云南移動網(wǎng)絡(luò)運(yùn)營平臺之單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著中國移動通信有限公司業(yè)務(wù)系統(tǒng)的迅速發(fā)展，業(yè)務(wù)支撐系統(tǒng)數(shù)量不斷增加，每個業(yè)務(wù)系統(tǒng)都有自己的組織結(jié)構(gòu)信息、用戶信息和權(quán)限管理系統(tǒng)，如果公司做出了重大的組織結(jié)構(gòu)調(diào)整，例如員工崗位調(diào)整所帶來的權(quán)限調(diào)整，此時，各個系統(tǒng)的管理員必須登錄到各個應(yīng)用系統(tǒng)做相應(yīng)的調(diào)整，這樣的工作是重復(fù)性的并且是非常繁瑣的；而對于用戶而言，必須記住每一個業(yè)務(wù)系統(tǒng)中的帳號和密碼，以便以正確地使用這些系統(tǒng)，而密碼又極易遺忘或泄露，這給用戶造成了很大的負(fù)擔(dān)。如何更加方便地提

2、高企業(yè)的信息共享、更安全地進(jìn)行統(tǒng)一身份管理，并保證業(yè)務(wù)系統(tǒng)的安全性，是企業(yè)信息化建設(shè)所必須考慮的問題。
　　針對上述問題，本文參照中國移動公司提出的4A技術(shù)規(guī)范，以單點(diǎn)登錄為核心，提出了統(tǒng)一身份管理和訪問控制平臺的思想。以單點(diǎn)登錄為核心的統(tǒng)一身份管理和訪問控制平臺通過統(tǒng)一認(rèn)證和授權(quán)實(shí)現(xiàn)單點(diǎn)登錄功能，為用戶使用多個業(yè)務(wù)支撐系統(tǒng)提供便利，減少了用戶由于應(yīng)用系統(tǒng)和帳戶過多帶來的問題。同時，通過權(quán)限管理的集中化，實(shí)現(xiàn)了統(tǒng)一的訪問控制，使管

3、理員可以在一點(diǎn)上對全局的資源進(jìn)行管理，不僅減輕了維護(hù)多個應(yīng)用系統(tǒng)的工作量，也為系統(tǒng)的安全性提供了進(jìn)一步的保障。
　　在研究了包括SAML安全斷言標(biāo)記語言、LDAP輕量級目錄訪問協(xié)議、RBAC基于角色的訪問控制等相關(guān)技術(shù)的基礎(chǔ)上，結(jié)合當(dāng)前先進(jìn)的身份管理解決方案，提出了一種基于SAML的單點(diǎn)登錄系統(tǒng)總體架構(gòu)。
　　本文對基于SAML的身份管理系統(tǒng)中統(tǒng)一身份認(rèn)證授權(quán)、統(tǒng)一權(quán)限管理、審計(jì)管理等各主要功能模塊進(jìn)行了詳細(xì)的功能分析與設(shè)計(jì)