單點(diǎn)登錄化繁為簡(jiǎn)

  單點(diǎn)登錄優(yōu)化了上海移動(dòng)與合作伙伴的交流，促進(jìn)了業(yè)務(wù)的發(fā)展，同時(shí)還降低了上海移動(dòng)的管理成本，大大減輕了管理員的工作負(fù)擔(dān)。

         目前，上海移動(dòng)正在進(jìn)行業(yè)務(wù)流程的整合工作，其中企業(yè)應(yīng)用集成（EAI）是一個(gè)重點(diǎn)，上海移動(dòng)的目標(biāo)是實(shí)現(xiàn)從C/S結(jié)構(gòu)向B/S結(jié)構(gòu)的轉(zhuǎn)變。以上海移動(dòng)的運(yùn)維支撐系統(tǒng)（OSS）門戶為例，其中有網(wǎng)管應(yīng)用、OA應(yīng)用和電子運(yùn)維系統(tǒng)等應(yīng)用，上海移動(dòng)的戰(zhàn)略合作伙伴、分包公司通過這個(gè)門戶來訪問不同的應(yīng)用。

難題：訪問不同應(yīng)用

         一個(gè)現(xiàn)實(shí)的情況是，用戶往往在多個(gè)應(yīng)用中均擁有獨(dú)立的賬號(hào)和口令，許多情況下，為了便于記憶，用戶不得不將賬號(hào)和口令寫在紙上，這樣的做法使這些賬號(hào)和口令的安全性受到了極大影響。同時(shí)，經(jīng)常有用戶忘記口令而要求重置，這也加大了管理員的工作負(fù)擔(dān)。

         另外，管理員需要在不同的應(yīng)用中維護(hù)獨(dú)立的用戶身份和存取管理，這是很麻煩的工作。例如有新員工加入企業(yè)以后，管理員需要在每一個(gè)應(yīng)用中添加此用戶信息，根據(jù)此用戶的角色分配不同的權(quán)限；當(dāng)用戶的角色發(fā)生變化時(shí)，需要在不同的應(yīng)用中修改此用戶的權(quán)限。

         上海移動(dòng)的工程師曹瑋說：“以前，登錄不同的應(yīng)用要輸入不同的用戶名和密碼，非常煩瑣?！睘榱吮ＷC應(yīng)用中核心資產(chǎn)信息的安全，并便于合作伙伴訪問不同應(yīng)用，上海移動(dòng)決定對(duì)這些應(yīng)用的訪問進(jìn)行整合，實(shí)現(xiàn)統(tǒng)一的身份管理和安全的單點(diǎn)登錄（Single-Sign On，SSO），同時(shí)對(duì)用戶進(jìn)行高度個(gè)性化的設(shè)置。上海移動(dòng)對(duì)單點(diǎn)登錄解決方案的要求是：

         ● 必須能夠?qū)⑵髽I(yè)中所有的用戶賬號(hào)統(tǒng)一起來，一個(gè)用戶在訪問所有應(yīng)用時(shí)只使用同一個(gè)賬號(hào)，同時(shí)在一個(gè)應(yīng)用中認(rèn)證過后，再訪問其他應(yīng)用時(shí)不需要再次認(rèn)證，簡(jiǎn)化用戶的使用環(huán)境。

         ● 解決方案必須通過集中的基于策略的方法，使管理員可以很容易地維護(hù)系統(tǒng)以及對(duì)訪問權(quán)限進(jìn)行快速地更改和更新。這樣，安全管理的成本就得到了降低，企業(yè)也可以快速地對(duì)各種安全事件做出反應(yīng)。
         
         “單點(diǎn)登錄解決方案還必須能夠快速高效整合現(xiàn)有的應(yīng)用程序?！辈墁|說，“因?yàn)檫@些應(yīng)用程序開發(fā)時(shí)間較早，每個(gè)應(yīng)用都需要維護(hù)自己的一套用戶身份和權(quán)限管理系統(tǒng)，這給開發(fā)人員帶來了一大堆難題?！?BR>
         開發(fā)人員需要在所有的應(yīng)用中寫入認(rèn)證和訪問管理代碼，這加大了應(yīng)用的開發(fā)量，延長(zhǎng)了開發(fā)周期。例如需要考慮不同用戶訪問不同的內(nèi)容，還要兼容不同的認(rèn)證方式，包括：目錄口令認(rèn)證、SecurID令牌認(rèn)證、數(shù)字證書認(rèn)證等。而這些代碼往往由于開發(fā)人員的疏忽或者未經(jīng)過徹底的測(cè)試，很可能存在較大的安全隱患和漏洞。另外，當(dāng)企業(yè)的組織結(jié)構(gòu)發(fā)生重大變化或者并購(gòu)時(shí)，這些應(yīng)用由于無法滿足新的業(yè)務(wù)策略，往往需要修改程序。所以新的解決方案需要將開發(fā)人員從重復(fù)而煩瑣的開發(fā)任務(wù)中解脫出來，只要開發(fā)應(yīng)用界面和功能模塊，不用考慮復(fù)雜的認(rèn)證和存取管理，從而加快電子商務(wù)計(jì)劃的推出和更新速度。

解題：?jiǎn)吸c(diǎn)＋雙因素

在一次和RSA公司交流的過程中，上海移動(dòng)接觸到了ClearTrust解決方案。ClearTrust解決方案的設(shè)計(jì)目的就是把用戶管理與Web訪問管理結(jié)合起來，從而為用戶提供一個(gè)綜合身份管理系統(tǒng)。它使企業(yè)能夠以較低的成本進(jìn)行有效的用戶管理，同時(shí)保護(hù)對(duì)局域網(wǎng)、外聯(lián)網(wǎng)、門戶網(wǎng)站和交互基礎(chǔ)架構(gòu)內(nèi)Web應(yīng)用的訪問，利用透明的單點(diǎn)登錄訪問獲得更好的用戶體驗(yàn)。
以上海移動(dòng)為例，利用ClearTrust解決方案實(shí)現(xiàn)單點(diǎn)登錄之后，如果一個(gè)用戶具有訪問OA應(yīng)用的權(quán)限，那么在登錄門戶后，該用戶就可以通過門戶直接訪問OA應(yīng)用，而不需要再次輸入密碼。

RSA ClearTrust軟件正是上海移動(dòng)尋求的理想門戶應(yīng)用整合解決方案，于是雙方立即開展了合作。上海移動(dòng)現(xiàn)有的應(yīng)用程序有些運(yùn)行在BEA WebLogic應(yīng)用架構(gòu)上，有些則運(yùn)行在Web服務(wù)器平臺(tái)上；操作系統(tǒng)也是既有Unix環(huán)境，也有Windows環(huán)境，集成起來比較復(fù)雜，這也正是曹瑋擔(dān)心的地方。ClearTrust用實(shí)際表現(xiàn)打消了曹瑋的疑慮。ClearTrust實(shí)現(xiàn)了與復(fù)雜的多供應(yīng)商運(yùn)行環(huán)境的緊密整合，其中包括Web服務(wù)器和應(yīng)用服務(wù)器，從而提供了真正意義上統(tǒng)一的安全管理解決方案。

當(dāng)初上海移動(dòng)的系統(tǒng)集成商在開發(fā)各個(gè)應(yīng)用程序的時(shí)候已經(jīng)定義好LDAP的規(guī)劃，對(duì)用戶的存儲(chǔ)和屬性都有嚴(yán)格的要求。ClearTrust可以和現(xiàn)有的LDAP規(guī)劃兼容，這樣就徹底避免了需要另外創(chuàng)建一套用戶數(shù)據(jù)的麻煩，充分利用了現(xiàn)有的LDAP投資。

曹瑋認(rèn)為，單點(diǎn)登錄優(yōu)化了上海移動(dòng)與合作伙伴的交流，促進(jìn)了業(yè)務(wù)的發(fā)展，并提升了員工的工作效率。同樣重要的是，降低了上海移動(dòng)的管理成本，大大減輕了管理員的工作負(fù)擔(dān)。現(xiàn)在，管理員對(duì)用戶的創(chuàng)建和管理變得異常簡(jiǎn)單。通過一個(gè)統(tǒng)一的用戶管理界面，管理員修改完賬號(hào)信息后，所有的身份和權(quán)限就會(huì)自動(dòng)同步到各自應(yīng)用程序中。

除了實(shí)施單點(diǎn)登錄，上海移動(dòng)還考慮到了另外一個(gè)問題，那就是登錄門戶的用戶的密碼管理問題。曹瑋說：“靜態(tài)密碼存在著太多的漏洞，攻擊者有很多手段獲得靜態(tài)密碼，離職員工所掌握的密碼也可能帶來隱患。如果不能很好地管理密碼，可能會(huì)有大量的非法登錄，這樣不但不能起到信息傳遞的作用，相反，可能造成一些商業(yè)信息的泄露。所以，一定要有措施來保證登錄者的身份?！?/FONT>

恰好，RSA能夠提供雙因素認(rèn)證解決方案，從而幫助上海移動(dòng)解決了后顧之憂。RSA SecurID 雙因素認(rèn)證技術(shù)是基于你所知道的東西（密碼），以及你所擁有的東西（例如硬件令牌）建立的。RSA SecurID硬件令牌提供比靜態(tài)密碼和重復(fù)使用密碼更強(qiáng)的安全和保護(hù)，它是一個(gè)比較小的設(shè)備，能夠很容易地串在鑰匙環(huán)上，并且每60秒就能產(chǎn)生一個(gè)新的和獨(dú)特的一次性動(dòng)態(tài)密碼，用戶可以把動(dòng)態(tài)密碼和他們的個(gè)人識(shí)別碼一起輸入。由于動(dòng)態(tài)密碼每隔一分鐘就會(huì)更新，因此黑客沒有足夠的時(shí)間來進(jìn)行破解。

動(dòng)態(tài)密碼系統(tǒng)由用戶端的密碼令牌和應(yīng)用系統(tǒng)端的認(rèn)證服務(wù)器軟件組成。認(rèn)證服務(wù)器軟件是一個(gè)企業(yè)級(jí)認(rèn)證軟件解決方案，可以支持幾百萬個(gè)用戶和幾百個(gè)同時(shí)在線的用戶。認(rèn)證服務(wù)器軟件是整個(gè)系統(tǒng)的核心部分，與應(yīng)用系統(tǒng)服務(wù)器通過局域網(wǎng)相連，對(duì)所有上網(wǎng)用戶進(jìn)行身份認(rèn)證。用戶登錄應(yīng)用系統(tǒng)時(shí)，依據(jù)安全算法，認(rèn)證系統(tǒng)會(huì)在密碼令牌的專用芯片和認(rèn)證服務(wù)器上同時(shí)生成動(dòng)態(tài)密碼，經(jīng)過比較，若雙方密碼相同，則為合法用戶，否則為非法用戶，確保其高度安全性。

上海移動(dòng)已經(jīng)向其各類合作伙伴分發(fā)了RSA SecurID硬件令牌，提供雙因素認(rèn)證服務(wù)。曹瑋說：“上海移動(dòng)的管理層非常支持采用雙因素認(rèn)證解決方案，合作伙伴們也都感到使用起來既方便又安全?！?/FONT>