1. 基本功能梗概
(1). 支持单点登录、单点登出
(2). 支持平台安全域下用户的“一点认证,全网通行”和“一点登出,整体退出”。
(3). 支持多个IDP/SP间的联合互信
(4). 支持符合Liberty Alliance的SP或IDP间的联合互信, 可根据SP的信任程度 决定是否联盟。
(5). 支持联盟信息的管理
(6). 支持IDP联盟信息的管理或配置功能。
(7). 不影响正常的业务逻辑与性能。
2. 支持Liberty ID-FF v1.2规范
(1). 系统提供一个完整的联合互信平台以支持最新的Liberty Alliance联合互信标准 Liberty ID-FF 1.2规范;
(2). 支持Liberty规范中的所有功能,包括单点登录、整体退出、账号联盟和解盟、 注册名重新注册(Account Linking)、联合互信等功能;
(3). 系统本身提供了一个完整的Liberty Alliance联合互信平台,以部署在各个需要 通过联合互信标准集成的SP方,以加快IDP和各SP的集成;
(4). 提供扩展的站点转送功能,为客户提供更符合实际应用的功能;
(5). 一个IDP服务器可以同时支持一个或多个SP服务器;
(6). 一个SP服务器可以同时支持一个或多个IDP服务器;
(7). 系统提供标准的Java的认证、单点登录和Liberty Alliance联合互信的SDK以 支持方便和灵活的应用集成;
3. 支持多种、多级别认证方式
(1). 支持多种认证方式,已经支持的就包括LDAP认证、JDBC认证、SecurID认证 等;
(2). 系统具有标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持 第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证;
(3). 支持分布式认证的部署方式:即将认证界面部署在任何一个Web应用服务器上, 而实现多种认证支持的统一认证服务器部署在内网中,以保证认证的安全性和扩展性;
(4). 系统本身支持session的互信机制;
(5). 系统支持多级别认证方式:用户名/密码认证、
(6). 支持多种应用场景的认证请求
(7). 门户认证:支持接收自服务门户的认证(个人用户门户、合作单位门户、运营商门户) 请求; (8). 支付认证:支持支付流程中需要用到的支付安全认证请求;
(9). 业务认证:支持业务流程中需要用到的用户身份认证请求;
(10). 单点登录认证:支持单点登录的认证请求;
(11). 支持认证方式的生命周期管理;
(12). 支持认证方式的注册、修改、删除;
(13). 支持认证方式状态的变更(开通、暂停、恢复、注销);
(14). 支持认证方式相关参数的配置;
(15). 支持认证等级的配置。
4. 认证的安全控制
主要保障身份认证的安全,基本要求如下:
(1). 平台用户身份认证安全控制 凡是输入用户名/密码的页面均由平台提供; 凡是输入用户名/密码的地方均采用HTTPS的方式进行通信;
(2). 第三方系统用户身份认证安全控制 对于第三方系统身份识别主要依赖于第三方系统,身份识别流程应综合考虑用户体验和流程安全性,所有传送过程中都对信息进行加密操作。
(3). 其它认证安全手段控制 服务器与服务器之间都采用数字证书认证,保障通讯双方的安全性,防止盗链等现象的发生。
5. 兼顾灵活性和通用性
(1). 单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器,不需要依赖 其它的应用服务器;
(2). 集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括:Apache, Microsoft IIS,Sun/Netscape Web Server;Tomcat,BEA WebLogic, IBM WebSphere, Sun Java System Application Server;等等。
(3). 单点登录支持保护型单点登录方式(即将应用通过Agent保护起来的安全方式), 也支持代理单点登录方式;
(4). 支持同域或跨域的联合互信、单点登录
6. 在一台机器上运行多个服务器
(1). 在一个单点登录服务器上同时运行IDP和SP服务器; (2). 在一个单点登录服务器上同时运行多个SP服务器;
(3). 在一个单点登录服务器上,就可以建立起一个完整的信任圈和联盟化商业网络; (4). 在学校内部运行一个单点登录服务器,可以支持所有的Web应用系统的单点登 录;
(5). 电信或ASP只需一个单点登录,就可以为所有的SP提供基于Liberty的Web 单点登录功能; (6). 强大的管理功能,可以独立管理单点登录中的每个服务器实例,包括IDP服务 器和所有的SP服务器;
7. 灵活的Web管理界面
(1). 同一个管理界面,管理所有的IDP和SP服务器;
(2). 管理界面根据服务器的角色(IDP、SP、或者同时是IDP和SP)而自动调整管 理功能; (3). 统一管理所有合作伙伴的联盟信息; (4). 提供快速建立合作和联盟关系的功能;
(5). 管理一个或多个数据源,包括关系数据库和LDAP目录的数据源,同时提供数据 源连接测试的功能,以保证配置无误;
(6). 可以为每个服务器独立配置数据源;
(7). 改动服务器配置而不需要重新启动服务器,为客户提供24x7的可用时间;
8. 全方位的证书管理
(1). 提供全方位的证书和密钥管理功能,包括签名密钥和证书、SSL服务器证书、 SSL客户端密钥和证书等;
(2). 生成新的公钥和私钥对,支持标准的算法(RSA和DSA),支持不同长度的密钥, 包括1024位、2048位、4096位等;
(3). 生成自己签发的证书,支持X.509 v3的证书格式; (4). 生成和导出证书请求信息;
(5). 最容易使用的证书导出和导入的功能,包括导入从证书机构接到的、
9. 易用的元数据交换功能
(1). 提供快速建立合作和联盟关系的功能;采用单点登录,建立联盟关系不再是复杂 的事情,只需要点击几下就可以完成的工作;
(2). 全方位的元数据导出和导入的功能,加快建立联盟关系的速度和避免无谓的错误;
(3). 元数据导出和导入的功能,一步到位,一次性把所有建立联盟关系的工作完成;
10. 强大的机群部署功能
(1). 强大的机群部署功能,管理员通过一个Web管理界面,可以管理机群中的所有 服务器节点;
(2). 所有服务器节点都是平等的,没有主从的概念,任何一台服务器节点都可以独立 运行;
(3). 所有服务器配置和SSO会话信息在机群的节点上实时同步,自动提供故障转移 (Fail Over)的功能;
(4). 可横向扩展的机群部署,支持最严格的容错(Fault Tolerance)需求;
(5). 支持基于硬件或基于软件的负载均衡器
