建立統一身份認證系統

系統實施方案

架構圖如圖1所示。其中統一身份認證系統采用微軟公司ActiveDirectory域服務管理功能，操作系統采用Windows Server 2008，提供標準LDAP目錄服務，為了保證統一身份認證系統的高可用，AD域采用雙機實施方案。

單點登錄系統依托企業門戶來實現單點登錄功能，門戶首先實現AD域身份認證，并與各信息系統建立集成接口，將認證信息傳輸給其它信息系統認證模塊，同時其它信息系統具備識別統一身份認證系統認證信息的模塊。

1.統一身份認證實施方案

圖1 統一身份認證和單點登錄系統架構圖

在企業部署兩臺PC服務器，安裝微軟公司Windows 2008操作系統，在兩臺服務器上部署微軟公司AD產品，系統采用高可用方案雙機部署模式，實現了企業統一身份認證服務并提供較高可用性。在域控服務器上，通過dcpromo命令安裝ActiveDirectory服務，安裝完畢即可配置完成企業LDAP目錄樹，實現企業部門和員工身份信息集中存儲，構建完整統一的身份管理系統。

2.單點登錄系統實施方案

依托企業門戶系統實現門戶系統與統一身份認證集成，單點登錄系統在獲取身份認證Ticket后，將門戶系統認證身份、時間戳、Token信息傳遞到信息系統認證接口中，信息系統識別單點登錄認證信息后，返回認證Ticket，從 而實現信息系統單點登錄。為了保證單點登錄系統的高可用，門戶系統采用雙機集群負載均衡實施方案，能夠實現雙機集群自動切換及負載動態分擔，提供穩定單點登錄服務。

單點登錄系統為了保證身份認證安全，隨機生成時間戳，部分代碼如下：

單點登錄系統為了保證Toke信息不被篡改，系統對Toke進行加密，加密代碼如下：

3.認證模塊標準化

對于已建設信息系統，通過對其身份認證功能改造，實現統一身份認證，同時識別門戶單點登錄系統Ticket以完成單點登錄系統集成。對于新建設設信息系統，要求系統實施商嵌入該身份認證模塊，完成統一身份認證，認證部分代碼如下：

系統安全性

1.構建服務器區安全域，部署服務器區防火墻。

2.服務器上部署防病毒軟件，保證終端安全。

3.實施AD域雙機部署，保證統一身份認證系統高可用。

4.實施門戶雙機集群負載均衡，實現單點登錄系統負載均衡。

5.開展服務器安全基線配置，定期開展漏洞掃描、補丁更新及加固工作。

6.通過IT運維審計系統，實現系統運維安全。