PDF《深圳竹云科技有限公司》

? e 账通+风险引擎组合部署时:风险引擎通过长期收集用户认证、登出、访问的 IP 地址等审计信息,再根据风险计算模型,在用户每次登录时,会判断本次登录是否存在风 险,风险程度等,并告知 e 账通,e 账通根据相应的风险程度,做出对应的处理,比如暂 时锁定账号、提示用户进行补充认证、仅提示风险等;

? e 账通+统一身份管理系统组合部署时:结合 IDM 系统时,e 账通的用户管理功能 将停止使用,对用户的管理转移给 IDM 系统.对应用的访问方式,跟独立部署时一样;

? e 账通+统一身份管理系统+统一认证系统组合部署时:在结合 IDM 系统的基础之 上,再结合统一认证系统时.用户对应用的访问认证将不再是由业务系统自己来处理,而 是移交给统一认证系统进行处理,由统一认证系统去控制如何在多个业务系统之间进行 SSO;

? e 账通+e 登录组合部署时:会扩展 e 登录的认证方式,e 登录可使用 e 账通提供 的扫码、人脸、声纹等方式登录 windows. 2.3 特点和优势 e 账通融合认证平台作为一个独立中间件,为Web 应用、移动应用、电脑登陆提供多 种认证方式及认证组合,从而进一步优化 IDM 中无需记忆密码、增强访问安全的目的. 主要特性如下: ? 融合认证服务,支持多种认证方式 ? 基础认证:密码、短信、OTP、二维码 ? 生物认证:人脸、声纹、指纹、手势 ? 自定义认证链路,自由组合认证方式,在e账通中,叫做安全等级 ? 针对应用(App、H

5、Web、PC)设置安全等级,从而为应用提供融合认证服务 ? 支持针对不同设备类型的会话管理,设置不同的有效期 ? 使用 Swagger 作为在线接口文档,提供外部接口的在线调试能力 ? 使用基于调用者的外部接口鉴权能力 2.4 系统架构 2.4.1整体架构 由管理模块提供融合认证所需的元数据,核心模块提供认证调度能力,辅助模块提供 额外的服务能力,并利用内存数据库缓存,需要高频操作的数据,以提高并发能力.而相 关业务数据则存储在关系型数据库中. 以上体系作为一个整体,对外提供融合认证服务. 2.4.2兼容性 ? 支持系统:Windows/Linux ? JDK:1.8 以上 ? 数据库:Mysql 5.5 以上/Oralce 11g 以上/MariaDB

10 以上 ? 后台服务部署:Websphere

9 以上/Tomcat

8 以上 ? 控制台页面:Nginx 1.8 以上 ? 缓存:Redis 3.x 以上(支持单机和集群)/MongoDB(可选组件,仅给地区计算模块 用) 2.5 主要功能介绍 模块名 描述 认证调度 处理自定义认证链中,各种认证的执行顺序、认证的处理,并协调 APP、PC 进行认证登录. 令牌注销 统一处理由 WEB、 APP 端发起的注销请求, 并根据集成情况, 注销 AM 的会话.或者由 AM 来注销 e 账通的会话. 令牌校验 判断会话是否有效,并在登陆情况下,判断当前请求是否需要做补 充认证. 企业应用管理 管理要纳入融合认证服务管理的应用信息,并指定该应用的安全级 别(自定义认证链) . 安全等级配置 自定义认证链,并将多种认证方式组合在一起,抽象为安全等级供 应用选择. 会话管理 汇总展示用户在 PC、APP 端的会话状态,并可在 e 账通控制台注销 用户的会话状态,但更多时候是交由用户自己去管理会话. 系统配置 e 账通的各种系统设置,比如 Web/APP 的会话最长有效时间,同一 用户允许同时在线的会话数量. 角色管理 e 账通控制台的功能权限管理. 审计管理 记录 e 账通控制台中发生的各种操作信息. 认证适配 控制融合认证服务当中各种认证方式的使用状态. 风险等级配置 与风险引擎组合时,提供处理认证风险的能力, . 消息模板 提供在线编辑系统内置邮件、短信内容的能力. 2.5.1认证调度 ? 自定义认证链 通过自定义认证链,动态设定应用支持的认证方式. 图1应用安全等级设置 图2根据安全等级动态展示认证方式 ? 认证增强认证 通过增强认证,增强敏感应用的访问安全,既使用密码等传统认证方式之后,还需要 使用生物认证等认证方式,来确认使用者身份. 图3进行增强认证 2.5.2企业应用管理 对企业 Web、App(H5/原生)应用的配置进行维护,配置内容包括基本信息,以及应用 安全等级. 应用信息可采取手动、数据同步的方式进行维护. 图4企业应用配置编辑界面 2.5.3安全等级管理 安全等级既自定义认证链,是将多种认证方式组合在一起,抽象为"安全等级"这个 概念,供应用选择.让不同企业可以根据自身情况,定制属于自己的安全策略. 图5企业应用配置编辑界面 2.5.4会话管理 控制台可看到所有用户的会话状态以及登陆设备,管理员可注销指定用户的会话,但 更常用的操作是用户自己管理自己在各登陆设备的会话. 图6会话详情 2.5.5系统设置 通过可视化界面,实时更改不同设备类型的会话有效期、同时在线数量、集成风险引 擎等系统配置. 图7设置 web 会话有效时间及允许同时在线数量 图5集成风险引擎开关 2.5.6角色管理 标准的基于角色的权限访问控制(Role-Based Access Control)模型,分权管理后 台服务. 2.5.7审计管理 对控制台内的关键操作进行操作行为记录,提供事后追溯能力,同时定期对审计操作 进行归档,持久化保存日志数据. 图6审计列表 图7审计归档 2.5.8APP 配套功能 主要由移动认证和个人会话管理构成: