致 并建立相同的数据库结构 ，并同步初始数据。 如果系统中配置两台 UIAS Server，则两台 服务器 的 MySql数据库数据通过 配置，以 数据库复制的方式实现双机数据的 实时互 同步镜像。 应用户要求，系统也可采用外联 数据库服务器的方式， 不使用 UIAS Server上自带的 MySql 数据库，而 通过 JDBC连接不同种类的 用户 数据库系统，如 Oracle、 SqlServer、 DB Sybase， Informix 等 等。 如果采用外联 数据库 系统 ，则无需 配置数据库的 镜像功能，数据的安全性和完整性由用户通过原有手段完成。 两台服务器由于具备同样的数据和执行功能，因此除了具备数据的相互实时备份外，通过对调用端的访问顺序配置，可以实现负载平衡的效果。 UIAS 的典型应用（单点登录） 单点登录系统作为 UIAS Server 的一种典型应用，其应用结构图如下图所示： L I N U X + T o m c a t + M y S q lL I N U X + T o m c a t + M y S q l企 业 应 用 系 统U I A S S e r v e rU I A S S e r v e r 管 理 P C （ 浏 览 器 ）HTTP/HTTPS用 户 信 息 管 理 A P P 单 点 登 录 A P PHTTP/HTTPS浏 览 器 （ B / S 方 式 ）HTTP/HTTPS客 户 端 程 序 （ C / S 方 式 ）身 份 认 证 接 口SOAP/HESSIAN普 通 用 户 P C （ 浏 览 器 ）单 点 登 录 a p p 图 三 统一身份认证 应用（单点登录）逻辑图 在 UIAS SERVER的 Tomcat应用服务器上，部署单点登录系统服务端软件。 其中，用户信息管理 APP模块提供给前端管理员使用浏览器方式进行用户信息的设置和管理（比如人员信息的 录入 及指纹的 采集 等等）。 身份认证 接口用 WebService/hessian的方式提供，提供给后端的企业应用系统调用，完成 用户 身份的验证。 前端管理员可以输入 UIAS Server1 或者 UIAS Server2 的 URL 地址，进行用户信息的设置和系统管理方面的操作； 用户在使 用企业应用系统前， 可以输入 UIAS Server1 或者 UIAS Server2 单点登录系统 APP的 URL地址。 用 户登录单点登录系统时，通过单点登录系统用户表中的字段 来验证用户身份，登录后 得到 其被授权使用的各种企业应用系统 的信息。 用户可在显示的各种应用系统 账户 图标上，进入需使用的应用系统而无需再次 单独登录。 在对某应用系统实现自动登录的功能前， 用户需要设置各个系统到该系统用户的映射关系， 以保证自动登录功能得以实现： 数据 加密保存在 UIAS SERVER的数据库中。 2 系统总体设计 统一身份认证 服务平台 ，将用户 信息、应用资源信息以及用户对网络应用资源的访问权限等在关系型数据库进行 存储，并在此基础上提出一套统一身份认证、单点登录、集中鉴权以及网络应用资源的统一管理、有效解 决了用户重复登录和多点帐号管理的问题。  方案 1：对 第三方业务 系统基本不作任何改变，用户通过 UIAS 认证后，配置 业务系统帐号 /密码，随后用户访问 业务 系统时，由 UIAS向 业务 系统提交认证， 业务 系统完成认证和授权。  方案 2： 第三方业务 系统需进行代码修改和配置，支持统一认证，分布授权。 即统一身份认证系统实现用户身份认证，而授权等操作则由老系统完成。 系统设计方案比较表： 方案名称 介绍 B/S WEB系统 单点登录 实现 C/S桌面系统 单点登录 实现 方案 1  对业务系统基本不做任何改变  实施和维护相对简单  一旦出 现故障，系统复原相对简单  业务系统需进行身份认证、授权 统一平台用户注册 平台用户与业务系统账号关联 统一平台配置 B/S系统参数 使用 IE控件 往 B/S系统推送账号 /密码 等相关参数 ，进行登录 （登录时需要验证码校验的第三方业务系统要单独进行处理， IE控件对校验码图片进行分析 (随机英文字母 、 随机数字 、 随机颜色 、 随机位置 、 随机长度 等参数 ） 统一平台用户注册 平台用户与业务系统账号关联 在统一平台设置 C/S系统基本参数 使用客户端工具，在 每个 用户客户端 都需初始化 C/S系统的 相关参数 使用 IE控件往 C/S系统推送账号 /密码 等相关参数 ，进行登录 方案 2  每个 业务 系统需 代码修改和配置 ，与统一身份认证平台进行联调  由 统一身份认证平台 实现统一的身份认证功能，业务 系统只负责对用户授权  一旦出现故障，系统复原相对复杂  实施和维护相对复杂 统一平台用户注册 平台用户与业务系统账号关联 统一平台配置 B/S系统参数 统一平台与第三方业务系统单点登录接口调用  同上 建议 老系统整合，使用方案 1。 新系统接入，采用方案 2。 系统体系结构 统一身份认证 服务平台 主要包括 资源层、目录服务系统和客户端三部分。 资源层是系统的核心，包含 关系型业务 数据库和关系型审计数据库， 关系型业务 数据库用于存储用户数据，关系型 审计 数据库用于存储用户访问日志； 认证 服务系统用于提供基于 Web 方式的用户管理、身份认证、服务授权、审计管理和外部访问接口； 客户端由若干应用系统和普通用户组成。 认证服务系统S S O 单 点 登 录统 一 身 份 管 理B / S 系 统 单 点 登 录 C / S 系 统 单 点 登 录多 种 身 份 认 证 统 一 身 份 认 证统 一 用 户 身 份 管 理统 一 授 权 管 理访 问 资 源 管 理 访 问 策 略 管 理分 级 授 权 管 理统 一 审 计 管 理访 问 行 为 审 计审 计 信 息 分 析 统 计审 计 信 息 查 询资源层业 务 数 据 库审 计 数 据 库客户端C / S 系 统用 户B / S 系 统外 部 访 问 接 口应 用 访 问 接 口 用 户 认 证 接 口 系统功能特点  实现用户单点登录 对于 B/S 结构应用系统，用户只需通过浏览器界面登录一次，即可通过统一身份认证系统访问后台的多个用户权限内的 Web 应用系统，无需逐一输入用户名、密码登录。 对于 C/S结构应用系统，通过 Active 控件或客户端 Plugin 来实现对 C/S 系统客户端的单点登录，用户输入一次用户名、密码，即可访问所有被授权的 C/S 系统资源。  统一用户身份管理 用户注册：用户在 UIAS 中心注册帐号，该帐号可用于所有使用 UIAS 的应用系统中； 帐号关联：对于用户在相关应用中已建立的帐号，可与 UIAS 的帐号进行关联，以便在不改变原有帐号的情况下仍能访问应用系统。  统一身份认证 UIAS 系统提供开发接口给新建系统，可为后续新的应用系统开发提供了统 一的身份认证 接口 和标准。  多种身份认证方式 UIAS 支持多种身份认证方式，如 指纹认证 ，同时也保留了传统的静态口令认证，并且为其他认证方式如短信，数字证书， USB Key，动态口令身份认证等认证方式预留接口，以适应企业对认证方式扩展的需求。  日志和审计报告 UIAS 依靠记录最终用户和管理人员的访问过程，建立一套全面的、有效的回溯和追查机制。 同时系统管理员可以实时监测用户对企业各应用系统的访问状态，及时发现非法访问事件，对出现的问题进行事后追溯和责任追究提供实证。 通过对系统运行状态实时监控审计，还增强了系统 的可维护性。 主要完成访问行为审计、审计信息查询、审计信息防窜改等几大功能。  系统集中管理 UIAS 提供管理功能，实现对用户身份信息，权限，应用系统，审计信息的集中管理。 系统管理员通过这个管理中心可对用户，资源，权限及审计信息进行统一的管理，并对 UIAS 系统本身进行维护管理。 同时系统支持分级授权管理功能，支持总部授权下属单位管理自身的用户，并对其授权，减少总部管理员的负担。 系统环境  客户端支持的浏览器： 单点登录、指纹采集等页面使用 ocx 控件，仅支持 IE，其它页面支持 firefox 等主流浏览器  客户端支持的操作系统： Windows  服务器端支持的操作系统： Windows、 Unix、 Linux  数据库： Oracle、 SQL Server 或 My SQL 等关系型数据库  中间件： Tomcat、 Weblogic 等开源或商用中间件 体系架构示意图 从逻辑架构上，统一身份认证平台由三层组成：客户端、服务层和数据库层。 客户端也称为系统接入层，它可以使用 API接口或者浏览器。 服务层由应用服务器构成，实际是由“应用中间件” +“ WEB 应用”形成的 B/S 系统中的服务端系统。 数据库层由数据库 服务器组成，为整个指纹认证系统提供数据库支持。 数据库服务器采用 PPRC双备的策略，保证数据的安全性、可靠性和高可用性。 体系架构说明： 统一身份认证平台部署在核心业务区。 建立有技术接口规范的统一身份认证平台，可以保证网络上数据传输的保密性、可认证性、完整性及不可抵赖性。 实现与第三方业务系统的对接，以此为基础可以将更高安全性需求的业务操作建设在互联网之上，并且使这一操作得到更高效、更安全、更便捷的执行。 统一身份认证平台架构图： U I A S S E R V E R接 入 层服 务 层数 据 层机 房 2机 房 1U I A S S E R V E R数 据 库 （ 主 ）X 3 9 5 04 C o r e / 1 6 GE H R 人 力 资源 管 理 系 统C B S 系 统网 站 系 统。 数 据 库 （ 备 ）X 3 9 5 04 C o r e / 1 6 GP P R C 数 据 级 备 份 （系统架构图） 系统备用策略部署模式 接入和应用服务层： 统一身份认证平台采用双中心双活方式部署，两个数据中心各部署一套系统同时对外提供服务，当其中一套系统故障时，另一套系统保持对外服务。 数据库和存储： 统一身份认证平台数据库使用部署在 X3950服务器上的 4core/16G和 DS8100存储 700G。 主数据中心和备数据中心的数据库自动进行存储级别的数据同步（ PPRC方式）。 平台 故障的应急处理 如遇平台故障，无法在短时内有效修复，为保证业务的正常运行，人力资源系统、 CBS系统、网站系统 等对接类系统，可以通过前台调整参数，将各自系统设置为不通过 统一身份认证平台 的方式绕行。 如遇用户个人由于手指受伤或者其它特殊原因导致指纹无法识别，可通过前台，将该用户设置为不启用指纹认证的方式绕行。 设备配置选择 设备配置满足“双中心双活”要求，且服务器部署满足平台的设计指标：总注册用户数 1万，同时 1000用户 在线 ，应答在 4秒以内到达客户端。 数据库服务器 平台数据库使用部署在核心业务区 X3950服务器（虚机 4core/16G）上，存储使用 DS8100（ 700G）。 统一 身份认证服务器 每个数据中心配置 1 台 2CPU/4G/146G 4 R01 的机架式服务器，安装 Linux 操作系统和 Tomcat软件，支持双中心双活，部署在核心业务区的 S1区。 设备部署方案 统一身份认证 平台在方案设计上采用双中心双活方案部署。 如下图所示的部署方案： 机 房 2机 房 1S 1 区统 一 身 份 认 证 平 台 服 务 器 L i n u x R e d h a t A S 4T o m c a tK 1 区S 1 区统 一 身 份 认 证 平 台 服 务 器 L i n u x R e d h a t A S 4T o m c a tK 1 区数 据 库 ( 备 )X 3 9 5 0L i n u x R e d h a t A S 4O r a c l e 1 0 g数 据 库 ( 主 )X 3 9 5 0L i n u x R e。