统一用户认证

① 统一身份认证是什么对企业来说实现统一身份认证有什么好处

统一的身份认证就像一个人有了身份证件一样。它可以证明企业的体系和信誉。可以增加企业的信誉度，能够更有利于占领市场。

② 统一认证是什么

所谓身份复认证，就制是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议，需要用户出示更多的信息(如私钥)来证明自己的身份，如Kerberos身份认证系统。
身份认证一般与授权控制是相互联系的，授权控制是指一旦用户的身份通过认证以后，确定哪些资源该用户可以访问、可以进行何种方式的访问操作等问题。在一个数字化的工作体系中，应该有一个统一的身份认证系统供各应用系统使用，但授权控制可以由各应用系统自己管理。

③ 统一身份认证的统一身份认证（IDS）系统

1、IDS功能概述
统一用户管理系统(IDS),实现网上应用系统的用户、角色和组织机构统一化管理，实现各种应用系统间跨域的单点登录和单点退出和统一的身份认证功能，用户登录到一个系统后，再转入到其他应用系统时不需要再次登录，简化了用户的操作，也保证了同一用户在不同的应用系统中身份的一致性。
图： 统一身份认证示意图
如上图所示，IDS通过WebService对外发布认证服务，实现了平台的无关性，能与各种主机、各种应用系统对接。另外，IDS还提供了一套标准的接口，保证的IDS与各种应用系统之间对接的易操作性。
IDS的主要功能如下：
1)用户管理 ：实现用户与组织创建、删除、维护与同步等功能；
2)用户认证：通过SOA服务，支持第三方认证系统；
3)单点登录 ：共享多应用系统之间的用户认证信息，实现在多个应用系统间自由切换；
4)分级管理 ：实现管理功能的分散，支持对用户、组织等管理功能的分级委托；
5)权限管理: 系统提供了统一的，可以扩展的权限管理及接口，支持第三方应用系统通过接口获取用户权限。
6)会话管理： 查看、浏览与检索用户登录情况，管理员可以在线强制用户退出当前的应用登录；
7)支持Windows、Linux、Solaris等操作系统；支持Tomcat、WebLogic、WebSphere等应用服务器；支持SQL Server等数据库系统；
2、IDS的结构
统一身份认证通过统一管理不同应用体系身份存贮方式、统一认证的方式，使同一用户在所有应用系统中的身份一致，应用程序不必关心身份的认证过程。
从结构上来看，统一身份认证系统由统一身份认证管理模块、统一身份认证服务器、身份信息存贮服务器三大部分组成。
其中统一身份认证管理模块由管理工具和管理服务组成，实现用户组管理、用户管理；管理工具实现界面操作，并把操作数据递交给管理服务器，管理服务器在修改存贮服务器中的内容。
统一身份认证服务器向应用程序提供统一的Webservice认证服务。它接收应用程序传递过来的用户名和密码，验证通过后把用户的认证令牌返回给应用程序。
身份存储服务器存储身份、权限数据。其中身份存储服务器可以选择关系型数据库、LDAP目录、AD等。另外可以将CA发放的数字证书存储在身份存储服务器。
如下图所示：
3、IDS的特点
1)方便实用
实现单点登录（SSO）。用户一次登录后，就可以依靠认证令牌在不同系统之间切换。
IDS所有的管理功能都是基于页面实现的，管理员只要通过浏览器即可完成管理工作。
提出了分级管理员的概念，使管理大量用户变成了可能。
2)跨平台
IDS的实现基于SOA架构
接口采用SOAP XML标准，可跨平台与多种类型的应用系统对接
3)支持多种身份存在方式
支持通用关系型数据库
LDAP目录
Microsoft Active Directory(AD)
4)安全可靠
系统能够集成成熟的认证体系：CA，可以保证交易和企业内部活动中的身份不可抵赖，用户签名无法伪造。
系统在数据传输过程中，支持HTTPS方式的数据加密传输，阻止数据被监听、分析。
系统能够定义管理多种权限级别策略。

④ 统一身份认证的统一身份认证的流程

统一身份抄认证服务系统的一个基袭本应用模式是统一认证模式，它是以统一身份认证服务为核心的服务使用模式。用户登录统一身份认证服务后，即可使用所有支持统一身份认证服务的管理应用系统。
(1) 用户使用在统一认证服务注册的用户名和密码(也可能是其他的授权信息，比如数字签名等)登陆统一认证服务;
(2) 统一认证服务创建了一个会话，同时将与该会话关联的访问认证令牌返回给用户;
(3) 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统;
(4) 该应用系统将访问认证令牌传入统一身份认证服务，认证访问认证令牌的有效性;
(5) 统一身份认证服务确认认证令牌的有效性;
(6)应用系统接收访问，并返回访问结果，如果需要提高访问效率的话，应用系统可选择返回其自身的认证令牌已使得用户之后可以使用这个私有令牌持续访问。

⑤ 什么是统一认证

用户使用天翼宽带上网并连接WiFi网络时，通过上网卡内UIM卡的信息认证可直接访问互联网，无需输入WiFi帐号密码。了解更多服务优惠点击下方的“官方网址”客服218为你解答。

⑥ 门户中如何实现单点登录和统一身份认证

本案涉及三个概念及功能模块，即门户、单点登录和统一身份认证。
单点登录(Single Sign-On，缩写为SSO)，它是目前业务整合时使用较多的一种解决方案，通过SSO，用户只需要在某个应用系统入口登录一次，就可以访问所有与该应用系统相互信任的其它应用系统。
目前成熟的SSO实现框架有很多，开源的有JOSSO、CAS等很多，你可以选择其中之一与门户集成即可，集成方法的问题可在选型后在网络中查找，可选方案请参考《Liferay 集成 CAS 实现单点登录与应用系统集成》 http://www.ibm.com/developerworks/cn/opensource/os-cn-liferay-cas/index.html
所谓身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议，需要用户出示更多的信息(如私钥)来证明自己的身份，如Kerberos身份认证系统。
目前基于SOA架构，可跨平台与多种类型的应用系统对接的统一身份认证平台也有很多，
身份存储方式有：通用关系型数据库、LDAP目录、Microsoft Active Directory(AD)等形式，可选方案可参考《Web Service Case Study: 统一身份认证服务》
https://www.ibm.com/developerworks/cn/webservices/ws-casestudy/part4/
或《Liferay与CAS及LDAP》http://www.huqiwen.com/2013/12/18/liferay-cas-ldap/