【正文】 如果集中授權模塊能夠達到實體內部資源級，或者應用經(jīng)過改造后能夠向集中審計模塊提供日志記錄，或者集中審計模塊能夠讀取應用的日志記錄，則4A框架下的集中安全審計模塊還可以對登錄后的用戶行為進行審計，包括用戶訪問了哪些資源、對資源進行了什么操作等，在此基礎上可以實現(xiàn)對誤操作過程的追溯。包括成功的身份認證統(tǒng)計，失敗的身份認證統(tǒng)計等。包括什么人用什么賬號在什么時間登錄了什么系統(tǒng)。包括查詢主、從賬號的訪問權限，查詢資源的授權訪問者，權限的分配時間、分配者等。包括主賬號與自然人的對應關系，主賬號與從賬號的對應關系，主賬號的創(chuàng)建時間、創(chuàng)建人，從賬號的創(chuàng)建時間、創(chuàng)建人，將從賬號分配給從賬號的分配時間、分配者，主、從賬號的有限期、密碼更改規(guī)則等。 單點登錄實現(xiàn)流程基于門戶的單點登錄流程1用戶訪問統(tǒng)一登錄入口的URL地址2用戶進入統(tǒng)一認證界面3用戶選擇合適的登錄方式（支持4種登錄方式），輸入正確的登錄信息4主賬戶認證成功，產(chǎn)生主賬戶登錄成功票據(jù)5返回用戶可訪問應用列表，用戶進入可訪問應用列表頁面6用戶選擇點擊要進入的應用鏈接7產(chǎn)生鑒證斷言8將瀏覽器重定向到網(wǎng)關9網(wǎng)關驗證鑒證斷言，取出用戶登錄應用所需信息10網(wǎng)關將用戶登錄信息注入到應用帳戶登錄請求中，將請求發(fā)送給應用11應用帳戶登錄成功，則轉到17步，否則繼續(xù)12用戶進入應用登錄界面13用戶輸入正確的應用登錄所需的帳戶信息14應用驗證登錄信息15登錄驗證失敗，則轉12步16網(wǎng)關將正確的帳戶登錄信息發(fā)送到服務器上，更新從賬戶信息17用戶正常訪問應用18基于應用的單點登錄流程1用戶訪問某應用URL地址，并輸入認證信息后，轉下一步2應用網(wǎng)關判斷用戶是否已登錄到應用3用戶未登錄應用，則應用網(wǎng)關將瀏覽器內的地址重定向到身份認證模塊，進行用戶身份驗證和審核, 并轉入下一步4身份認證模塊判斷用戶是否已通過身份鑒別，如果用戶已經(jīng)通過身份認證，則轉7步5如果用戶未進行身份驗證，則返回統(tǒng)一認證頁面6用戶重新選擇合適的登錄方式，輸入正確的登錄信息7主賬戶認證成功，由產(chǎn)生主賬戶登錄成功票據(jù)和鑒證斷言8將瀏覽器地址重定向到應用網(wǎng)關地址9應用網(wǎng)關驗證鑒證斷言，取出用戶登錄應用所需信息10應用網(wǎng)關將用戶登錄信息注入到應用帳戶登錄請求中，將請求發(fā)送給應用11應用驗證登錄信息12應用帳戶登錄成功，則轉到17，否則轉應用系統(tǒng)登錄入口13用戶進入應用系統(tǒng)登錄頁面，輸入正確的應用登錄所需的帳戶信息14應用驗證登錄信息，驗證失敗轉1315應用網(wǎng)關獲知用戶登錄應用成功，16應用網(wǎng)關將正確的帳戶登錄信息發(fā)送到服務器上，更新從賬戶信息17用戶正常訪問應用系統(tǒng) 集中審計管理集中審計系統(tǒng)提供全方位的用戶管理、證書管理、認證管理和授權管理的審計信息，支持應用系統(tǒng)、用戶登錄、管理操作等審計管理。硬件應用網(wǎng)關代理工作原理瀏覽器發(fā)起請求包數(shù)據(jù)采集模塊截獲請求包并轉發(fā)給數(shù)據(jù)解析模塊數(shù)據(jù)解析模塊解析數(shù)據(jù)包將解析后的數(shù)據(jù)包交由數(shù)據(jù)處理模塊處理處理過的數(shù)據(jù)轉發(fā)給web appWeb app返回的數(shù)據(jù)，經(jīng)過數(shù)據(jù)處理模塊，返回瀏覽器應用網(wǎng)關負載均衡工作原理加入到網(wǎng)關集群中的所有硬件網(wǎng)關按照指定優(yōu)先級策略進行主/從協(xié)商，確定1個硬件網(wǎng)關為主設備，其他為從設備。安全服務代理模式與Web攔截器模式類似，但安全服務代理模式更高級，因為它不要求使用基于HTTP的URL訪問控制，也不要求使用任何傳輸協(xié)議將服務請求交給任何服務。它也可以保留客戶會話中首次請求創(chuàng)建的安全上下文，供以后的請求使用。 應用網(wǎng)關功能邏輯圖安全服務代理攔截來自客戶端的所有請求，確定請求服務，然后執(zhí)行服務要求的安全策略，并將請求從入站協(xié)議轉換為目標服務要求的協(xié)議，最后將請求轉發(fā)給目標服務。硬件應用網(wǎng)關(安全代理服務)使用安全服務代理（Secure Service Proxy）在應用外提供認證和驗證，這是通過攔截安全檢查請求，然后將其委派給合適的服務實現(xiàn)的。另外，通過將與安全相關的處理轉移到應用之外（即服務器上），攔截Web代理還提高了應用的性能。攔截Web代理將安全邏輯與應用邏輯分開，從而提高了可維護性。對于本身不能實現(xiàn)安全或難以修改的應用，通過將安全與應用分離，提供一種理想的安全保護方法，它還可以集中管理與安全相關的組件。因此，可使用攔截Web代理提供適當?shù)谋Ｗo，而不是修改代碼或重寫Web層。使用Web攔截器在請求到達之前來攔截請求，并在應用外部提供認證和授權。 單點登錄單點登錄是集中認證管理的主要功能，本部分從功能實現(xiàn)原理，系統(tǒng)硬件配置，單點登錄實現(xiàn)流程等方面進行說明。SAML向軟件開發(fā)人員展示了如何表示用戶、標識所需傳送的數(shù)據(jù)，并且定義了發(fā)送和接收權限數(shù)據(jù)的過程。今天，一大群軟件開發(fā)人員、QA技術人員和IT經(jīng)理都需要處理復雜的和不可靠的后端系統(tǒng)，這些系統(tǒng)提供了企業(yè)之間的聯(lián)合安全性。在當今競爭激烈且迅速發(fā)展的環(huán)境中，出現(xiàn)了通過瀏覽器和支持Web的應用程序為用戶提供互操作性的企業(yè)聯(lián)合。對于即將出現(xiàn)的業(yè)務工作流Web服務標準（在該標準中，安全的數(shù)據(jù)需要流經(jīng)幾個系統(tǒng)才能完成對事務的處理）而言，這很重要。然后由接收應用程序做出決定，如果它信任該斷言，則接受該用戶或數(shù)據(jù)塊。其它方法使用中央認證中心來發(fā)放證書，這些證書保證了網(wǎng)絡中從一點到另一點的安全通信。OASIS小組開發(fā)SAML的目的是作為一種基于XML的框架，用于交換安全性信息。由于來自25家公司的55名專家參與了該規(guī)范的制定。獲準之后，用戶就會為所要登錄的計算機申請一個會話票據(jù)，最后還需申請允許進入那臺計算機的本地系統(tǒng)服務。如果域控制器是Windows NT ，那么使用的是NTLM驗證協(xié)議，其驗證過程和“登錄到本機的過程”基本一致，唯一區(qū)別就在于驗證賬號的工作不是在本地SAM數(shù)據(jù)庫中進行，而是在域控制器中進行；而對于Windows 2000和Windows 2003域控制器來說，使用的一般為更安全可靠的Kerberos V5協(xié)議。如果該用戶賬號有效，則登錄后可以訪問到整個域中具有訪問權限的資源。用本地用戶賬號登錄后，只能訪問到具有訪問權限的本地資源。 Windows 域Windows交互式登錄是我們平常常見的一種登錄認證方式，交互式登錄包括“本地登錄”和“域賬號登錄”，而“本地登錄”僅限于“本地賬號登錄”。而且SSL的實現(xiàn)成本比較低，可以很容易的結合現(xiàn)有的應用環(huán)境建立比較安全的傳輸，所以獲得了極為廣泛的應用。通過SSL協(xié)議，可以使通信不被惡意攻擊者竊聽，并且始終對服務端進行認證（也可以應用可選的客戶端認證）。2)Windows 域認證3)SAML協(xié)議