數通暢聯AEAI IDM統一身份管理平台實作5A管控,包括:,從五個方面進而規範使用者的身份資訊、保證系統的安全、提高工作效率。本次的業務操作說明主要幫助後續的人員對IDM進行業務操作或使用時進行參考。
IDM作為統一使用者中心,認證是一個永遠離不開的話題,并且針對不同的場景,所使用的認證方式并不相同,下面是對CAS認證、Oauth認證、接口認證的介紹以及使用Fiddler抓包工具對CAS認證、Oauth認證、接口認證過程監聽的介紹。
整體介紹
IDM身份管理平台滿足對企業資訊系統的的要求,能夠實作各業務系統的統一登入和集中通路,實作使用者身份和權限的統一認證與授權管理,為企業不同的業務系統提供統一的使用者管理和認證服務。
1.功能架構
IDM統一身份管理平台包含了兩個子產品,,功能架構圖如下:
1.IDM管理系統包括了對組織人員崗位的基礎管理、資料同步的情況記錄、各個業務系統的配置、資料分發時的任務資訊、操作資訊、認證的日志資訊、對業務系統的功能資源、接口資源和枚舉類的資料資源進行标準角色、實際角色、人員群組織的權限管控,通過組織角度和應用角度的資料情況進行分析;
2.IDC管理控制台可進行與其他業務系統接口進行對接,當基礎管理中的字段和按鈕不滿足需求時可以對字段和按鈕進行擴充處理、對BPM的流程運作情況進行監控統計、對門戶和門戶的主題進行自定義配置等等。
2.系統架構
,提高企業身份認證及通路安全,建立授權流程審批機制,使使用者身份資訊、授權資訊、審批資訊等操作更加規範化、标準化,提高整體IT架構的風險防範能力。
,為各系統提供統一身份認證、使用者身份管理服務,逐漸實作系統身份系統的整合,建構面向使用者的認證和授權服務,使業務操作更流暢。為簡化IT運維提供強大的技術手段和标準,實作賬戶資料自動化同步操作,同時制定合規的安全服務規範,建構統一的、支撐企業級的認證授權安全服務基礎設施。
3.統一認證
統一身份認證就相當于景區的通票,登入所有的應用系統時隻需一次驗證,之後就可以進入任何有權限進入的應用系統,這就是單點登入的概念,通過IDM統一身份管理平台實作的各個業務系統的單點登入,,通過2種不同方式實作不同的場景下的統一認證。
CAS認證
CAS模式認證是通過在其他産品中引入CASclient架包,然後在配置檔案中配置相關的攔截方式,進而實作單點登入。下面具體介紹CAS認證功能。
1.認證介紹
,Web應用系統提供一種可靠的單點登入解決方法,在實作統一身份認證過程中,一般CAS Server登入成功後隻會給業務系統傳回一個登入賬号,但特殊情況需傳回多個值,支援多種用戶端,安全可靠。
2.認證配置
業務系統需要引用:cas-client-core-3.1.3.jar放置于WEB-INF/lib。
在web.xml中添加以下配置:。
第一處Filter 通路時會被此Filter 攔截:
第二處Filter:
第三處:Filter:
3.功能展現
CAS用于統一身份認證技術,Web應用系統提供一種可靠的單點登入解決方法,在實作統一身份認證過程中,一般CAS Server登入成功後隻會給業務系統傳回一個登入賬号,但特殊情況需傳回多個值,,安全可靠。
用戶端發送請求通路WEB應用時,CASClient會檢查目前使用者是否攜帶認證辨別(是否登入),若未登入,重定向至CASServer進行登入認證,登入成功後會攜帶認證辨別傳回WEB應用,此時CASClient會檢查,發現存在認證辨別,CASClient會解析到目前登入的人員編碼,WEB應用使用該編碼實作權限初始化,進而。
以下是通過CAS登入ESB場景。
在浏覽器位址欄上通路ESB位址:http://localhost:9090/SMC。
這時就會被CAS登入頁面攔截:
輸入IDM賬号密碼就調用CAS認證登入了:
點選登入進入ESB首頁:
Oauth認證
Oauth(Open Authorization,開放授權)是為使用者資源的授權定義了一個安全、開放及簡單的标準,第三方無需知道使用者的賬号及密碼,就可擷取到使用者的授權資訊。
1.認證介紹
Oauth認證不會使第三方觸及到使用者的帳号資訊,不會代碼侵占的認證方式,通過認證平台登入賬戶成功後,會重定向業務系統的頁面,調用Oauth接口擷取token和使用者資訊,進而業務系統可以,這樣就實作了Oauth模式單點登入模式。
2.認證配置
配置位置:。
配置位置:(認證配置勾選Oauth認證并取消CAS認證)。
3.功能展現
以下是通過Oauth登入ESB的場景。
在浏覽器位址欄上通路ESB位址。
這時會被Oauth登入頁面攔截:
輸入IDM使用者名密碼點選登入就進入ESB首頁:
接口認證
接口認證的使用場景和CAS、OAuth有所差別,接口認證主要是滿足于桌面端、APP端等有獨立的登陸頁面,同時也無法內建CAS登入頁的情況,這種情況由于隻能使用業務系統自己的登入頁,是以。
1.認證介紹
本次在IDM中擴充一服務接口,用于外部業務系統直接調用,通過擷取的使用者資訊業務系統進行自己系統的登入認證。
2.接口介紹
本次将通過前後端接口差別對接口進行介紹。
1.登入所需要的接口 :
2.擷取使用者資訊所需要的接口:
前端可以通過MDM的serviceUrl來進行登入,由于後端無法擷取真實ip是以需要通過入參傳入ip來實作。
3.功能展現
首先登入主資料管理平台後點選登出:
登出後到月表中檢視是否有剛剛登入的日志:
如果月表中有目前日志則到IDM身份管理平台點選重新整理,重新整理後應成功登入IDM身份管理平台:
認證原理
使用Fiddler抓包,用法簡單,使用此頁面組成請求,可以通過從左側Web會話清單拖放會話來克隆先前的請求,下面對Fiddler工具的介紹以及對IDM登入原理過程進行監聽。
1.監聽工具
Fiddler(中文名稱:小提琴)是一個HTTP的調試代理,以代理伺服器的方式,監聽系統的Http網絡資料流動,Fiddler也可以讓你檢查所有的HTTP通訊,設定斷點,以及Fiddle所有的“進出”的資料(我一般用來抓包),Fiddler還包含一個簡單卻功能強大的基于JScript .NET事件腳本子系統,它可以。
Fiddler是一個抓包工具,當浏覽器通路伺服器會形成一個請求,此時,Fiddler就處于請求之間,當浏覽器發送請求會先經過Fiddler,然後再到伺服器,當伺服器有資料傳回浏覽器時也會經過Fiddler,然後資料才會在浏覽器中顯示,Fiddler就抓到了請求和響應資料的整個過程。
2.監聽過程
下面對CAS認證、Oauth認證、接口認證的監聽過程進行詳細介紹。
> > > > CAS認證
在浏覽器視窗輸入http://localhost:9090後會被CAS認證攔截:
Fiddler監聽情況如下:
登入IDM身份管理平台後,就會跳轉到ESB管理控制台。
此時Fiddler的監聽過程如下。
在登入頁面進行登入後,首先進行後端校驗。
後端校驗成功後傳回票據。
然後進行票據的校驗。
票據校驗成功後首先進入架構的首頁。
最後再進入首頁。
> > > > Oauth認證
在浏覽器視窗輸入:http://localhost:9090/SMC/index?Homepage&oauthSource=aidm後會被Oauth認證攔截:
Fiddler監聽情況如下。
第一步通過應用資訊首先會被IDM的Oauth認證攔截。
此時Fiddler的監聽過程如下:
在登入頁面進行登入後,首先進行後端校驗。
第二步通過傳回的Code由Oauth接口方法,傳回Ticket票據。
第三步系統根據擷取的Ticket票據觸發IDM身份管理平台認證,IDM認證成功後傳回使用者資訊後登入成功。
登入IDM身份管理平台後,就會跳轉到ESB管理控制台。
> > > > 接口認證
在浏覽器輸入http://localhost:4040 進入MDM首頁。
輸入IDM管理者的使用者名密碼後Fiddler監聽情況如下。
登入MDM調用IDM認證接口生成Cookie。
登入MDM成功後在浏覽器視窗輸入http://localhost:3030 後可以直接進入IDM首頁此時Fiddler監聽情況如下。
IDM通過Cookie中的CASTGC就可登入成功。
3.認證原理
下面對CAS認證、Oauth認證、接口認證的認證原理進行詳細介紹。
> > > > CAS認證
業務系統通過配置IDM的CAS認證相關資訊後,再通路業務系統會被IDM的CAS頁面攔截。
1.首先會被AuthenticationFilter攔截:。
2.然後Assertion有值就會到Cas20ProxyReceivingTicketValidationFilter中父類AbstractTicketValidationFilter的doFilter中,此方法會擷取ticket,然後把ticket放到Assertion中。
3.然後就會到HttpServletRequestWrapperFilter的doFilter方法中判斷Assertion是否為空并輸出。
4.有值就判斷可以正常登入,在通路IDM是就判斷有Assertion有值登入就可以成功了。
> > > > Oauth認證
1.使用者在通路業務系統登入時發起認證請求,,傳入client_id、redirect_uri、response_type、state,IDM根據參數傳回code及state;
2.系統發起請求傳入參數client_id、client_secret、redirect_uri、grant_type及code(頁面傳回的code),IDM身份管理平台進行認證,傳回access_token;
3.系統根據擷取的access_token觸發IDM身份管理平台認證,IDM認證成功後傳回使用者資訊Profile,傳回至使用者登入成功。
> > > > 接口認證
1.使用者在通路業務系統登入時發起認證請求,通過IDM認證接口進行IDM認證 并且擷取CASTGCID,接口傳回CASTGCID然後将CASTGCID放入Cookie中。
2.通過Cookie中的CASTGCID觸發IDM認證接口擷取使用者資訊,,IDM認證成功 後傳回使用者資訊Profile,傳回至使用者登入成功。
心得體會
在本次對CAS模式統一認證實作中,自己的技術能力還有對IDM産品的了解能力都得到了很大的提升,并且有了很多感悟,現将我在本次工作中的收獲,總結如下。
1.産品定位
IDM作為一個統一認證系統,在整個企業中起到了至關重要的作用,統一使用者中心不僅會管控所有使用者的賬号資訊,很多重要的隐私資訊也會記錄在IDM中。IDM的設計理念在于加強企業賬戶管理、支撐企業業務營運、簡化企業内部運維,實作統一認證、授權、審計管理,。
2.産品了解
對任何企業來講,身份資訊管理都是一項繁重的工作,一是要保證人員群組織架構資訊的準确性,二是使這些資訊能夠在不同的目錄或應用中高效地互動。
在複雜的商業環境下,IT人員不僅要管理内部員工,還有大量的合作夥伴、供應商等多種類型人員,需要進行身份資訊和權限的管理。是以,不同類型的大量人員群組織架構資訊分布在不同的系統中,使身份資訊管理工作的難度大大增加。
IDM能夠迎合企業集團化統一管控需求,滿足企業全面管理,解決企業資訊孤島問題,,在企業實作5A管控、集團統一管控、資訊公司承建托管、分子公司管理的過程中落地實作人員、資訊、流程的大內建,能為集團整合内部資源、推動戰略執行、防範項目風險提供全面的資料支援。
3.産品發展
每款産品要慢慢完善,我們要在保證産品品質和性能的前提下使産品的擴充性高,可使用性強 ,讓使用者能更簡單的使用我們的産品。在今後我們也會不斷的完善IDM,一步步成為更加完美的身份管理平台。
産品不管怎麼發展都是一個目的,即是否能解決每個階段企業面臨的困境,幫助企業完善資訊化發展,能夠抓住每個企業的痛點,這樣才能展現出産品的價值,一款好且穩定的産品可以幫助從業人員快速而友善的工作,大大提高工作效率,也會讓客戶滿意,增加客戶對公司的信任度。
本文由@數通暢聯原創,歡迎轉發,僅供學習交流使用,引用請注明出處!謝謝~