论文摘要
随着中国移动通信有限公司业务系统的迅速发展,业务支撑系统数量不断增加,每个业务系统都有自己的组织结构信息、用户信息和权限管理系统,如果公司做出了重大的组织结构调整,例如员工岗位调整所带来的权限调整,此时,各个系统的管理员必须登录到各个应用系统做相应的调整,这样的工作是重复性的并且是非常繁琐的;而对于用户而言,必须记住每一个业务系统中的帐号和密码,以便以正确地使用这些系统,而密码又极易遗忘或泄露,这给用户造成了很大的负担。如何更加方便地提高企业的信息共享、更安全地进行统一身份管理,并保证业务系统的安全性,是企业信息化建设所必须考虑的问题。针对上述问题,本文参照中国移动公司提出的4A技术规范,以单点登录为核心,提出了统一身份管理和访问控制平台的思想。以单点登录为核心的统一身份管理和访问控制平台通过统一认证和授权实现单点登录功能,为用户使用多个业务支撑系统提供便利,减少了用户由于应用系统和帐户过多带来的问题。同时,通过权限管理的集中化,实现了统一的访问控制,使管理员可以在一点上对全局的资源进行管理,不仅减轻了维护多个应用系统的工作量,也为系统的安全性提供了进一步的保障。在研究了包括SAML安全断言标记语言、LDAP轻量级目录访问协议、RBAC基于角色的访问控制等相关技术的基础上,结合当前先进的身份管理解决方案,提出了一种基于SAML的单点登录系统总体架构。本文对基于SAML的身份管理系统中统一身份认证授权、统一权限管理、审计管理等各主要功能模块进行了详细的功能分析与设计,并实现了应用系统。该系统功能模块相互独立,具有很好的可扩展性和移植性。基于SAML的身份管理系统可为其他具有多个应用系统的平台整合身份管理方面提供可借鉴的解决方案。