发布时间 : 星期日 文章中国移动SunOnePortal门户系统安全配置手册更新完毕开始阅读
中国移动SunOnePortal安全配置手册
RemoteAcess通常是部署在企业的DMZ区,通常有两块网卡,一个连接到Internet,另一块连接到企业的内部网。企业员工如果从外网访问Portal Server的服务, 键入的是RemoteAcess所提供的网页地址,RemoteAcess通过对URL地址的重写,将以用户的请求转发给Portal Server来处理并将结果转发给用户。
1.2.2 用户的身份认证和授权:
用户访问Portal的身份的认证和授权是由Identiy Server来完成的。当用户访问Portal服务时。IdentityServer首先截获用户的请求。当检测到用户没有被认证过后,Idnetity Server就会将用户转向到登录界面。要求用户输入用户名和密码。在用户提交用户名和密码后。IdentityServer会到Directory Server的用户列表中去匹配,如果验证通过,IdentityServer就会将用户的组织信息角色信息取出来,放在session中, 并对用户要访问的Portal桌面进行进行权限匹配,如果该员工有权进行访问。则IdentityServer就将用户重定向到Portal的服务页面。而Portal则根据用户的在session中存储的用户桌面服务信息来组织页面。
1.2.3 资源的访问控制
Portal作为一个集成平台。所集成的系统是通过Web页面来展现给终端用户的。页面上信息的展现单位是Portlet, Tab页是多个portlet的集合。对于不同组织,角色的用户来说他们的权限是不同,通过Portal访问到的应用系统也不同。用户看到的portlet、Tab页都不会相同。另一方面Portlet和Tab的组织,可以根据用户的需求。按照组织,角色进行定制。在SunOnePortal中控制不同Portlet组合、页面组合。不同权限用户的页面就是不同的Tab页和porlet的组合。这些组合(包括属性信息)是存放在Desktop Profile文件中的,是用户、组织、角色的属性。
在开发过程中,我们要开发这些Tab页和portlet,来将其他系统集成在
9
中国移动SunOnePortal安全配置手册
portal上。 再根据需求对组织的desktop profile,角色的desktop profile或用户个人的desktop profile进行定制,以完成个性化,角色化、组织化的桌面资源展现。
1.2.4 集中的信息存取
Direcotry Server是Portal平台的重要组成部分。它为Portal提供信息存储服务。Portal所有的配置信息;用户,组织,角色等的信息都存储在 Directory Server中。 Portal和Directory Server之间的通讯是LDAP协议,或基于LDAP的SSL协议。在安装过程中,DirecotryServer为Portal提供一个访问用户,这个用户用于建立和维护Potal的所有配置信息和用户等信息。用户名的密码是以加密的形式储存在Portal的配置文件中。
1.3 功能与定位
SunOne Portal是一个企业级的信息门户平台。这个平台为提供给企业如下的功能:
1. 为企业各个应用系统提供内容聚合展现的平台:
企业的各个应用系统往往都是各自独立的。用户在访问它们的时候,要做很多重复登陆操作。Portal通过实现对各个应用系统的内容聚合展现, 使得用户通过一个平台就可以访问到多个系统, 这样大大的方便用户。通过这样的整合展现,提高了各应用系统之间信息关联性和共享性。 SunOne Portal为企业建立了一个信息交流和共享的平台,一个协同工作的平台。这是Potal的最大的优点。 2. 实现单点登陆,提高安全性:
用户登录Portal之后,访问其他系统无需再次输入用户名/密码。这一方面方便了用户使用。另一方面也提高了系统的安全性,因为记忆和使用多个用户名和密码这会在客观上给系统带来不安全性。Portal的功能之一是将各应用系统
10
中国移动SunOnePortal安全配置手册
的用户名和密码进行整合。使用Portal对它们进行统一管理。 3. 实现统一的用户管理,建立集中的用户资源信息:
对于不同的应用系统,用户的信息往往也是分散而各自独立。随着企业信息化建设的深入。系统之间的关联性愈来愈重要。用户信息的不同往往给信息的共享和交换带来很大的不便,同时多个用户名的管理和维护也给企业带来安全上的隐患。Portal通过建立统一集中的用户信息。为企业的其他应用系统提供了统一集中的的目录信息服务。为了兼容其他用户系统,SunOne Portal可以通过Meta Directory Server软件,实现和现有系统的用户信息同步。通过对IdentityServer的员工信息的管理,就可以实现对各个应用系统的用户的管理。这样的集中管理, 免除了分散管理所带来的弊端, 增强了用户信息的集中性和利用率,也为企业的员工信息化管理建立了一个统一、标准的平台。
1.4 特点和局限性
SunOne Portal 作为企业门户网站解决方案,它实现了标准的电子商务体系结构。它所提供的核心产品,为用户提供了具有高度可伸缩的门户网站的基础结构。用户在这个基础上可以做更进一步的扩展:将更多的应用系统集成进来。实现应用集成,信息共享,协同工作等功能。
在技术层面上看,SunOne Portal是web的应用系统。SunOne Portal Server和Identity Server是遵照J2EE标准来开发、实现的。因此它们可以部署在诸如WebLogic, WebSphere, SunOne Application等应用服务器上,这样可以有效利用用户现有资源,有充分的灵活性。SunOne Portal以SunOne Directory为目录服务器,这种目录服务器在同类产品中具有优秀的性能。SunOne Poratl的产品组件少,结构清晰,功能相对简单实用。Portal的开发相对容易,可以为用户节省投入成本。
SunOne Portal作为SunOne的门户解决方案产品和业界的其他产品比较。功能相对简单,产品线比较短。 SunOne Identity Server.的功能比较单一。实现的功能比较有限。在Poral的用户管理方面,SSO方面,实施人员要做一定的开
11
中国移动SunOnePortal安全配置手册
发工作。
第二章 3A服务
3A 是指authentication,authorization,administration。SunOne Portal的组件:SunOne Identity Server所提供服务就涵盖这三个方面:
2.1 身份认证(Authentication)
1 Anonymous访问, 我们禁止使用匿名访问的方式。 2 需要认证的访问,Identity Serverz支持认证方式包括:
Certificate-basedLDAP,Membership (Self-Registration), NT, Radius, SafeWord, Unix。 对应不同的认证方式,我们需要不同的软件/硬件相配和。 我们只采用LDAP的认证方式, 即用户的用户名和密码是配置在目录服务器中,Identity Server将用户输入的用户名和密码和目录服务器中的相比来判断是否允许用户是否可以登录。在配置中,我们需要指定目录服务器的访问地址,访问帐号和密码(密码是加密保存的)。Identity Server采用基于加密算法的token字符串,作为标识用户的方法:当用户访问由IdentityServer 所保护的Web应用时,如Portal,Identity Server的Agent就会将请求截获,并转发给Identity Server做认证。Ientity Server从用户的Cookie中取出token串,来作验证,如果用户没有Token串或验证没有通过,IentityServer就会将用户重定向到Ientity Server的认证界面。请求用户输入用户名和密码。只有当验证通过时,Ientity Server会将用户原先的请求转向到它访问的应用页面去。
Identity Server的多种认证方式可以应用到不同的组织,角色,甚至是不同的策略服务都可以支持不同的认证管理方法。
12