【正文】 能包括：支持多種認證方式，包括用戶名/口令、數(shù)字證書、Windows域認證和通行碼，并且為其他認證技術留有接口；支持多種認證協(xié)議，包括支持數(shù)字證書認證的SSL協(xié)議， Windows域認證，SAML協(xié)議等；支持單點登錄支持會話管理管理用戶的認證憑證信息，如數(shù)字證書等；制定身份認證的安全策略，如定義認證模式和安全等級等；認證系統(tǒng)模塊管理，如對應用認證網(wǎng)關的管理等。 單點登錄單點登錄是集中認證管理的主要功能，本部分從功能實現(xiàn)原理，系統(tǒng)硬件配置，單點登錄實現(xiàn)流程等方面進行說明。 單點登錄技術軟件應用插件式網(wǎng)關（WEB攔截器技術）Web攔截器（Intercepting Web Agent）是一種基于過濾技術（Filter）的應用防火墻。使用Web攔截器在請求到達之前來攔截請求，并在應用外部提供認證和授權。例如，對于沒有或有很少安全措施的應用，必須提供合適的認證和授權。因此，可使用攔截Web代理提供適當?shù)谋Ｗo，而不是修改代碼或重寫Web層。Web攔截器可以安裝在Web服務器中，通過在Web服務器上攔截入站請求和執(zhí)行訪問控制策略，來對入站請求進行認證和授權。對于本身不能實現(xiàn)安全或難以修改的應用，通過將安全與應用分離，提供一種理想的安全保護方法，它還可以集中管理與安全相關的組件。安全策略及其實現(xiàn)細節(jié)是在應用外部實施的，因此可以修改，而不會影響應用。攔截Web代理將安全邏輯與應用邏輯分開，從而提高了可維護性。通常，攔截Web代理的實現(xiàn)制要求配置，而無需修改代碼。另外，通過將與安全相關的處理轉移到應用之外（即服務器上），攔截Web代理還提高了應用的性能。在Web服務器上，沒有通過認證和授權的請求將被拒絕，因此不會占用應用的額外周期。硬件應用網(wǎng)關(安全代理服務)使用安全服務代理（Secure Service Proxy）在應用外提供認證和驗證，這是通過攔截安全檢查請求，然后將其委派給合適的服務實現(xiàn)的。硬件網(wǎng)關系統(tǒng)邏輯架構如下圖所示。 應用網(wǎng)關功能邏輯圖安全服務代理攔截來自客戶端的所有請求，確定請求服務，然后執(zhí)行服務要求的安全策略，并將請求從入站協(xié)議轉換為目標服務要求的協(xié)議，最后將請求轉發(fā)給目標服務。在返回路徑上，安全服務代理將結果從服務使用的協(xié)議和格式轉換為客戶要求的協(xié)議和格式。它也可以保留客戶會話中首次請求創(chuàng)建的安全上下文，供以后的請求使用?？稍谄髽I(yè)外圍配置安全服務代理提供認證、授權和其他安全服務，為遺留的或缺少安全機制的輕量級企業(yè)服務實施安全策略。安全服務代理模式與Web攔截器模式類似，但安全服務代理模式更高級，因為它不要求使用基于HTTP的URL訪問控制，也不要求使用任何傳輸協(xié)議將服務請求交給任何服務。它可以在已實現(xiàn)和已部署的應用外執(zhí)行額外安全邏輯，也可以與沒有實現(xiàn)安全的新應用集成。硬件應用網(wǎng)關代理工作原理瀏覽器發(fā)起請求包數(shù)據(jù)采集模塊截獲請求包并轉發(fā)給數(shù)據(jù)解析模塊數(shù)據(jù)解析模塊解析數(shù)據(jù)包將解析后的數(shù)據(jù)包交由數(shù)據(jù)處理模塊處理處理過的數(shù)據(jù)轉發(fā)給web appWeb app返回的數(shù)據(jù)，經(jīng)過數(shù)據(jù)處理模塊，返回瀏覽器應用網(wǎng)關負載均衡工作原理加入到網(wǎng)關集群中的所有硬件網(wǎng)關按照指定優(yōu)先級策略進行主/從協(xié)商，確定1個硬件網(wǎng)關為主設備，其他為從設備。主設備兼有交換機的功能，所有來自客戶瀏覽器的請求包首先到達主設備（不會直接到達從設備），主設備根據(jù)負載均衡策略分發(fā)請求包（可能分發(fā)給自己，也可能分發(fā)給從設備），包分發(fā)到目標硬件網(wǎng)關后，開始后續(xù)處理，請求處理完成后經(jīng)由主設備返回給瀏覽器。 單點登錄實現(xiàn)流程基于門戶的單點登錄流程1用戶訪問統(tǒng)一登錄入口的URL地址2用戶進入統(tǒng)一認證界面3用戶選擇合適的登錄方式（支持4種登錄方式），輸入正確的登錄信息4主賬戶認證成功，產(chǎn)生主賬戶登錄成功票據(jù)5返回用戶可訪問應用列表，用戶進入可訪問應用列表頁面6用戶選擇點擊要進入的應用鏈接7產(chǎn)生鑒證斷言8將瀏覽器重定向到網(wǎng)關9網(wǎng)關驗證鑒證斷言，取出用戶登錄應用所需信息10網(wǎng)關將用戶登錄信息注入到應用帳戶登錄請求中，將請求發(fā)送給應用11應用帳戶登錄成功，則轉到17步，否則繼續(xù)12用戶進入應用登錄界面13用戶輸入正確的應用登錄所需的帳戶信息14應用驗證登錄信息15登錄驗證失敗，則轉12步16網(wǎng)關將正確的帳戶登錄信息發(fā)送到服務器上，更新從賬戶信息17用戶正常訪問應用18基于應用的單點登錄流程1用戶訪問某應用URL地址，并輸入認證信息后，轉下一步2應用網(wǎng)關判斷用戶是否已登錄到應用3用戶未登錄應用，則應用網(wǎng)關將瀏覽器內(nèi)的地址重定向到身份認證模塊，進行用戶身份驗證和審核, 并轉入下一步4身份認證模塊判斷用戶是否已通過身份鑒別，如果用戶已經(jīng)通過身份認證，則轉7步5如果用戶未進行身份驗證，則返回統(tǒng)一認證頁面6用戶重新選擇合適的登錄方式，輸入正確的登錄信息7主賬戶認證成功，由產(chǎn)生主賬戶登錄成功票據(jù)和鑒證斷言8將瀏覽器地址重定向到應用網(wǎng)關地址9應用網(wǎng)關驗證鑒證斷言，取出用戶登錄應用所需信息10應用網(wǎng)關將用戶登錄信息注入到應用帳戶登錄請求中，將請求發(fā)送給應用11應用驗證登錄信息12應用帳戶登錄成功，則轉到17，否則轉應用系統(tǒng)登錄入口13用戶進入應用系統(tǒng)登錄頁面，輸入正確的應用登錄所需的帳戶信息14應用驗證登錄信息，驗證失敗轉1315應用網(wǎng)關獲知用戶登錄應用成功，16應用網(wǎng)關將正確的帳戶登錄信息發(fā)送到服務器上，更新從賬戶信息17用戶正常訪問應用系統(tǒng) 集中審計管理集中審計系統(tǒng)提供全方位的用戶管理、證書管理、認證管理和授權管理的審計信息，支持應用系統(tǒng)、用戶登錄、管理操作等審計管理。其中具體的審計功能和內(nèi)容主要包括以下部分：對賬號分配情況的審計。包括主賬號與自然人的對應關系，主賬號與從賬號的對應關系，主賬號的創(chuàng)建時間、創(chuàng)建人，從賬號的創(chuàng)建時間、創(chuàng)建人，將從賬號分配給從賬號的分配時間、分配者，主、從賬號的有限期、密碼更改規(guī)則等。對賬號授權的審計。包括查詢主、從賬號的訪問權限，查詢資源的授權訪問者，權限的分配時間、分配者等。對登錄過程的審計。包括什么人用什么賬號在什么時間登錄了什么系統(tǒng)。對身份認證的審計。包括成功的身份認證統(tǒng)計，失敗的身份認證統(tǒng)計等。5)對登錄后用戶行為的審計。如果集中授權模塊能夠達到實體內(nèi)部資源級，或者應用經(jīng)過改造后能夠向集中審計模塊提供日志記錄，或者集中審計模塊能夠讀取應用的日志記錄，則4A框架下的集中安全審計模塊還可以對登錄后的用戶行為進行審計，包括用戶訪問了哪些資源、對資源進行了什么操作等，在此基礎上可以實現(xiàn)對誤操作過程的追溯。