單點登錄化繁為簡

  單點登錄優(yōu)化了上海移動與合作伙伴的交流，促進了業(yè)務的發(fā)展，同時還降低了上海移動的管理成本，大大減輕了管理員的工作負擔。

         目前，上海移動正在進行業(yè)務流程的整合工作，其中企業(yè)應用集成（EAI）是一個重點，上海移動的目標是實現(xiàn)從C/S結構向B/S結構的轉變。以上海移動的運維支撐系統(tǒng)（OSS）門戶為例，其中有網管應用、OA應用和電子運維系統(tǒng)等應用，上海移動的戰(zhàn)略合作伙伴、分包公司通過這個門戶來訪問不同的應用。

難題：訪問不同應用

         一個現(xiàn)實的情況是，用戶往往在多個應用中均擁有獨立的賬號和口令，許多情況下，為了便于記憶，用戶不得不將賬號和口令寫在紙上，這樣的做法使這些賬號和口令的安全性受到了極大影響。同時，經常有用戶忘記口令而要求重置，這也加大了管理員的工作負擔。

         另外，管理員需要在不同的應用中維護獨立的用戶身份和存取管理，這是很麻煩的工作。例如有新員工加入企業(yè)以后，管理員需要在每一個應用中添加此用戶信息，根據(jù)此用戶的角色分配不同的權限；當用戶的角色發(fā)生變化時，需要在不同的應用中修改此用戶的權限。

         上海移動的工程師曹瑋說：“以前，登錄不同的應用要輸入不同的用戶名和密碼，非常煩瑣。”為了保證應用中核心資產信息的安全，并便于合作伙伴訪問不同應用，上海移動決定對這些應用的訪問進行整合，實現(xiàn)統(tǒng)一的身份管理和安全的單點登錄（Single-Sign On，SSO），同時對用戶進行高度個性化的設置。上海移動對單點登錄解決方案的要求是：

         ● 必須能夠將企業(yè)中所有的用戶賬號統(tǒng)一起來，一個用戶在訪問所有應用時只使用同一個賬號，同時在一個應用中認證過后，再訪問其他應用時不需要再次認證，簡化用戶的使用環(huán)境。

         ● 解決方案必須通過集中的基于策略的方法，使管理員可以很容易地維護系統(tǒng)以及對訪問權限進行快速地更改和更新。這樣，安全管理的成本就得到了降低，企業(yè)也可以快速地對各種安全事件做出反應。
         
         “單點登錄解決方案還必須能夠快速高效整合現(xiàn)有的應用程序?！辈墁|說，“因為這些應用程序開發(fā)時間較早，每個應用都需要維護自己的一套用戶身份和權限管理系統(tǒng)，這給開發(fā)人員帶來了一大堆難題?！?BR>
         開發(fā)人員需要在所有的應用中寫入認證和訪問管理代碼，這加大了應用的開發(fā)量，延長了開發(fā)周期。例如需要考慮不同用戶訪問不同的內容，還要兼容不同的認證方式，包括：目錄口令認證、SecurID令牌認證、數(shù)字證書認證等。而這些代碼往往由于開發(fā)人員的疏忽或者未經過徹底的測試，很可能存在較大的安全隱患和漏洞。另外，當企業(yè)的組織結構發(fā)生重大變化或者并購時，這些應用由于無法滿足新的業(yè)務策略，往往需要修改程序。所以新的解決方案需要將開發(fā)人員從重復而煩瑣的開發(fā)任務中解脫出來，只要開發(fā)應用界面和功能模塊，不用考慮復雜的認證和存取管理，從而加快電子商務計劃的推出和更新速度。

解題：單點＋雙因素

在一次和RSA公司交流的過程中，上海移動接觸到了ClearTrust解決方案。ClearTrust解決方案的設計目的就是把用戶管理與Web訪問管理結合起來，從而為用戶提供一個綜合身份管理系統(tǒng)。它使企業(yè)能夠以較低的成本進行有效的用戶管理，同時保護對局域網、外聯(lián)網、門戶網站和交互基礎架構內Web應用的訪問，利用透明的單點登錄訪問獲得更好的用戶體驗。
以上海移動為例，利用ClearTrust解決方案實現(xiàn)單點登錄之后，如果一個用戶具有訪問OA應用的權限，那么在登錄門戶后，該用戶就可以通過門戶直接訪問OA應用，而不需要再次輸入密碼。

RSA ClearTrust軟件正是上海移動尋求的理想門戶應用整合解決方案，于是雙方立即開展了合作。上海移動現(xiàn)有的應用程序有些運行在BEA WebLogic應用架構上，有些則運行在Web服務器平臺上；操作系統(tǒng)也是既有Unix環(huán)境，也有Windows環(huán)境，集成起來比較復雜，這也正是曹瑋擔心的地方。ClearTrust用實際表現(xiàn)打消了曹瑋的疑慮。ClearTrust實現(xiàn)了與復雜的多供應商運行環(huán)境的緊密整合，其中包括Web服務器和應用服務器，從而提供了真正意義上統(tǒng)一的安全管理解決方案。

當初上海移動的系統(tǒng)集成商在開發(fā)各個應用程序的時候已經定義好LDAP的規(guī)劃，對用戶的存儲和屬性都有嚴格的要求。ClearTrust可以和現(xiàn)有的LDAP規(guī)劃兼容，這樣就徹底避免了需要另外創(chuàng)建一套用戶數(shù)據(jù)的麻煩，充分利用了現(xiàn)有的LDAP投資。

曹瑋認為，單點登錄優(yōu)化了上海移動與合作伙伴的交流，促進了業(yè)務的發(fā)展，并提升了員工的工作效率。同樣重要的是，降低了上海移動的管理成本，大大減輕了管理員的工作負擔?，F(xiàn)在，管理員對用戶的創(chuàng)建和管理變得異常簡單。通過一個統(tǒng)一的用戶管理界面，管理員修改完賬號信息后，所有的身份和權限就會自動同步到各自應用程序中。

除了實施單點登錄，上海移動還考慮到了另外一個問題，那就是登錄門戶的用戶的密碼管理問題。曹瑋說：“靜態(tài)密碼存在著太多的漏洞，攻擊者有很多手段獲得靜態(tài)密碼，離職員工所掌握的密碼也可能帶來隱患。如果不能很好地管理密碼，可能會有大量的非法登錄，這樣不但不能起到信息傳遞的作用，相反，可能造成一些商業(yè)信息的泄露。所以，一定要有措施來保證登錄者的身份?！?/FONT>

恰好，RSA能夠提供雙因素認證解決方案，從而幫助上海移動解決了后顧之憂。RSA SecurID 雙因素認證技術是基于你所知道的東西（密碼），以及你所擁有的東西（例如硬件令牌）建立的。RSA SecurID硬件令牌提供比靜態(tài)密碼和重復使用密碼更強的安全和保護，它是一個比較小的設備，能夠很容易地串在鑰匙環(huán)上，并且每60秒就能產生一個新的和獨特的一次性動態(tài)密碼，用戶可以把動態(tài)密碼和他們的個人識別碼一起輸入。由于動態(tài)密碼每隔一分鐘就會更新，因此黑客沒有足夠的時間來進行破解。

動態(tài)密碼系統(tǒng)由用戶端的密碼令牌和應用系統(tǒng)端的認證服務器軟件組成。認證服務器軟件是一個企業(yè)級認證軟件解決方案，可以支持幾百萬個用戶和幾百個同時在線的用戶。認證服務器軟件是整個系統(tǒng)的核心部分，與應用系統(tǒng)服務器通過局域網相連，對所有上網用戶進行身份認證。用戶登錄應用系統(tǒng)時，依據(jù)安全算法，認證系統(tǒng)會在密碼令牌的專用芯片和認證服務器上同時生成動態(tài)密碼，經過比較，若雙方密碼相同，則為合法用戶，否則為非法用戶，確保其高度安全性。

上海移動已經向其各類合作伙伴分發(fā)了RSA SecurID硬件令牌，提供雙因素認證服務。曹瑋說：“上海移動的管理層非常支持采用雙因素認證解決方案，合作伙伴們也都感到使用起來既方便又安全?！?/FONT>