Accessmanager

1,028 views
898 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,028
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Accessmanager

    1. 1. Sun Microsystems, Inc. Sun Access Manager 介绍 蒋健
    2. 2. 议程 <ul><li>访问管理基础 </li></ul><ul><ul><li>典型需求 </li></ul></ul><ul><ul><li>Sun 访问管理策略 </li></ul></ul><ul><li>Access Manager 架构 </li></ul><ul><li>Access Manager 关键特性 </li></ul>
    3. 3. 访问管理 关键且具有挑战 ! 员工 客户 合作伙伴 行业组织 人事 财务 基本业务 <ul><li>如何管理多个用户身份? </li></ul><ul><li>如何指定用户对指定资源的访问 ? </li></ul><ul><li>如何应对大量用户角色转变 ? </li></ul><ul><li>如何高效发布新的服务? </li></ul><ul><li>如何整合企业间的应用? </li></ul>网上业务
    4. 4. 典型需求 <ul><li>认证 (Authentication) </li></ul><ul><li>授权 (Authorization) </li></ul><ul><li>单点登录 (Single Sign-On) </li></ul><ul><li>联合 (Federation) </li></ul>
    5. 5. Sun 访问管理策略 <ul><li>集中化管理 </li></ul><ul><li>高可定制性和可扩展性 </li></ul><ul><li>构建于开放标准 </li></ul><ul><li>对业界产品的广泛支持 </li></ul>
    6. 6. Access Manager 功能概览 <ul><li>单点登录 (SSO) 服务 </li></ul><ul><li>集中的认证授权以及日志审计 </li></ul><ul><li>基于目录服务的用户组织和策略管理 </li></ul><ul><li>联合 (Federation) 服务 </li></ul>Directories Databases Business Applications
    7. 7. AM 基本工作流程 <ul><li>解析对资源的访问请求 </li></ul><ul><li>验证用户 </li></ul><ul><li>创建令牌 (token) </li></ul><ul><li>重复 </li></ul><ul><ul><li>解析对资源的访问请求 </li></ul></ul><ul><ul><li>基于策略通过 令牌进行访问 授权 </li></ul></ul><ul><li>直到退出会话 (session) </li></ul>
    8. 8. 议程 <ul><li>访问管理基础 </li></ul><ul><li>Access Manager 架构 </li></ul><ul><ul><li>系统架构 </li></ul></ul><ul><ul><li>部署图 </li></ul></ul><ul><li>Access Manager 关键特性 </li></ul>
    9. 9. AM 系统架构 C Applications Java Applications Web / Application Server Java Applications Policy Agent Web / J2EE Container Custom Plugin Modules Custom Plugin Modules Plugin Modules Plugin Modules Access Manager Services Access Manager APIs Access Manager Framework SPI (Service Provider Interface) Admin CLI (XML) Provided by Sun Java System Access Manager Java APIs Java APIs HTTP(S) HTTP(S) XML/HTTP(S) XML/HTTP(S) Sun Java System Directory Server Web Browser SDK SDK SDK
    10. 10. Access Manager 部署图
    11. 11. 议程 <ul><li>访问管理基础 </li></ul><ul><li>Access Manager 架构 </li></ul><ul><li>Access Manager 关键特性 </li></ul><ul><ul><li>认证 (Authentication) </li></ul></ul><ul><ul><li>授权 (Authorization) </li></ul></ul><ul><ul><li>单点登录 (Single Sign-On) </li></ul></ul><ul><ul><li>联合 (Federation) </li></ul></ul>
    12. 12. 认证 ( Authentication) <ul><li>基于 JAAS(Java Authentication and Authorization Services) </li></ul><ul><li>可插拔的认证机制 </li></ul><ul><ul><ul><li>缺省认证模块 :LDAP, RADIUS, Certificate, SafeWord, RSA SecurID, Unix, Windows NT, Anonymous, Membership… </li></ul></ul></ul><ul><ul><ul><li>提供定制认证模块的 SPI(Service Provider Interface) </li></ul></ul></ul><ul><ul><ul><li>认证后期处理 </li></ul></ul></ul><ul><li>认证链 (Chained authentication) </li></ul><ul><ul><ul><li>不同级别的认证 : 必要 , 必需 , 充足 , 可选 </li></ul></ul></ul><ul><li>针对资源 (Resource-based) 的认证配置 </li></ul>
    13. 13. 基于策略 (policy) 的授权 <ul><li>授权就是针对资源的访问控制 </li></ul><ul><li>Policy = Rules + Subjects + Conditions </li></ul><ul><ul><li>Rules( 规则 ):URL, access method, allow/deny </li></ul></ul><ul><ul><li>Subjects( 主题 ): User/role/group... </li></ul></ul><ul><ul><li>Condition( 条件 ):IP address, day/time, session timeout … </li></ul></ul><ul><li>Policy = Rule + Referral </li></ul>
    14. 14. 策略 (Policy) 架构
    15. 15. 单点登录 (Single Sign-On) <ul><li>一次登录 , 多点访问 </li></ul><ul><li>Policy Enforcement Point(PEP)/Policy Decision Point(PDP) 模式 </li></ul><ul><li>支持 Web SSO, CDSSO 和非 Web SSO(API) </li></ul>
    16. 16. 策略代理 (Policy Agent) <ul><li>驻留在被保护资源端 </li></ul><ul><li>拦截请求 , 验证 Token </li></ul><ul><li>支持平台: </li></ul><ul><ul><li>Sun Web Server, Proxy Server, Application Server </li></ul></ul><ul><ul><li>Apache </li></ul></ul><ul><ul><li>BEA WebLogic </li></ul></ul><ul><ul><li>IBM WebSphere </li></ul></ul><ul><ul><li>Microsoft IIS </li></ul></ul>
    17. 17. SSO 令牌 (Single Sign-On Token) <ul><li>SSO 令牌由长随机串构成,不包含任何用户数据,只用来验证用户的身份 </li></ul><ul><li>发布 (issue) 方式 </li></ul><ul><ul><li>Web 应用: cookies 或 URL rewriting </li></ul></ul><ul><ul><li>非 Web 应用: SSO API (Java/C) </li></ul></ul>
    18. 18. Session 特性 <ul><li>Session 升级 </li></ul><ul><li>客户端识别 (Client detection) </li></ul><ul><li>根据不同资源配置 session </li></ul><ul><li>通过控制台管理 active session </li></ul>
    19. 19. Web SSO 流程 Agent1 Agent2 Sun Java System Access Manager 资源 1 资源 2 Browser 1. 请求资源 1 4. 验证并创建 SSO token 5. 要求重定向到资源 1 带着 SSO token 9. 请求资源 2 11. 提供资源或拒绝 6. 请求资源 1 2. Agent 检查 SSO Token 10. Agent 检查 SSO Token 以及 Policy 3. 要求登录 8. 提供资源或拒绝 7. Agent 检查 SSO Token 以及 Policy
    20. 20. 联合身份 (Identity Federation) <ul><li>面向跨域的应用集成 </li></ul><ul><li>致力于认证域‘ authentication domains ' </li></ul><ul><ul><li>创建紧密安全的客户关系 </li></ul></ul><ul><ul><li>实现高效高回报的商业模式 </li></ul></ul><ul><ul><li>服务提供商 (Service Provider) 和身份提供商 (Identity Provider) </li></ul></ul><ul><li>Access Manager 支持 SAML 1.1 和 Liberty 2.0 </li></ul>
    21. 21. SAML <ul><li>Security Assertions Markup Language </li></ul><ul><li>由 OASIS 制定的标准 </li></ul><ul><li>基于 SOAP 在受信的企业之间用来交换安全声明 XML 框架 </li></ul><ul><li>断言 (assertion) </li></ul><ul><li>辅件 (artifact) </li></ul>
    22. 22. 自由联盟 (Liberty) 项目 <ul><li>Liberty 阶段 I , II </li></ul><ul><li>制定的协议: </li></ul><ul><ul><li>Single Logout </li></ul></ul><ul><ul><li>Federation Termination </li></ul></ul><ul><ul><li>Account Federation/Single Sign On </li></ul></ul><ul><ul><li>Federation Framework (IDFF) </li></ul></ul>
    23. 23. Federation 流程 AM 1 Client AM 2 2. 请求 AM2 所管理的资源 1. 接受完成 AM1 的认证 3. 通过 SAML, 创建断言,辅件以及包含辅件的 URL 4. 要求重定向到 AM2 5. 重定向到 AM2 6. 通过辅件请求断言 8. 响应请求 7. 提供断言
    24. 24. 相关资源 <ul><li>Sun Java System Access Manager developer: http://developers.sun.com/ rodtech dentserver index.html </li></ul><ul><li>SAML: http://www.oasis-open.org/committees/security/ </li></ul><ul><li>Project Liberty: http://www.projectliberty.org/ </li></ul><ul><li>A good introduction to Project Liberty: http://research.sun.com/liberty_intro/ABItL/index.html </li></ul>

    ×