【正文】 始終對服務(wù)端進(jìn)行認(rèn)證（也可以應(yīng)用可選的客戶端認(rèn)證）。2)Windows 域認(rèn)證3)SAML協(xié)議集中認(rèn)證管理同時支持上述三種認(rèn)證協(xié)議，下面詳細(xì)介紹這些認(rèn)證協(xié)議。認(rèn)證方式（如用戶名/口令、數(shù)字證書、Windows域等）僅僅是在認(rèn)證系統(tǒng)內(nèi)部來管理和控制的，身份認(rèn)證子系統(tǒng)與其他子系統(tǒng)之間的信息交換都是通過認(rèn)證的安全等級來實現(xiàn)的。主要滿足安全應(yīng)急服務(wù)，當(dāng)用戶安全認(rèn)證的憑證遺忘或者丟失，通過后臺管理員生成通行碼的方式，幫助用戶解決認(rèn)證登錄；通行碼具備時效性和一次性特點，當(dāng)使用過或者超出使用時間范圍，其認(rèn)證效力自動失效，非常強(qiáng)大的保證了系統(tǒng)的安全性和可靠性；在有效地時間段范圍內(nèi)，能有效、快速的幫助用戶解決認(rèn)證和系統(tǒng)準(zhǔn)入的問題，為應(yīng)用提供了便利。集中認(rèn)證管理支持Windows 域登錄，對于已經(jīng)登錄到Windows 域中的用戶，不需要輸入用戶名、密碼而直接使用當(dāng)前登錄的域用戶信息進(jìn)行驗證，如果驗證成功則進(jìn)入，否則拒絕進(jìn)入。當(dāng)用戶通過Windows系列操作系統(tǒng)的登錄界面成功登錄Windows域后，就可以充分使用域內(nèi)的各種共享資源，同時接受Windows域?qū)τ脩粼L問權(quán)限的管理與控制。數(shù)字證書的存儲方式非常靈活，數(shù)字證書可被直接存儲在計算機(jī)中，也可存儲在智能卡或USB Key中。數(shù)字證書技術(shù)是在PKI體系基礎(chǔ)上實現(xiàn)的，用戶不但可以通過數(shù)字證書完成身份認(rèn)證，還可以進(jìn)一步進(jìn)行安全加密，數(shù)字簽名等操作。在整體安全認(rèn)證中，對于瀏覽非重要資源的用戶可以采用該方法。如果驗證通過，系統(tǒng)允許該用戶進(jìn)行隨后的訪問操作，否則拒絕用戶的下一步的訪問操作。系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認(rèn)證中心。下面首先分別介紹這些認(rèn)證方式，然后介紹認(rèn)證方式與安全等級。3)提供統(tǒng)一和多樣化的認(rèn)證策略集中認(rèn)證管理針對不同的認(rèn)證方式，提供了統(tǒng)一的策略控制，各個應(yīng)用系統(tǒng)也可以根據(jù)自身的需要進(jìn)行個性化的策略設(shè)置，根據(jù)應(yīng)用或用戶類型的需求，設(shè)置個性化的認(rèn)證策略，提高應(yīng)用系統(tǒng)的分級管理安全。 集中認(rèn)證管理特點1)提供多因素認(rèn)證服務(wù)集中認(rèn)證管理可以為多個不同種類、不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服務(wù)，不需要應(yīng)用系統(tǒng)獨(dú)立開發(fā)、設(shè)計認(rèn)證系統(tǒng)，為業(yè)務(wù)系統(tǒng)快速推出新的業(yè)務(wù)和服務(wù)準(zhǔn)備了基礎(chǔ)條件，集中認(rèn)證管理為這些應(yīng)用提供了統(tǒng)一的接入形式。4)循環(huán)繼承： 角色A 角色B 角色C 角色D 角色循環(huán)繼承時，系統(tǒng)內(nèi)部自行處理，在循環(huán)處于環(huán)路，則繼承自動斷開。2)多繼承角色A繼承于角色B、角色C、角色D，則A同時擁有B、C、D所有的權(quán)限。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管控，而不會因為角色繼承導(dǎo)致權(quán)限失去控制。而將資源管理模塊細(xì)粒度化，則是將應(yīng)用模塊拆分成單個的功能模塊，某幾個功能模塊又可以組合成一個功能組，在授權(quán)時，針對某一應(yīng)用模塊中的功能或功能組模塊進(jìn)行權(quán)限分配。授權(quán)后組內(nèi)的所有成員均具備該組編輯、查看、分配的權(quán)限。也就是中細(xì)粒度授權(quán)所需要的涉及的內(nèi)容。資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊，所有的功能模塊統(tǒng)稱為資源?；趹?yīng)用系統(tǒng)定義角色，即按照該應(yīng)用系統(tǒng)下的用戶職能進(jìn)行定義。基于用戶組的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部門下定義產(chǎn)品工程師角色。組：包括按照公司組織架構(gòu)或特定功能劃分的部門、工作組及個人用戶通過以上兩種方模式，可以對企業(yè)內(nèi)部的人員、應(yīng)用系統(tǒng)和資源進(jìn)行合理的管理和控制，有效地解決企業(yè)內(nèi)部信息資源的權(quán)限管理，最終實現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進(jìn)入企業(yè)內(nèi)部任何系統(tǒng)，從而保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護(hù)企業(yè)的資產(chǎn)。 集中授權(quán)管理對象集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角色屬性，進(jìn)行對應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)分配，從保證人與應(yīng)用系統(tǒng)之間使用權(quán)限關(guān)系，最終實現(xiàn)，什么樣的人、組織、角色能訪問哪些應(yīng)用系統(tǒng)和資源。員工入職，分配一個特定的原本已經(jīng)隸屬于某些角色/組的身份賬戶，統(tǒng)一入口登錄，即可享有身份賬戶所屬角色/組在公司應(yīng)用系統(tǒng)中的所有權(quán)限；當(dāng)職位變更時，只需更改身份賬戶所屬角色/組，則所享有的權(quán)限也相應(yīng)變化，而對應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系統(tǒng)的安全性得到了極大提高，不會因為對應(yīng)的業(yè)務(wù)系統(tǒng)因為沒有中止用戶應(yīng)用權(quán)限而遭受安全風(fēng)險。集中授權(quán)的最大特點，就是集中在一個接口對組/角色進(jìn)行資源的合理分配。 集中授權(quán)管理 集中授權(quán)應(yīng)用背景分析一些大型企業(yè)，發(fā)現(xiàn)企業(yè)內(nèi)部各應(yīng)用系統(tǒng)自身授權(quán)非常完善，但是從集中管理角度看，發(fā)現(xiàn)大企業(yè)中的傳統(tǒng)授權(quán)所存在如下問題：1)系統(tǒng)權(quán)限分散：員工的流動及職位的變更，需要更改員工的系統(tǒng)使用權(quán)限，而多個系統(tǒng)權(quán)限的分散，使管理員工作量增加，且容易帶來安全漏洞?？蓪崿F(xiàn)與RA的完全集成，通過平臺實現(xiàn)RA的完全接管，實現(xiàn)證書處理、證書生命周期管理、證書審批、支持多種申請模式、RA日志管理、密鑰管理、策略管理等。通過平臺與RA的集成，可支持與企業(yè)內(nèi)的多RA進(jìn)行集成，實現(xiàn)單平臺多RA的集中管理。（若無效，用戶登錄失?。挥脩敉ㄟ^認(rèn)證，正常進(jìn)入應(yīng)用系統(tǒng)。證書有效性檢查，可支持與CA系統(tǒng)的CRL（證書掉銷列表）服務(wù)聯(lián)動及手動導(dǎo)入CRL列表。通過CA的配置路徑，訪問指定的CA系統(tǒng)；CA系統(tǒng)簽發(fā)數(shù)字證書并返回給管理員；管理員將證書裝入UBS Key,。 集中證書管理功能特點集中證書管理功能的實現(xiàn)就是通過集成證書注冊服務(wù)（RA）和電子密鑰（USBKey）管理功能。AD域中的用戶信息變動通過適配器被平臺感知，并自動同步到平臺用戶身份信息存儲（目錄服務(wù)器）中；平臺的用戶管理員也可以直接修改平臺中集中存儲的用戶身份信息，再由平臺同步到各個應(yīng)用系統(tǒng)中。數(shù)字證書主要是與用戶的主賬戶標(biāo)識進(jìn)行唯一綁定，在用戶帳戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生任何改變，唯有在用戶帳戶進(jìn)行注銷和歸檔過程中，與其相匹配的數(shù)字證書也同樣需要進(jìn)行吊銷和歸檔操作。 身份信息的存儲為了方便對人員身份的管理，集中用戶系統(tǒng)采用樹形架構(gòu)來進(jìn)行人員組織架構(gòu)的維護(hù)，存儲方式主要采用LDAP。由于用戶在各應(yīng)用系統(tǒng)中各自具有賬號和相關(guān)口令，為了保證在平臺實施后可以使原有系統(tǒng)仍可以按照原有賬號方式操作，需要建立用戶標(biāo)識與應(yīng)用系統(tǒng)中賬號的對照關(guān)系?；诜謾?quán)、分級的管理需要，用戶身份信息需要將用戶信息按照所屬機(jī)構(gòu)和崗位級別進(jìn)行分類，便于劃分安全管理域，將用戶信息集中存儲在總部，以及管理域的劃分。為了保證用戶身份的真實、有效性，可以通過數(shù)字證書認(rèn)證的方式進(jìn)行身份鑒別并與用戶身份標(biāo)識進(jìn)行唯一對應(yīng)。用戶身份標(biāo)識是統(tǒng)一用戶管理系統(tǒng)內(nèi)部使用的標(biāo)識，用于識別所有用戶的身份信息。員工即企業(yè)的職員，是平臺主要的關(guān)注的用戶群體；外部用戶是指以獨(dú)立身分訪問企業(yè)應(yīng)用系統(tǒng)的一般個人客戶與企業(yè)客戶。