校園網統一身份認證案例描述

某大學現有外網和內網應用系統兩大類。內網應用系統包括各院系、機構的二級部門應用系統，大多采用B/S模式實現，B/S模式的WWW服務器一般采用IIS和Apache實現Web訪問，還有少量Domino。外網系統可以通過互聯網直接訪問，不需要認證用戶身份。而內網系統需要身份認證才能進行訪問，內網中各個系統的用戶身份標識和口令又不統一，同一用戶訪問多個應用系統時需要輸入不同的用戶名和口令。為了解決身份認證的問題，此大學將身份認證系統作為校園網建設的重要內容之一，從而實現校外用戶訪問校園網內應用系統的身份認證功能。

統一認證需求分析—認證需求

目前校外用戶訪問校園網內的應用系統時，采用反向代理進行訪問控制?，F在，我們需要配置一套身份認證系統，當校外用戶訪問校內應用系統時，系統可以對其進行身份認證，從而取消反向代理服務器。主要需求如下：

1. 用戶標識采用統一編碼規則

校園網內的用戶（包括教師、學生）采用統一的編碼規則，實現用戶身份的唯一標識(目前校內已有相應的規范)。

2. 身份認證系統與數據中心實時聯動

學校已經建設了數據中心，因此身份認證系統中的用戶標識可以從數據中心獲得，并能與之實施聯動。

3. 校內用戶無需身份認證

校園網內的用戶訪問校園網應用系統時，因為已在網絡連接時進行了端口認證，因此，無需再次進行身份認證。

4. 校外用戶需要身份認證

校外用戶訪問校園網業務系統時需要進行身份認證，用戶通過認證后，再次訪問應用系統時，不需要二次認證。

統一認證需求分析—單點登錄需求

目前用戶在使用校園網內的多個業務系統時，必須輸入多個用戶名和口令進行多次認證，這給用戶在使用系統時帶來了很多麻煩，同時也增加了系統的維護工作量。因此現在需要有一個系統或機制實現“一次登錄，全網可用”，即實現單點登錄。主要需求如下：

1.整合所有應用系統

校園網內業務系統大多采用B/S模式，也有少量采用C/S模式，單點登錄系統需要整合所有需要登錄驗證的應用系統。

2.一次認證，多次使用

校園網用戶只需在網絡連接或初始登錄時輸入用戶名/口令進行認證，認證通過后，用戶訪問其他系統也使用同一用戶身份，無需再次認證。

3.用戶資源訪問審計

用戶登錄后對校園網內資源的所有訪問都記入日志，以便事后進行審計。 

身份認證系統的總體設計和網絡構架與實現的內容我們將會在下一節中介紹：分布式用戶認證為單點登錄護航 下篇

【編輯推薦】

1. 簡化VPN身份認證
2. 中國用戶對強身份認證最積極
3. 2009數據中心變化之IT身份認證
4. 確保網上銀行安全的多重身份認證方案
5. 網絡購物安全需警惕 身份認證誰說了算