マルチメディアの報道機関のデータベースシステムを取って、例えば、同時に発生した複数のアプリケーションを使用している場合、重複ユーザのログインの問題を解決し、統一されたユーザー管理ベースのログオンのセキュリティポリシー、認証とシングルを達成するために、エンタープライズ・ユーザー認証センターの設立を提案しました。
情報技術とネットワーク技術の急速な発展に伴い、内部エンタープライズアプリケーション、より多くの。例えば、メディア業界では、一般的なアプリケーションシステムの編集、組版システム、印刷システム、広告管理システム、金融システム、オフィスオートメーションシステム、意思決定支援システム、顧客関係管理システムとWebパブリッシングシステムがあります。これらのシステムは相互に独立しているので、ユーザーが適切なシステムによれば、各アプリケーションがログインする前に、このユーザーは、ユーザーのトラブルの多くを与え、各システム用のユーザ名とパスワードを覚えておく必要があります使用する必要があります。特に、システムが増加して、エラーの可能性が不法傍受及び破壊の可能性が増加する増加し、セキュリティはそれに応じて減少します。エンタープライズアプリケーションシステムに適用することを継続しながらの場合は、この場合には、統一されたユーザ認証、シングルサインオン概念は、されて入ってきました。
統一されたユーザー管理の基本原理
一般に、各アプリケーションは、ユーザ情報管理、ユーザ情報の別のフォーマットを有する命名およびストレージオプションも多様です。ユーザーが複数のアプリケーションを使用する必要がある場合には、ユーザー情報の同期化をもたらすでしょう。ユーザー情報の同期化は、システムの複雑さを増す経営のコストが増加します。
たとえば、ユーザーAがシステムXとBシステムの使用を必要とするユーザーXのAの変化情報の後に、Bが別のシステムにどちらのシステム同期させなければならないように。それは、システムとBシステムでユーザーXを作成する必要があります あなたは10 Xアプリケーションを使用する必要がある場合は、別のいずれかのシステムに変更を加えるためのユーザ情報は、9つのシステムの後に同期させる必要があります。システムのユーザー同期予期しない場合は、だけでなく、データの整合性を確保するために、このようにユーザーのプログラムを同期することは、非常に複雑になることがあります。
この問題を解決するための基本的な方法は、統一されたユーザー管理システム(UUMS)を確立するために、ユーザーを同期させることです。ユーザー情報は、すべてのアプリケーションのための統一されたストレージ・システムをUUMS、そして全て完了UUMS、およびアプリケーションシステムによって許可他の操作を介してユーザの行動に関連したアプリケーションが終了し、その統合ストレージ、配布承認。UUMSは、以下の基本的な機能を持っている必要があります。
1。名前付きユーザ指定情報、ユニファイド・ストレージ、グローバルに一意のユーザーID。異なる個体間でのユーザIDカード、識別と区別する場合。
2。UUMS各アプリケーション・システムは、名前、電話番号、住所、電子メールやその他の属性などのユーザー属性のリストを提供し、各アプリケーションは、いくつかまたはシステムの必要なすべてのプロパティを選択することができます。
3。、利用者の基本的な情報を増やし、修正、削除、およびクエリ要求するアプリケーションシステムはUUMSによって処理されます。
4。アプリケーションシステムは、ユーザグループ、ユーザの認証および他の機能として、ユーザ管理機能を保持します。
5。UUMS音ロギングしなければならない、アプリケーションシステムの操作は、詳細レコードをUUMS。
UUMS統一されたユーザ認証をベースに、それは利用者の正当性を確認するために、すべてのアプリケーションのための統一された認証および承認ポリシーを提供します。統一されたユーザー認証は、次の認証方法をサポートする必要があります:
1.匿名認証:ユーザーが匿名でログインすることができ、任意の認証を必要としません。
2.ユーザ名/パスワード認証:これは、認証の最も基本的な手段です。
3. PKI / CAのデジタル証明書認証:デジタル証明書によるユーザ認証。
4. IPアドレス認証:のみ指定したIPアドレスまたはIPからのユーザーがシステムにアクセスするために対処しています。
5.時刻認証:ユーザーが指定した期間内にシステムにアクセスすることができます。
前記アクセス認証番号:値の特定の範囲内のユーザ訪問をアクセスするためのユーザーの合計数。
簡単に新しい認証モジュールを拡張しながら、認証モードは、モジュラー設計する必要があります上に、管理者は柔軟にロードおよびアンロードすることができ、それはまたユーザーが必要とすることができます。
手段認証、または認証方法の他の非論理の組合せによって認証ポリシー。管理者は、認定要件を満たすために、認証戦略に応じて、追加、削除、または認証の組み合わせをすることができます。例えば、人々のグループは、ユーザーアカウント、システムにアクセスするためのユーザー名とパスワードによるユーザーを共有し、アクセスはIPアドレスの特定の範囲に限定する必要があります。ユーザー名/パスワード「と」IPアドレス認証:認証ポリシーは次のように表すことができます。
PKI / CAのデジタル証明書の認証は、一般的な、しかし、有用ではないが、通常はセキュリティに必要な環境のより高いレベルで使用されます。PKIであるPKI(公開鍵基盤)は、情報システムのセキュリティを確保するために、公開鍵システムの理論とデジタル証明書です。
公開鍵暗号方式では、鍵ペアが生成され、鍵の各対は公開鍵と秘密鍵、公衆に利用可能な公開鍵で構成され、秘密鍵は民間人によって使用されます。受信者情報を送信するために送信者の公開鍵は、受信者を解読するために自分の秘密鍵を使用して、デジタル暗号化と呼ばれ、送信者がデジタル署名として知られている、自分の秘密鍵、復号化するために送信者の公開鍵を使って受信者を使用して情報を送信します。送信中のデータの機密性を確保するために、デジタル暗号化とデジタル署名技術を使用して、PKI(違法のぞき見を許可されていない)、完全性(不正な改ざんすることはできません)と有効性(データは発行者を否定することはできません)。
デジタル証明書は、時々、デジタル証明書は、ユーザーIDは、情報、データ、ユーザー情報と公開鍵デジタル署名の認証メカニズムの一部ですが含まれ、デジタルIDと呼ばれています。証明書情報の信憑性を保証するために、デジタル署名の認証メカニズム。
システムは、完全なPKI証明機関CA(認証局)を持っている必要があり、証明書登録システムRA(登録局)、鍵管理センターKMC(キーセンターを管理する)、証明書発行のクエリシステムのバックアップとリカバリシステム。CAは、PKIのコアで発行し、すべてのデジタル証明書の取り消しを担当し、RAユーザー証明書の要求または証明書取り消し、回復アプリケーションを受け入れ、それを見直し、KMCは、暗号化キー、保管、管理、バックアップを生成するための責任があり、回復、バックアップおよびリカバリ・システムは、デジタル証明書、キー、およびシステムデータを担当し、証明書発行のクエリシステムは、典型的には、プロトコル、サービスのクエリにユーザの署名の有効性を検証するために使用されるユーザー証明書を、提供OCSP(オンライン証明書状態プロトコル、オンライン証明書状態プロトコル)を使用しますバックアップとリカバリ。
シングルサインオン
シングルサインオン(SSO、シングルサインオン)は、複数のシステム・テクノロジーへのユーザーフレンドリーなアクセスで、ユーザーはログイン時のみ一度登録する必要があり、あなたは自由にすることなく、複数のシステム間でシャトルを繰り返し、ユーザー名とパスワードを入力することができます同一性を決定します。本質的には、セキュリティコンテキスト(セキュリティコンテキスト)やシングルサインオン資格証明書(資格)転送、または複数のアプリケーション間で共有します。ユーザーがログインすると、クライアントソフトウェアは、ユーザーにセキュリティコンテキストをユーザーの資格情報(たとえば、ユーザー名とパスワード)を確立するために、セキュリティコンテキストは、ユーザーのセキュリティ情報を確認含まれ、このセキュリティコンテキストとセキュリティポリシーを持つシステムでは、ユーザーが持っているかどうかを判断しますシステムリソースへのアクセス。残念ながら、J2EE仕様では、セキュリティコンテキストの形式を指定していないので、異なるベンダーのJ2EE製品間のセキュリティコンテキストを渡すことはできません。
業界では、多くの製品は、そのようなのWebLogic、IBMのWebSphereやBEAなどのSSOをサポートしていますが、各SSO製品の実装は同じではありません。WebSphere、WebLogicでは記録クッキー認証情報は、セッションの認証情報によって共有されています。クッキー機構は、それがコンテンツとして記憶し、クライアントである:一緒に名前、値、有効期限、およびルートドメイン、およびドメインパスをクッキーのスコープを構成し、クッキーの実施形態ではそうSSO、あなたのドメインを用いて実施することができますそれは同じでなければなりません。セッションは、サーバ側の機構であり、ときに、クライアントアクセスサーバ、サーバはクライアントのためのユニークなセッションIDを作成しますので、常に全体の相互作用のプロセスの状態を維持し、情報交換ので、アプリケーション自体で指定することができますセッションモードSSOに実装され、複数のブラウザ間でのシングルサインオンを実現することはできませんが、ドメインを横断することができます。
基準が発見されるかどうかSSOを実装しますか?より安全、産業製品、情報製品間の内部標準とのより多くの相互作用を作る方法?この目的のために、OASIS(構造化情報標準促進機構)SAMLは、(SAMLに関するリンク知識を参照してください)ソリューションを提案しました。
ユーザー認証センターは、実際には上記の機能のすべて、すべての概念は、ユーザ認証とシングルサインオンソリューションの完全セットを提供し、全体を形成します。完全なユーザー認証センターは、次のような機能を持っていなければなりません。
1.統一されたユーザー管理。一元的なユーザー情報の管理、および標準的なインタフェースを提供します。
2.統一認証。ユーザ認証は、集中化されて複数の認証方法のPKI、ユーザ名/パスワード、B / SとC / Sなどをサポートしています
。3.シングルサインオン。これは、シングル・サインオン複数のアプリケーション内の異なるシステム間でサポートされています。
ユーザー認証センターは、統一されたユーザ認証センターに認可機能を提供する方法を、統一された認証機能を提供しますか?これは、最も広くPMIある権限管理、です。
PMI(特権管理インフラストラクチャ、権限管理インフラストラクチャ)の目標は、ユーザーやアプリケーションに権限管理サービスを提供するマッピング機能の認証にユーザーIDを提供し、特定のアプリケーションシステムの開発に対応した実用的なアプリケーション処理モードを提供することであり、特定のアプリケーションの開発と保守を簡素化するために無関係な認証とアクセス制御メカニズムを管理します。PMIは、(属性証明書)、権限の集約メンバーが(権限属性)属性、など、証明書ライブラリを属性権利を達成し、証明書、管理、保管、流通および失効の機能を生成する属性証明書です。
コアとしてPMIリソース管理、に対処するため、すなわちリソースの所有者によるアクセスを制御するために許可された機関で統一リソースへのアクセスの制御。公開鍵インフラストラクチャのPKIと比較すると、2つの主な違いは、次のとおりです。PMIは、ユーザーが実行できるアクセス許可の証明するために、そしてPMIは、PKI認証を提供するために使用することができる一方、PKIは、ユーザーが誰であるかを証明します。
シングルサインオンユニバーサルデザインモデル
図2は、統一されたユーザ認証とシングルサインオンユニバーサルデザインモデル、以下の製品で構成されています:
1. PKIシステム:CAサーバ、RAサーバ、KMCおよびOCSPサーバーを含みます。
2. AA管理サーバ:認証(認証)と、システム管理者は、認証および許可管理のためのユーザ情報を提供する権限(権限)サーバ。
3. UUMSモジュール:アプリケーションUUMSためのインタフェースを提供します。
4. SSO:SSOおよびSSOプロキシサーバを含みます。SSOエージェントの展開サーバー側のアプリケーションシステム、OCSP要求が転送されている場合、SSOサーバはOCSPサーバーに転送し、SSOクライアントの要求をインターセプトし、SSOサーバに転送する責任があります。C / Sモードでは、SSOプロキシは、典型的には、クライアントで展開されます。
5. PMI: 包括PMI代理和PMI服务器。PMI代理部署在各应用系统的服务器端,负责截获客户端的PMI请求,并转发给PMI服务器。
6. LDAP服务器: 统一存储用户信息、证书和授权信息。
为判断用户是否已经登录系统,SSO服务器需要存储一张用户会话(Session)表,以记录用户登录和登出的时间,SSO服务器通过检索会话表就能够知道用户的登录情况,该表通常存储在数据库中。AA系统提供了对会话的记录、监控和撤消等管理功能。为保证稳定与高效,SSO、PMI和OCSP可部署两套或多套应用,同时提供服务。
链接
SAML
SAML(Security Assertion Markup Language,安全性断言标记语言)是一种基于XML的框架,主要用于在各安全系统之间交换认证、授权和属性信息,它的主要目标之一就是SSO。在SAML框架下,无论用户使用哪种信任机制,只要满足SAML的接口、信息交互定义和流程规范,相互之间都可以无缝集成。SAML规范的完整框架及有关信息交互格式与协议使得现有的各种身份鉴别机制(PKI、Kerberos和口令)、各种授权机制(基于属性证书的PMI、ACL、Kerberos的访问控制)通过使用统一接口实现跨信任域的互操作,便于分布式应用系统的信任和授权的统一管理。
SAML并不是一项新技术。确切地说,它是一种语言,是一种XML描述,目的是允许不同安全系统产生的信息进行交换。SAML规范由以下部分组成:
1. 断言与协议: 定义XML格式的断言的语法语义以及请求和响应协议。SMAL主要有三种断言: 身份认证断言、属性断言和访问授权断言。
2. 绑定与配置文件: 从SAML请求和响应消息到底层通信协议如SOAP或SMTP的映射。
3. 一致性规范: 一致性规范设置了一种基本标准,必须满足这一SAML标准的实现才能够称为一致性实现。这样有助于提高互操作性和兼容性。
4. 安全和保密的问题: SAML体系结构中的安全风险,具体而言就是SAML如何应对这些风险以及无法解决的风险。
要注意的是,SAML并不是专为SSO设计,但它却为SSO的标准化提供了可行的框架。