1、统一认证身份系统功能概述

　　统一用户管理系统(IDS),实现网上应用系统的用户、角色和组织机构统一化管理，实现各种应用系统间跨域的单点登录和单点退出和统一的身份认证功能，用户登录到一个系统后，再转入到其他应用系统时不需要再次登录，简化了用户的操作，也保证了同一用户在不同的应用系统中身份的一致性。

　　图： 统一身份认证示意图

　　如上图所示，IDS通过WebService对外发布认证服务，实现了平台的无关性，能与各种主机、各种应用系统对接。另外，IDS还提供了一套标准的接口，保证的IDS与各种应用系统之间对接的易操作性。

　　IDS的主要功能如下：

　　1)用户管理 ：实现用户与组织创建、删除、维护与同步等功能；

　　2)用户认证：通过SOA服务，支持第三方认证系统；

　　3)单点登录 ：共享多应用系统之间的用户认证信息，实现在多个应用系统间自由切换；

　　4)分级管理 ：实现管理功能的分散，支持对用户、组织等管理功能的分级委托；

　　5)权限管理: 系统提供了统一的，可以扩展的权限管理及接口，支持第三方应用系统通过接口获取用户权限。

　　6)会话管理： 查看、浏览与检索用户登录情况，管理员可以在线强制用户退出当前的应用登录；

　　7)支持Windows、Linux、Solaris等操作系统；支持Tomcat、WebLogic、WebSphere等应用服务器；支持SQL Server等数据库系统；

　　2、IDS的结构

　　统一身份认证通过统一管理不同应用体系身份存贮方式、统一认证的方式，使同一用户在所有应用系统中的身份一致，应用程序不必关心身份的认证过程。

　　从结构上来看，统一身份认证系统由统一身份认证管理模块、统一身份认证服务器、身份信息存贮服务器三大部分组成。

　　其中统一身份认证管理模块由管理工具和管理服务组成，实现用户组管理、用户管理；管理工具实现界面操作，并把操作数据递交给管理服务器，管理服务器在修改存贮服务器中的内容。

　　统一身份认证服务器向应用程序提供统一的Webservice认证服务。它接收应用程序传递过来的用户名和密码，验证通过后把用户的认证令牌返回给应用程序。

　　身份存储服务器存储身份、权限数据。其中身份存储服务器可以选择关系型数据库、LDAP目录、AD等。另外可以将CA发放的数字证书存储在身份存储服务器。