User/Privilege manager
用户中心
firewall
人事
教务
管理信息系统
统一身份认证服务
为什么提供统一认证服务
使用角度 安全角度
J2EE中的用户验证
表单式认证（form-based） 基于 servlet 结构（servlet-based） filter 结构
用户认证服务提供方式
Gatekeeper
拦截检查用户请求，检查用户是否在应用系 统中已经创建好login session。如果没有， 则将用户转向到认证服务的登录页面。
认证服务提供者
接受用户输入的用户名/密码（证书），验 证其合法性并且作出响应。
认证服务的实现
用户
LoginFilter
认证服务
用户管理中心
应用
请求
认证
不灵活
应用
登录 名
登录 名
登录 名
功能
数据
用户
功能
数据
应用
功能
数据
登录 名
应用
登录 名
功能
功能
对象
登录 名
用户
登录 名
应用
功能
对象
用户管理发展过程（续）
改进
采用数据库表记录每个系统用户的帐号信息、功能 权限和数据权限信息 解决
增加了用户管理和权限设置的灵活性 避免多个用户共用一个帐号的情况
进一步改进
查询
用户profile
Filter Web service
身份确认
转发请求
创建login session
响应
请求
转发请求
用户profile
基本信息（用户id，姓名，单位） 可访问资源1 访问信息（访问协议、端口号） 扮演角色及其作用域 [ 角色名1 数据库连接信息（DBMS,ServerName,DBName,LoginName,Password）； 作用域 [ 访问域1（策略1：约束名 约束条件 约束值； 策略2：约束名 约束条件 约束值； …… ） 权限（只读、写、审计…… ) 访问域2（策略1：约束名 约束条件 约束值； 策略2：约束名 约束条件 约束值； …… ） 权限（只读、写、审计…… ) …… ] 角色名2 数据库连接信息（DBMS,ServerName,DBName,LoginName,Password）； 作用域 [……] …… ] 可访问资源2 ……
北京大学信息平台下的 统一用户管理和身份认证
2003年10月10日
前言-北京大学信息平台
应用集成、数据集成 建立一个合理、开放和基于标准的 内部网应用平台，统一用户管理、 统一资源管理、统一访问控制、管 理员对整个网络可以实现单点管理、 用户可以实现一次登录、全网通行。 各种应用系统以统一的接口插入信 息平台。
普通公众
体系结构
Request certificate Request certificate Deliver certificate Registration Manager
y rif Ve
Issue certificate Data Recovery Certificate manager Manager
使用一个公共帐号建立数据源连接，此帐号加密存 储在客户端的配置文件中 解决：避免帐号直接连接数据源 带来的问题：代码或配置文件需要随用户和密码的 变化经常维护
当前问题
使用不方便 管理任务繁重，不灵活 用户权限的一致性难以保证 重复开发，代码维护量大 不利于跨系统的集成整合
设计目标
从用户角度
登录所有应用系统都使用唯一的用户名和口令（数 字证书）。 访问多个系统时，只需要登录一次。
应用级、基于角色
角色 应用 功能 数据
用户 应用
功能
数据
功能 角色 应用 功能 对象 功能 数据
角色
应用
功能
对象
用户
角色分级
人事 财务 教务 房产 设备 信 息 办公 学校 主管领导 主管部门 人 事 处 财务处 教务处 研究生院 成人教育 设备处 校办
单位主管 业务人员 人 事 干事 会计 教务员 宿 舍 家 属 公 房 保管员 信 息 员 办 公 室 主 任 收 发 员
谢谢大家！
北京大学信息平台
用户管理
认证服务， 目录服务
数据交换
复制服务 消息
应用集成
北京大学信息平台下的 统一用户管理和身份认证
目录
应用背景 发展过程和当前问题 设计目标和设计思想 体系结构 统一身份认证服务
应用背景
北京大学的高校网络环境下的管理信息系统
教务、财务、人事、科研…… 15个 覆盖学校管理工作的80%
从管理者角度
提供统一、集中、有效的用户管理。 尽可能利用现有系统的身份认证模块以及现有的用 户设置和权限设置，减少重新进行用户设置和权限 设置的费用，避免对现有系统进行大规模的修改。 应当具备灵活和方便的使用模式。
设计思想
统一用户管理 基于分级角色的权限管理 应用级的安全管理 统一证书管理 统一资源管理
单点登录服务
用户
单点登录服务
认证服务
应用
登录
身份认证
身份确认
创 建 全 局 login session
认证令牌
访问
认证
检查认证令牌
兼顾已有应用系统
帐号关联
记录已有应用系统的用户帐号与用户中心的 用户帐号的对应关系。 用户在进行统一身份认证服务之后，自动使 用相应的应用系统帐号来访问应用系统。
北大校园网统一用户管理中心
th e
Cu
nt ic
at io
n
Revoke certificate
au
Publish certificate/CRL
st om
LDAP
Message exchange 目录服务器
LDAP
Replic tion
J2EE应用
LDAP 中央数据库 中央数据库 中央数据库
支持Web Service技术 框架
校内信息服务系统
为全校教职员工、学生提供信息服务 用户数量迅猛增长
各系统有其自身的用户管理和认证方式
用户要面对不同的登录界面，记忆不同的帐户信息 系统管理员不得不维护多个系统中的用户信息
用户管理发展过程
特点
固定帐号 帐号可直用户共用同一个帐号 帐号可绕过应用直接连接数据源