【正文】 因此，時光軟件提供了服務(wù)倉庫功能，以提供服務(wù)的注冊、管理、權(quán)限、監(jiān)控等業(yè)務(wù)能力。 LDAP 協(xié)議是跨平臺的和標(biāo)準(zhǔn)的協(xié)議 ， 應(yīng)用程序不用關(guān)心 LDAP 目錄放在什么服務(wù)器上。因此 ， 當(dāng)從 LDAP 服務(wù)器中讀取數(shù)據(jù)時比從關(guān)系型數(shù)據(jù)庫讀取數(shù)據(jù)快一個數(shù)量。 企業(yè)級的 單點(diǎn) 登錄解決方案 時光單點(diǎn)登錄服務(wù) 支持大用戶量的并發(fā)操作，為 大規(guī)模應(yīng)用 量身定做。 時光統(tǒng)一身份認(rèn)證系統(tǒng) （ CicroCAS）提供 基于 LDAP 的用戶身份信息 同步 ，以此 提供 高性能、大并發(fā)的 統(tǒng)一身份認(rèn)證服務(wù)和單點(diǎn)登錄解決方案。統(tǒng)一 身份認(rèn)證系統(tǒng) 所有的用戶數(shù)據(jù) 通過用戶同步服務(wù)，在關(guān)系數(shù)據(jù)庫和 LDAP 服務(wù)器中被同步。同時， LDAP 能夠提供靈活強(qiáng)大的訪問管理和數(shù)據(jù)安全機(jī)制，包括動態(tài)數(shù)據(jù)同步能力，這些特性能夠讓我們基于 LDAP 構(gòu)建大規(guī)模、高可用的身份認(rèn)證服務(wù)。采用 LDAP 可以構(gòu)建復(fù)雜的分布式目錄結(jié)構(gòu) ， 能夠?qū)τ脩粽J(rèn)證信息進(jìn)行有效組織和管理 ， 并提供高效安全的目錄訪問。 與 不同， LDAP 支持 TCP/IP，這對 目前互聯(lián)網(wǎng)應(yīng)用來說 是必須的。 LDAP 目錄服務(wù) LDAP 是 一組 輕量 級 目錄訪問協(xié)議，英文全稱是 Lightweight Directory Access Protocol，一般都簡稱為 LDAP。 ? ServiceTicket 只能使用一次。 ServiceTicket 是通過 Http 傳送的， 所以在 網(wǎng)絡(luò)中的其他人可以 監(jiān)聽到 其他人的 Ticket。 因此， CAS 可以使用 SSL 的 非常重要 ， CAS 的傳輸安全性僅僅依賴與 SSL。以前即使 第三方 能夠截獲用戶在 Web 應(yīng)用 A 的密碼，它也未必能知道用戶在 Web 應(yīng)用 B 的密碼，但 SSO 讓 第三方 只需要截獲 TGC(突破了門檻 )，即能訪問所有與該用戶相關(guān)的所有應(yīng)用系統(tǒng)。 安全性 對于 CicroCAS系統(tǒng) 來說，最重要是要保護(hù)它的 TGC（ Ticket granting cookie） ，如果 TGC 不慎被 CASServer 以外的實(shí)體獲得， 第三方 能夠找到該 TGC，然后冒充 CAS 用戶訪問所有授權(quán)資源。 CasClient 負(fù)責(zé)處理對客戶端受保護(hù)資源的訪問請求，需要登錄時。 CASServer 工作流程：使用登錄時用戶提供的憑證（ Credentials）信息，包含用戶名、密碼、圖形驗(yàn)證碼、用戶名類型，在后臺數(shù)據(jù)源 (XML 文件、數(shù)據(jù)庫、 Ladp 等系統(tǒng) )檢索一條用戶帳號信息，進(jìn)行密碼比對。 時光 CicroCAS 體系結(jié)構(gòu) CicroCAS 包括兩部分： CasServer 和 CasClient。 用 戶信 息 門 戶目 錄 服 務(wù) 器S S O 單 點(diǎn) 登 陸 系 統(tǒng)應(yīng) 用 1應(yīng) 用 2統(tǒng) 一 用 戶 數(shù) 據(jù) 庫 時光 單點(diǎn)登錄系統(tǒng) CicroCAS 支持多種 Web 應(yīng)用 客戶端整合， 包括 Java、Do、 PHP、 Perl、 Apache、 Uprotal、 Ruby 等 。單點(diǎn)登錄是目前應(yīng)用 整合的解決方案重要部分 。 SSO 是在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。 目前，已經(jīng)成功進(jìn)行同步對接的系統(tǒng)有： ? 谷歌單點(diǎn)登錄服務(wù) ? H3C CAMS 網(wǎng)管計費(fèi)系統(tǒng) ? 銳捷網(wǎng)絡(luò)計費(fèi)系統(tǒng) ? 勝科 金仕達(dá)一卡通系統(tǒng) ? 新中新一卡通系統(tǒng) ? 機(jī)房上機(jī)計費(fèi)管理系統(tǒng) ? 電子郵件系統(tǒng) ? 用友致遠(yuǎn) OA 系統(tǒng) ? ?? 用戶同步服務(wù)管理模塊還提供了同步服務(wù)監(jiān)控功能，可以讓管理人員及時了解外部服務(wù)運(yùn)行狀況，保證系統(tǒng)正常穩(wěn)定運(yùn)行。 部分系統(tǒng)操作（如用戶在門戶上修改口令、開戶、凍結(jié)解凍、銷戶等）會自動下發(fā)同步指令。 系統(tǒng)通過自動或手工下發(fā)“同步指令”，自動和第三方系統(tǒng)進(jìn)行同步操作。通過用戶 同步服務(wù)管理， 可以和用戶原有 人事管理、 HR、 CRM、 OA 等 系統(tǒng)和新建 業(yè)務(wù)系統(tǒng)進(jìn)行復(fù)雜業(yè)務(wù)邏輯的用戶資料同步。硬件令牌 目前被國內(nèi)外 很多 客戶使用， 85%的 世界 500 強(qiáng)企業(yè)內(nèi)部采用硬件令牌 保障安全 。 （ 2）采用動態(tài)口令的單位無需忍受定期修改各種應(yīng)用系統(tǒng)登錄密碼的 煩惱。 “ 動態(tài)口令 ” 是根據(jù)特定算法生成不可預(yù)測的隨機(jī)數(shù)字組合，每個口令只能使用一次。 建模工具 把基本口令和同步口令 區(qū) 分開，系統(tǒng)可以向外推送明文口 令（通過加密的同步服務(wù)）的同時 ，不會因?yàn)榭诹顢U(kuò)散后由于第三方系統(tǒng)泄密導(dǎo)致的用戶基本口令泄密。用戶既可以選擇使用建模工具提供的 WEB 服務(wù)進(jìn)行身份驗(yàn)證和用戶屬性的傳遞，也可以使用 LDAP 進(jìn)行身份驗(yàn)證，還可以選擇通過 CicroCAS 服務(wù)器進(jìn)行單點(diǎn)登錄認(rèn)證。 系統(tǒng)提供了規(guī)范的用戶全生命周期審計信息和豐富的系統(tǒng)日志信息，以供后期業(yè)務(wù)審計和管理人員查詢。 系統(tǒng)能夠支持?jǐn)?shù)十萬用戶的管理能力，能夠支持?jǐn)?shù)萬用戶的并發(fā)身份認(rèn)證請求（需使用 LDAP 組件）。 建模工具 既可以使用大容量商業(yè)關(guān)系數(shù)據(jù)庫產(chǎn)品 ORACLE，也可以基于高價比的開源數(shù)據(jù)庫產(chǎn)品 MySQL。 建模工具既提供 C/S 架構(gòu)的功能強(qiáng)大、易于使用的客戶端程序，同時也提供便于分級管理維護(hù)，便于隨時隨地使用的基于 WEB 的程序。 組織機(jī)構(gòu)建模工具 組織機(jī)構(gòu)建模工具是時光身份和管理訪問套件的重要組成部分， 負(fù)責(zé) 人員的組織機(jī)構(gòu)、外部業(yè)務(wù)組織、應(yīng)用角色、人員類型、崗位等信息的管理維護(hù)。 支持 用戶自定義 頁面功能， 不同類型用 戶可以 使用不同的默認(rèn)模板；用戶允許在頁面上自行定義有權(quán)限的 各種 門戶 小 應(yīng)用，自主選擇頁面風(fēng)格、自由選擇組合 portlet、 并能夠在 頁面窗口 上 拖拽 。 時光門戶 系統(tǒng)可以 基于人員類別、部門歸屬、 外部組織 歸屬、應(yīng)用角色 、崗位 等屬性的組合進(jìn)行門戶應(yīng)用權(quán)限的劃分， 支持復(fù)雜用戶權(quán)限類型的描述，可以支持各種業(yè)務(wù)需求 。如Portlets（遵循 JSR16 JSR170 規(guī)范）、 Web Service、 SOAP(簡單對象訪問協(xié)議 )、 SOA（面向服務(wù)架構(gòu)）、 CAS(Central Authentication Service)、 XML（可擴(kuò)展標(biāo)記語言）、 LADP（輕量級目錄訪問協(xié)議）等；提供開放的、企業(yè)級的應(yīng)用編程接口和管理工具，具有高度 的開放性、互聯(lián)性、可擴(kuò)充性及可移植性，部署簡便快捷。 時光門戶系統(tǒng)提供 了很 多通用的信息模塊，如日歷、天氣預(yù)報、搜索、在線翻譯等模塊，還 提供了用戶自定義 和應(yīng)用快速 開發(fā)功能，以供用戶開發(fā)基于 Ja