TRS身份服務(wù)器軟件產(chǎn)品說明書

1、TRS身份服務(wù)器軟件產(chǎn)品說明書 ( SPD )一、 產(chǎn)品描述隨著互聯(lián)網(wǎng)的普及和發(fā)展，組織利用Internet在客戶、雇員、合作伙伴與供貨商之間提供服務(wù)和共享信息。為了控制成本和減少開放的管理安全風(fēng)險，組織需要一套完整的安全管理方案來確保安全的訪問。因此身份管理作為安全管理的核心組件正逐步成為組織整體解決方案的必備組件。健全而可靠的身份管理系統(tǒng)不僅提升用戶訪問體驗(yàn)和系統(tǒng)安全性，而且能夠有效的加快應(yīng)用系統(tǒng)的部署、降低管理和維護(hù)的成本。TRS身份服務(wù)器(TRS Identity Server，以下簡稱TRS IDS)幫助管理訪問組織Web應(yīng)用的安全策略，用于滿足TRS應(yīng)用及第三方基于Web的應(yīng)用對身

2、份管理的需求。TRS IDS主要解決用戶供應(yīng)、用戶認(rèn)證和單點(diǎn)登錄的問題，不涉及應(yīng)用系統(tǒng)的權(quán)限管理。TRS IDS提供基于關(guān)系數(shù)據(jù)庫的用戶供應(yīng)和認(rèn)證策略，同時支持LDAP/CA等第三方認(rèn)證系統(tǒng)的用戶供應(yīng)和認(rèn)證策略。在采用第三方認(rèn)證系統(tǒng)時，TRS Identity Server通過標(biāo)準(zhǔn)協(xié)議（LDAP、OCSP等）和第三方認(rèn)證系統(tǒng)交互實(shí)現(xiàn)用戶的供應(yīng)和認(rèn)證。在此基礎(chǔ)之上，TRS Identity Server還提供單點(diǎn)登錄（Single Sign-On）等增強(qiáng)功能。從應(yīng)用的角度來說，TRS Identity Server是對LDAP/CA的有益補(bǔ)充，特別是在加強(qiáng)安全和保護(hù)已有投資方面。TRS身份服務(wù)器

3、（TRS Identity Server）涉及的名詞有：l 服務(wù)器（TRS Identity Server）：指負(fù)責(zé)進(jìn)行身份管理的身份服務(wù)器主體；l 應(yīng)用系統(tǒng)（基于Web的應(yīng)用）：指解決組織業(yè)務(wù)需要的計算機(jī)信息產(chǎn)品，比如TRS內(nèi)容協(xié)作平臺（TRSWCM）；l 協(xié)作應(yīng)用：符合TRS Identity Server集成框架，能夠利用TRS Identity Server進(jìn)行身份管理的應(yīng)用系統(tǒng)；l 代理：指部署于應(yīng)用系統(tǒng)處，通過特定協(xié)議和服務(wù)器進(jìn)行交互的軟件模塊；l 身份供應(yīng)：指提供用戶的創(chuàng)建、修改、管理、授權(quán)、使用和注銷等功能；l 身份認(rèn)證：指驗(yàn)證用戶的身份信息，確認(rèn)用戶身份有效性的過程；l 單點(diǎn)

4、登錄：指在多個應(yīng)用系統(tǒng)間，通過一次有效登錄實(shí)現(xiàn)跨應(yīng)用的訪問；l SAML框架：用戶能夠通過因特網(wǎng)進(jìn)行安全證書移動，使用SAML標(biāo)準(zhǔn)作為安全認(rèn)證和共享資料的中間語言，能夠在不同站點(diǎn)或企業(yè)之間實(shí)現(xiàn)單點(diǎn)登錄。二、 體系架構(gòu)從技術(shù)角度來看，身份管理策略分為身份的供應(yīng)和認(rèn)證，TRS Identity Server和應(yīng)用系統(tǒng)三個部分。身份的認(rèn)證和供應(yīng)支持關(guān)系數(shù)據(jù)庫和目錄服務(wù)兩種：關(guān)系數(shù)據(jù)庫是TRS Identity Server所特有的身份認(rèn)證和供應(yīng)系統(tǒng)；目錄服務(wù)能夠支持CA或LDAP方式；TRS Identity Server采用J2EE技術(shù)路線，具有良好的開放性、適應(yīng)性和擴(kuò)展性，能夠適應(yīng)不同級別組織，

5、通過升級和擴(kuò)展?jié)M足客戶業(yè)務(wù)不斷發(fā)展的需要；應(yīng)用系統(tǒng)作為身份管理使用者，獲得TRS Identity Server提供的服務(wù)，滿足既定的身份管理功能需求。l 身份的供應(yīng)和認(rèn)證身份的供應(yīng)和認(rèn)證是身份管理策略的基礎(chǔ)。為了滿足不同客戶的需要，TRS 的身份管理策略支持CA認(rèn)證、LDAP目錄以及關(guān)系數(shù)據(jù)庫作供應(yīng)和認(rèn)證。對于CA和LDAP第三方認(rèn)證系統(tǒng)，TRS Identity Server 支持OCSP協(xié)議、根證書證書撤消列表兩種方式與CA認(rèn)證中心交互，驗(yàn)證CA證書的有效性；TRS Identity Server采用LDAP v3協(xié)議和LDAP目錄服務(wù)交互，進(jìn)行用戶管理和身份認(rèn)證。對于關(guān)系數(shù)據(jù)庫，TRS

6、 Identity Server采用JDBC技術(shù)進(jìn)行交互。TRS Identity Server支持用戶名/密碼、CA證書和USB-Key三種類型的用戶認(rèn)證。協(xié)作應(yīng)用選擇證書認(rèn)證的方式，支持單獨(dú)認(rèn)證方式，也支持兩種認(rèn)證方式的混合。CA證書用于CA認(rèn)證方式的認(rèn)證；用戶名/密碼用于LDAP或者關(guān)系數(shù)據(jù)庫的認(rèn)證。l TRS Identity Server為了滿足身份管理的需要，TRS Identity Server實(shí)現(xiàn)了用戶管理、用戶認(rèn)證、單點(diǎn)登錄和委托管理等具體的功能。對于采用第三方認(rèn)證系統(tǒng)的情況，TRS Identity Server代理第三方的用戶管理和用戶認(rèn)證，并以同一的形式將結(jié)果反饋給訪問

7、應(yīng)用系統(tǒng)的用戶。具體功能如下：² 用戶管理 實(shí)現(xiàn)用戶與組織創(chuàng)建、刪除、維護(hù)與同步等功能，支持關(guān)系數(shù)據(jù)庫、LDAP目錄服務(wù)（SUNONE Directory Server、Windows Active Directory）和CA認(rèn)證的用戶信息存儲，關(guān)系數(shù)據(jù)庫采用加密和簽名的技術(shù)手段增強(qiáng)存儲的安全性。；² 用戶認(rèn)證 采用JAAS的可擴(kuò)展框架，通過插入擴(kuò)展的方式支持第三方認(rèn)證系統(tǒng)；² 單點(diǎn)登錄 共享了多應(yīng)用系統(tǒng)之間的用戶認(rèn)證信息，實(shí)現(xiàn)在多個應(yīng)用系統(tǒng)間自由切換。但是仍然使用應(yīng)用系統(tǒng)的原有權(quán)限管理；² 委托管理 實(shí)現(xiàn)管理功能的分散，提供按照協(xié)作應(yīng)用和組織等不同方式

8、的委托功能，支持對用戶、組織、日志等管理功能的委托；² 日志管理 實(shí)現(xiàn)用戶操作日志的統(tǒng)計、審計與查詢檢索功能，日志同時記錄成功和失敗的操作，并且對所有操作采取了簽名的方式確保不可篡改。² 登錄管理 查看、瀏覽與檢索用戶登錄情況，管理員可以在線強(qiáng)制用戶退出當(dāng)前的應(yīng)用登錄。TRS Identity Server的關(guān)鍵是安全，為此TRS Identity Server采用了包括加密、簽名等手段在內(nèi)的多種安全措施。采用SSL增強(qiáng)傳輸通道的安全性；采用FORM BASE驗(yàn)證方式增強(qiáng)Web訪問的安全性；采用IP限制方式增強(qiáng)控制臺的安全性；采用JCE、JSSE框架提供安全的擴(kuò)展性，允許定

9、制加密算法和簽名算法加強(qiáng)安全基礎(chǔ)。通用敏捷的集成框架是TRS Identity Server支持應(yīng)用系統(tǒng)的基礎(chǔ)。集成框架的核心是可加密的XML格式協(xié)議+SOCKET/SSL。XML格式協(xié)議提供了最足夠擴(kuò)展性和跨平臺性，允許擴(kuò)展協(xié)議的命令和平臺間的信息交換，支持對關(guān)鍵信息的加密和簽名。雖然TRS Identity Server基于J2EE架構(gòu)，但是他仍然能夠支持非J2EE架構(gòu)的應(yīng)用。SOCKET/SSL的連接方式進(jìn)一步確保系統(tǒng)的跨平臺和跨語言的特性。在集成框架的層面上，TRS Identity Server只定義了交互協(xié)議和交互方式，并未定義交互的邏輯和實(shí)現(xiàn)標(biāo)準(zhǔn)。XML格式協(xié)議支持用戶和角色信息

10、的添加、刪除、更新和同步等功能。TRS Identity Server支持Windows、Linux、Solaris等操作系統(tǒng)；支持Tomcat、WebLogic、WebSphere等應(yīng)用服務(wù)器；支持SQL Server、Oracle等數(shù)據(jù)庫系統(tǒng)；支持Windows Active Directory、SUNONE Directory Server和OpenLDAP等目錄服務(wù)。為了減少部署和使用的成本，TRS Identity Server默認(rèn)使用Tomcat作為應(yīng)用服務(wù)器，關(guān)系數(shù)據(jù)庫作為用戶存儲。TRS Identity Server支持SAML標(biāo)準(zhǔn)，實(shí)現(xiàn)對外部身份實(shí)體的聯(lián)合認(rèn)證。l 應(yīng)用系統(tǒng)

11、作為身份管理的使用者，應(yīng)用系統(tǒng)獲取TRS Identity Server提供的服務(wù)，滿足既定的身份管理功能需求。對于普通用戶而言，TRS Identity Server是透明的。通過應(yīng)用系統(tǒng)綁定的代理模塊實(shí)現(xiàn)和TRS Identity Server或者第三方認(rèn)證系統(tǒng)的交互。在正常情況下，應(yīng)用系統(tǒng)直接和TRS Identity Server交互，使用TRS Identity Server提供的服務(wù)；但是在特殊情況下，TRS Identity Server允許通過代理模塊直接使用第三方認(rèn)證系統(tǒng)提供的服務(wù)。對于J2EE技術(shù)路線的應(yīng)用系統(tǒng)，TRS Identity Server采用Filter技術(shù)實(shí)現(xiàn)

12、了應(yīng)用系統(tǒng)和服務(wù)器的交互，可以滿足大部分應(yīng)用的需求；針對不能滿足的應(yīng)用系統(tǒng)，通過擴(kuò)展定制新的邏輯；對于非J2EE應(yīng)用，比如.NET，在集成框架下根據(jù)平臺的自身特點(diǎn)定制邏輯，實(shí)現(xiàn)應(yīng)用系統(tǒng)和服務(wù)器的交互。9三、 產(chǎn)品功能TRS Identity Server提供的功能描述如下：功能定義主要功能用戶管理用戶的添加、刪除和更新等管理功能。1、 管理員添加創(chuàng)建新用戶的模式；2、 用戶注冊創(chuàng)建新用戶的模式；3、 管理員修改用戶非密碼信息；4、 修改用戶的基本信息；5、 刪除用戶；6、 批準(zhǔn)/拒絕用戶；7、 暫停/啟用用戶；8、 多種條件檢索用戶；9、 限定用戶唯一登錄10、 用戶與CA證書綁定11、 設(shè)置

13、用戶的組織；12、 LDAP、CA和RDBMS等多種用戶存儲；13、 設(shè)置用戶的委托管理身份；14、 顯示當(dāng)前用戶訪問協(xié)作應(yīng)用的狀況；15、 支持用戶基本信息的定制；16、 用戶信息的簽名；17、 用戶密碼不可逆加密；組織管理組織的添加、刪除和更新等管理功能。1、 添加的創(chuàng)建新組織模式；2、 修改組織的基本信息；3、 刪除組織，只有非空組織允許刪除；4、 基于組織的用戶管理；5、 創(chuàng)建有層次關(guān)系的組織；6、 根據(jù)組織名檢索組織；7、 設(shè)置組織的委托管理用戶；8、 支持組織基本信息的定制；協(xié)作應(yīng)用管理協(xié)作應(yīng)用的添加、刪除和更新等管理功能。1、 管理員添加的創(chuàng)建新協(xié)作應(yīng)用模式；2、 修改協(xié)作應(yīng)用的

14、基本信息；3、 刪除協(xié)作應(yīng)用；4、 設(shè)置協(xié)作應(yīng)用的委托管理用戶；5、 根據(jù)協(xié)作應(yīng)用名檢索協(xié)作應(yīng)用；6、 暫停/啟用協(xié)作應(yīng)用；7、 顯示當(dāng)前協(xié)作應(yīng)用的用戶訪問狀況；8、 協(xié)作應(yīng)用集成基本配置校驗(yàn)9、 批量導(dǎo)入未與協(xié)作應(yīng)用建立映射的用戶10、 限定用戶唯一登錄11、 多種協(xié)作應(yīng)用登錄方式設(shè)置登錄管理顯示當(dāng)前用戶登錄協(xié)作應(yīng)用的信息。1、 顯示當(dāng)前用戶登錄協(xié)作應(yīng)用的狀況；2、 強(qiáng)制失效當(dāng)前有效的用戶登錄；3、 根據(jù)用戶名查找用戶的登錄狀況；4、 根據(jù)協(xié)作應(yīng)用名查找用戶的登錄狀況；日志管理記錄、顯示、查找、備份、導(dǎo)出等管理功能。1、 根據(jù)操作類型顯示日志；2、 驗(yàn)證日志的有效性和完整性；3、 多種條件組

15、合查找日志；4、 設(shè)置日志查找的時間范圍；5、 備份指定條件的日志；6、 導(dǎo)出指定條件的日志；7、 自動記錄所有操作的執(zhí)行情況，包括未知身份的用戶登錄操作；映射管理設(shè)置用戶與協(xié)作應(yīng)用之間的映射關(guān)系1. 管理員添加用戶與應(yīng)用的映射關(guān)系；2. 設(shè)置用戶在協(xié)作應(yīng)用對應(yīng)的特殊身份；3. 用戶登錄協(xié)作應(yīng)用的IP限定；4. 多種條件組合查找映射關(guān)系；用戶認(rèn)證根據(jù)身份信息驗(yàn)證用戶的有效性。1、 支持用戶名和密碼方式的認(rèn)證方式；2、 支持CA證書的認(rèn)證方式；3、 支持JAAS規(guī)范的認(rèn)證方式擴(kuò)展；4、 支持加密通過的身份信息傳輸；單點(diǎn)登錄根據(jù)已有認(rèn)證信息自動完成協(xié)作應(yīng)用的登錄1、 支持跨域的協(xié)作應(yīng)用單點(diǎn)登錄；2

16、、 跨平臺的協(xié)作應(yīng)用單點(diǎn)登錄；3、 支持TRS Identity Server集成框架下的單點(diǎn)登錄擴(kuò)展；4、 提供統(tǒng)一登錄頁面確保用戶體驗(yàn)一致；5、 支持協(xié)作應(yīng)用分散和身份服務(wù)集中兩種登錄方式；統(tǒng)一退出統(tǒng)一退出所有已登錄協(xié)作應(yīng)用。1、 單個退出請求，退出全部已登錄協(xié)作應(yīng)用；2、 發(fā)送模擬退出確保執(zhí)行協(xié)作應(yīng)用退出流程正確執(zhí)行；登錄超時響應(yīng)已登錄的協(xié)作應(yīng)用的超時事件，并執(zhí)行相應(yīng)的應(yīng)對策略。1、 跟蹤并記錄協(xié)作應(yīng)用的超時事件；2、 所有登錄全部超時后自動注銷全局登錄，確保系統(tǒng)安全性；委托管理根據(jù)用戶身份執(zhí)行相應(yīng)的用戶及其他管理功能。1、 設(shè)置用戶的委托管理權(quán)限；2、 按照協(xié)作應(yīng)用執(zhí)行委托管理；3、

17、按照組織執(zhí)行委托管理；4、 用戶的委托管理；5、 組織的委托管理；6、 日志的委托管理；系統(tǒng)管理顯示、定制或設(shè)置系統(tǒng)的運(yùn)行參數(shù)。1、 Web方式的遠(yuǎn)程管理和控制；2、 顯示系統(tǒng)運(yùn)行狀態(tài)信息；3、 修改系統(tǒng)運(yùn)行參數(shù)；四、 標(biāo)準(zhǔn)和協(xié)議TRS Identity Server實(shí)現(xiàn)或支持的標(biāo)準(zhǔn)及協(xié)議如下：標(biāo)準(zhǔn)或協(xié)議作用備注HTTPS確保Web訪問安全性可選。默認(rèn)情況下，控制臺和集中登錄使用此協(xié)議。非定制協(xié)議。JDBC訪問關(guān)系數(shù)據(jù)標(biāo)準(zhǔn)接口必備。默認(rèn)情況下，訪問系統(tǒng)信息和用戶信息使用此協(xié)議。非定制協(xié)議。JAAS用戶認(rèn)證的J2EE框架必備。默認(rèn)情況下，支持用戶名+密碼和LDAP兩種方式的用戶認(rèn)證。非定制框架。

18、OCSP驗(yàn)證CA證書有效性的協(xié)議可選。非定制協(xié)議。LDAPv3訪問目錄服務(wù)標(biāo)準(zhǔn)接口必備。非定制協(xié)議。SSL確保代理和服務(wù)訪問安全性必備。非定制協(xié)議JCE加密算法擴(kuò)展框架必備。非定制協(xié)議。JSSE安全Socket擴(kuò)展框架必備。非定制協(xié)議。SAML外部身份實(shí)體的聯(lián)合認(rèn)證可選。非定制協(xié)議。Interaction Protocol代理和服務(wù)器交互協(xié)議必備。采用XML格式滿足跨平臺需要，采用JCE確保協(xié)議內(nèi)容安全性。定制協(xié)議，與TRS Identity Server協(xié)作應(yīng)用集成框架一致。當(dāng)前版本為1.0。五、 主要特色TRS Identity Server的主要特點(diǎn)如下：部署容易對于實(shí)施人員，TRS I

19、dentity Server提供多種操作系統(tǒng)的安裝程序，容易地部署到各種操作系統(tǒng)和應(yīng)用服務(wù)器；提供了內(nèi)置的代理模塊，容易地支持基于Java或者ASP/ASP.NET的Web應(yīng)用；默認(rèn)提供對TRS WCM、TRS CDS、TRS BBS和TRS CIS等產(chǎn)品的支持，容易實(shí)現(xiàn)與現(xiàn)有TRS產(chǎn)品的整合。使用方便對于最終用戶，TRS Identity Server是完全透明的，不會給使用上帶來任何不一致。TRS Identity Server實(shí)現(xiàn)的單點(diǎn)登錄等功能，方便用戶在多個系統(tǒng)間自由的切換。采用TRS Identity Server，用戶就可以通過一套用戶身份和密碼完成所有應(yīng)用的登錄。對于管理員而言

20、，TRS Identity Server支持遠(yuǎn)程管理，提供了Web界面方便管理員進(jìn)行系統(tǒng)的遠(yuǎn)程維護(hù)和管理；TRS Identity Server提供的用戶管理方便管理員同時管理多個協(xié)作應(yīng)用的用戶，減少重復(fù)勞動，同時確保用戶的一致性和安全性，避免在用戶管理上出現(xiàn)安全問題。定制簡單對于開發(fā)人員，TRS Identity Server提供了大量擴(kuò)展的接口，組織通過定制來擴(kuò)展系統(tǒng)的行為，定制接口涉及安全、認(rèn)證方式等多個方面。對于管理員，TRS Identity Server提供了多種配置選項(xiàng)，管理員僅需要通過簡單地設(shè)置來定制系統(tǒng)的行為。安全可靠對于自身的安全性而言，TRS Identity Server通過加密、簽名和安全通道等方式確保敏感信息的在交互和存儲過程中的安全性。在Server和代理模塊間的交互采用SSL Socket確保通訊鏈路的安全，通過加密確保通訊內(nèi)容的安全；在用戶和Server間的交互采用HTTPS確保通訊鏈路和通訊內(nèi)容的安全；在存儲上，針對所有敏感信息采用加密數(shù)字簽名的方式確保內(nèi)容存儲的安全；在用戶使用方面，采用單點(diǎn)退出功能確保用戶的安全性。對于方案的安全性而言，TRS Identity Server支持集群和雙機(jī)的高可用性方案，避免方案的單點(diǎn)故障發(fā)