基于J2EE及开放框架的身份管理系统,

组织信息系统的"身份总管"让内容创造价值身份服务器TRSIdentityServer1TRS身份服务器(TRSIdentityServer,简称TRSIDS)是北京拓尔思信息技术有限公司用于整合应用系统身份管理的应用级安全产品.
该产品是一套基于WEB和J2EE技术的软件,实现了各种应用系统间跨域单点登录/退出等统一的身份认证和管理功能.
TRS身份服务器是拓尔思公司身份管理解决方案的核心组件,旨在帮助现代企业/政府职能部门进行有效的IT应用系统身份管理,提升IT用户体验、降低IT管理成本.
我需要IDS系统吗什么是TRSIDS我单位部署了多套软件系统实行现代化办公,有财务软件系统、客户关系管理系统、电子邮件系统、内部办公系统、网站门户系统等.
员工在每套系统有不同的用户名、密码,结果账户经常弄错,要么忘了,访问起来真麻烦!
作为单位的系统管理员,单位上上下下300余号人的账户我都要负责管理,而且在部署的8个应用系统每个都要建一遍账户,修改资料和权限也非常麻烦,不仅费时费力,效率低下,还经常由于搞错身份和权限信息而被上司责备,唉!
作为集团公司的IT负责人,4个分公司的主要业务系统我们实现了联网和数据共享,然而,集团2000人的人员身份管理和访问问题变得非常复杂和头疼,虽然增雇了多名系统管理员,但评估下来整体运行效率并没提高,用于身份管理的成本却急剧增加.
公司大了,人力的流动和岗位更换更多更复杂了,一名新进员工能够完全正常访问公司资源并开展工作之前,往往要花费几天时间才能解决所有问题!
而当一名员工离职后,管理员需要将该员工在若干系统中的若干身份彻底清除干净,这同样花费管理员不少时间来处理!
身份管理成本问题,需要慎重对待并有效解决了!
随着互联网的发展和业务需要,传统上组织内部的信息系统与外界产生更多联系,不仅公司内部员工需要访问公司的各种信息系统,我们的客户/合作伙伴等也需要从中获取和交换信息,当他们在不同的系统间转换访问时,会不断面对身份认证窗口,虽然他们确实是公司资源和服务的合法访问者.
这些原本正常的认证现在成了用户体验的道道障碍了,令他们十分不便和沮丧.
这样不仅降低业务工作效率,增加交易成本,有损公司形象,实际上也导致一些客户/合作伙伴的流失,公司因而错过了商业机会.
这种访问体验状况必须得到改善!
由于各个系统的用户信息互不相通,同一用户在不同系统的登录状况和行为无法联系起来,因而我们缺乏对各系统用户的统一管理视图和全局分析,针对客户、合作伙伴或雇员的个性化服务以及体验改善计划也就难以以最有效的方式开展.
现在,统一的身份管理要求非常迫切,怎么办显然,您需要一套身份管理解决方案,尽快部署并使用TRSIDS系统,使组织从身份管理中获得效益!
TRS身份管理服务器2身份管理系统并不是可独立运行的软件系统,它需要与众多的现有应用系统及组织内未来将部署的系统连接交互,从而发挥其"身份总管"的作用,TRS首先定义了通用性的身份管理框架,并在此框架内实现了以TRSIDS为核心的身份管理解决方案.
TRS身份管理框架应用系统单点登录授权隐私验证目录服务/数据库供应TRSIDS给您带来的价值!
TRSIDS让身份管理工作集中和简化,管理员可从容应对大规模用户对多种应用系统的访问管理;身份管理维护的复杂度大大降低,用户使用成本和支持成本大大削减.
——组织将节省大量的时间和金钱.
TRSIDS可以让新员工在几分钟内获得企业网络资源的访问权,或迅速开通访问通道.
用户只需要设立单一身份口令就能访问服务器、使用打印机以及获得其它资源服务.
单点登录功能可让合法用户无障碍进入各种授权应用系统.
——组织将不再因繁复的身份认证过程而导致任务滞缓.
利用集中的用户验证、基于规则的访问控制和单点登录,TRSIDS在Web应用间建立了有效的、可升级的安全模型,并采用了包括加密、签名、SSL连接等手段在内的多种安全措施.
在保护隐私和重要身份信息安全的同时,TRSIDS通过实时事件审计,保护未授权资源.
TRSIDS提供的基于用户身份的可定义、可重用和可审计的安全流程能够在组织范围大大提升系统安全性.
提供个性化信息服务的一个重要基础是用户身份能够被统一识别和验证.
TRSIDS为多种异构协作应用系统提供完整统一的认证框架和机制,在为最终用户提供多系统单点登录(SingleSign-On)便捷访问体验的同时,也为个性化信息服务系统提供了必需的基础设施.
通过有效地利用在商业伙伴间已经获得的互信关系,TRSIDS可在不同用户群体间建立信任服务的基础,为信息共享互动和在线商务协作等行为清除障碍,提供方便,从而创新出的不同于以往的服务模式和共赢机会,获得新的利润增长点.
降低管理成本提高工作效率提升系统安全增强用户体验增加收益机会3TRS身份管理解决方案以TRSIDS为核心的操作系统关系数据库应用服务器目录服务器协作应用平台MicrosoftWindows2000/2003、Linux、AIX、Solaris、HP-UnixMicrosoftSQLServer2000SP3、Oracle8i,9i,10gTomcat、IBMWebSphereApplicationServer、BEAWebLogicServerSUNONEDirectoryServer、WindowsActiveDirectory、OpenLDAP.
NET、J2EE(Servlet2.
3以上)运行环境TRS的身份管理解决方案由身份的供应和认证、TRSIdentityServer和应用系统三个部分组成.
身份的供应和认证身份的供应和认证是身份管理策略的基础.
TRS身份管理策略支持基于关系数据库和LDAP/CA等第三方认证系统的用户供应和认证策略.
在采用第三方认证系统时,TRSIdentityServer通过标准协议和第三方认证系统交互实现用户的供应和认证.
应用系统应用系统是身份管理系统的使用者,与TRSIDS集成和交互.
在部署TRSIDS后,应用系统用户将透明地获得TRSIDS所提供的身份管理服务及增强的用户体验,系统管理员将更方便地对用户进行管理,基于用户信息的多种增值服务可顺利构建.
TRSIdentityServer(TRSIDS)TRSIDS是整个身份管理解决方案的核心,其实现:用户管理:实现用户的创建、删除和维护等功能,支持关系数据库、LDAP目录服务和CA认证的用户信息存储,关系数据库采用加密和签名的技术手段增强存储的安全性;用户认证:基于可扩展框架实现对用户身份的统一认证,并通过模块插入扩展的方式支持第三方认证系统;单点登录:可在多应用系统之间共享用户认证信息,并实现在多个应用系统间自由切换.
只需一次登录,即可自如访问多个授权应用系统.
委托管理:实现用户管理职能的委托授权,可按照协作应用和组织机构等不同方式进行委托分工,使得繁复的身份管理工作变得轻松而有序.
TRSIDS系统的特点4全面安全保障,使用无忧开放标准实现,应用轻松集成可扩展架构,有效保护投资易于部署实施,简单易用身份管理的关键是安全,TRSIDS采用了包括加密、签名等手段在内的多种安全措施,使得客户的敏感信息始终处于安全控制之下,避免敏感信息的泄漏和非法使用.
全面保障措施:系统安全性:TRSIDS通过加密、签名和安全通道等方式确保敏感信息在交互和存储过程中的安全性.
IDS与代理模块交互:采用SSLSocket确保通讯链路的安全,通过加密确保通讯内容的安全.
用户与IDS交互:采用HTTPS确保通讯链路和通讯内容的安全.
信息存储:所有敏感信息采用加密+数字签名的方式确保内容存储的安全.
用户使用:采用单点退出功能确保用户授权资源无泄露隐患.
整体应用:支持集群和双机的高可用性方案,避免单点故障发生,保障客户整体应用的可用性和安全性.
基于开放的标准实现的IDS系统使得客户能够轻松集成多种异构应用系统.
OCSP协议支持,与CA认证中心交互,验证CA证书的有效性;JDBC协议实现多种关系数据库支持;LDAPV3协议实现与LDAP目录服务交互,进行用户管理和身份认证;支持SAML协议的用户身份验证和统一用户登录;支持JAAS框架扩展认证和授权方式;XML格式的集成协议支持各种平台的协作应用.
可扩展的架构使得客户能够方便的扩展和升级,快速适应业务的不断发展,有效保护客户的投资.
支持多种认证系统使得用户能够根据自己的现状选择合适的整合方式,充分挖掘客户已有投资的价值.
JCE、JSSE安全基础架构的扩展;JAAS认证和授权框架的扩展;多层次的二次开发接口方便扩展协作应用,适应客户业务不断发展的需要.
便捷的安装程序实现协作应用端支持模块的直接部署;Web方式的管理页面,支持管理员远程管理,降低了管理难度、简化了管理流程;委托管理减少管理员的工作量,提高管理效率和应用的安全性;TRSIDS对于最终用户完全透明,不会给使用带来多余障碍,相反TRSIDS将给用户更便捷的访问体验.
TRSIDS已默认支持TRSWCM、TRSCDS、TRSCIS和TRSBBS等应用系统的集成,可为您立即部署!
5TRSIDS成功案例为了提高国家发改委信息服务质量,对政务管理信息系统进行有效的整合,使信息结构更为合理,栏目更为清晰、服务功能更加强大,顺应政府网站的发展需要,更好地为企业和公众提供良好的信息服务,使大众能够方便快捷的获得所需要的信息,同时能够有效的组织委内各司局以及委属单位的信息资源,国家发展改革委员会应用新的支撑系统对门户网站进行了改造升级.
项目涉及的应用均为基于J2EE架构,主要有TRSWCM、TRSCDS、TRSBBS等应用产品,以及两个第三方应用产品.
TRSIDS在本次项目中为门户后台的众多系统提供统一的用户管理和用户的单点登录服务.
系统采用了OpenLDAP存储用户身份信息,由于TRSIDS内置的模块能够与TRS的其它产品进行无缝集成,因此在本次项目中,用于支撑网站运行的主要系统很快能够与TRSIDS联合部署;而对于非TRS的第三方系统,采取了由第三方定制开发的方式,由TRS提供相关的开发文档及示例代码,第三方派出了一位实施工程师负责定制开发,从参加培训到最终实施成功,仅用一周时间便实现了身份管理功能的集成以及系统部署.
国家发改委项目的实施,实际证明了TRSIDS产品部署的高度便捷性、可用性、兼容性及可扩展性.
TRSIDS的高度产品化确保了项目的快速部署,节约了项目的实施时间;遵循开放的标准与协议确保了该产品的高度扩展能力,有利于方便的扩充及支持项目的新需求;简洁的开发框架确保了应用的高效集成能力,有利于实现第三方产品的迅速集成.
国家发改委项目TRSWCMTomcat/SolarisTRSCDSWebLogic/SolarisTRSBBSWebLogic/Solaris第三方系统A第三方系统BOracleOpenLDAPTRSIdentityServerTomcat/Solaris6投资北京项目涉及北京市发改委的多个信息资源与服务站点,需要将原来分开运行维护的包括"北京市发展和改革委员会"、"投资北京"、"奥运经济"、"北京中小企业网"、"北京节能环保网"和"北京经济信息网"六个网站中分散的资源和功能服务进行有效整合,丰富内容,将现有网站资源中与市发改委的职能和业务范围相关的内容整合到将要重点建设的新的"北京市发展和改革委员会"网站(www.
bjpc.
gov.
cn).
通过本次资源整合,使网站管理水平达到质的提升,网络结构更加合理,可靠性、安全性和应对大规模访问的能力进一步提高.
本项目涉及的应用均基于J2EE架构,主要有TRS的WCMv5.
2、CDS、BBS等应用产品.
由TRSIDS提供用户的单点登录服务、统一用户认证和统一用户管理等功能,为网站群提供便捷可靠的身份服务.
由于该项目进行资源整合,用TRSWCM/CDS/BBS等产品替代以前的应用系统,因此需要将分散在不同旧系统的不同数据库表中的历史用户数据迁移到TRSIDS和WCM/CDS/BBS等产品中.
此外,投资北京项目中,需要区别对待用户的注册:在不同站点上注册的新用户,需要分配到WCM/CDS/BBS等应用下的不同用户组或不同的权限,并且希望该过程不需要管理员参与,而是自动进行,从而减少管理上的投入.
由于TRSIDS完善实现了身份供应、集成及同步等机制,且高度产品化,因此,投资北京项目中,TRSIDS的安装部署及WCM/CDS/BBS等应用的集成和测试工作从实施开始到完成,总共花费了仅1周时间.
投资北京项目TRSIDS基于开放的TRS身份管理框架及国际通用标准实现,并对外提供与第三方协作应用系统集成的框架以及非常便捷的二次开发接口.
TRSIDS不仅仅是一套成熟产品,更是广大软件开发商、应用集成商等用于身份整合管理、单点登录服务及个性化门户服务的重要基础中间件.
TRSIDS与协作应用的集成框架TRSIDS提供了各协作应用产品间跨域的单点登录/退出功能和统一用户管理功能,并且在集成过程中,不需要修改其他应用系统的已有代码.
和很多同类SSO产品相比,TRSIDS的集成框架更注重实效,对Web应用的规定和限制更少,从技术角度保证了原有Web应用不需要修改,大大减少了实现SSO和统一用户集成的工作量,提高了集成效率.
在国家发改委等项目中,TRSIDS和实际第三方Web应用的集成,充分证明了TRSIDS集成框架在同类产品中的优越性.
在该集成框架中,TRSIDSAgent和Actor两个模块整合协作应用:Agent截获处理协作应用的相应请求,并与TRSIDS通信,组织SSO流程和统一用户管理流程.
Actor为协作应用和TRSIDS间的协同模块,包含协作应用自身登录退出等过程的逻辑.
TRSIDS将提供基于Java平台及.
Net平台的Agent,各协作应用只需按照TRSIDS集成框架规范,完成相应Actor的开发(即完成自己本地的逻辑处理过程),即可完成和TRSIDS的集成,将孤立分散的第三方应用系统集成进入一个有机的整体.
Actor接口由TRSIDS提供,协作应用根据自己的处理逻辑实现即可.
身份应用中间件平台TRSIdentityServer(TRSIDS)TRSIDSAgentJava&.
NetSupportBrowserActorCoAppTRSIDS中间件平台第三方协作应用系统协作应用与TRSIDS协同模块(定制开发模块)图例说明:TRSIDS应用集成框架