南海农信使用NOVELL身份系统案例-技术开发专区

南海农信使用NOVELL身份系统案例

作者：来自网络编辑：黄武 2007-12-12 00:00

南海农信使用NOVELL身份解决方案，成功的构建了安全身份整合及单点登录系统，在各个子系统尽量少修改的前提下，实现系统之间帐号的无缝的结合，统一了各个子系统的登录方式，实现了身份帐号的统一管理，提高内部系统的安全性和可靠性。

　　概述

　　广东省佛山南海区农村信用合作社联合社(以下简称南海农信)成立于1952年，全社系统营业网点超400多个，遍布南海城乡，存贷款总量在同行中排行第一。南海农村信用社在依托地方经济，服务地方经济的同时，不断完善自身的业务功能，继续为南海人民提供优质、高效的金融服务。近年来，先后开办和加入了广州、佛山票据交换，全国农村信用社特约汇兑，南海同业往来结算，电子同城清算，广东省信用合作社联行支票、汇票等结算业务以及电话银行，汽车银行，保管箱等业务。

　　挑战

　　南海农信在业务发展的过程中，面临着很多挑战:

　　南海信用在过去已经在内部建立了人事系统、OA(办公自动化)、内部DSS系统及报表系统并将逐步建立网上银行等多种应用，由于内部采用的应用逐渐增多浮现以下问题:

　　1.各个系统中的用户独立存在，难以实现用户帐号的整合，达到统一管理;

　　以Novell eDirectory目录为基础，构建员工身份库，通过构建用户中央身份库，集成OA、DSS等应用中的用户，实现用户帐号在各系统间的实时同步。采用基于反向代理架构的iChain连接各个系统应用。当用户登录时，首先连接到代理服务器iChain，由iChain的认证服务将用户的帐号向中央身份库进行验证。通过验证的用户，即可获得对内部应用的访问列表。再通过iChain将用户的请求指向他所需要的应用。

　　在此基础上利用元目录技术，实现将原有采用“非目录化”的应用系统与现有员工中央身份库进行自动的双向交互，该方案可以在不改变现有系统的框架基础上进行实施，利用这样的方案实现身份库与现有应用系统的无缝结合。利用元目录技术，采用自动化处理方式代替原有系统中帐号有IT管理人员手工操作的方式。

　　统一的员工身份库就如同网络中的HUB，它一方面作为IT平台中内部员工的统一身份资料库;另一方面还可负责与已有系统中的身份信息实现同步。比如，人事部门录用一个新的员工，在人事系统中添加一个新的用户帐号时，系统将根据IT部门所定制的业务规则，在身份库中创建用户信息。同时，根据规则更新到相关子系统中。比如，在OA和DSS中自动创建帐号。这些操作只需要业务部门之间的授权管理即可，无需IT人员的参与。

　　同时，这种信息的同步是双向的。如果在一个应用程序中的数据发生了变化，利用XML技术和一定的转换规则，将信息传递到中央身份库中。然后，再把这些数2.用户需要记住大量的密码;

　　3.没有统一的应用访问入口，需要记住大量的URL和用户名及密码;

　　4.系统应用的安全性需要提高。由于考虑到安全性的问题，还无法将现有的内部应用放到Internet上，以实现员工移动办公的需要。南海信用希望能与现有应用实现无缝的结合，不需要对现有的应用做修改。

　　南海农信在对比了几家在安全身份管理及单点登录解决方案提供商提出的方案后，要求在本项目中，设计时重点保证以下几项基本原则:

　　1.高可靠性

　　建立南海农信员工统一用户身份库，该身份库将包括全社内部的所有员工资料信息，员工信息的日常更新、员工的登录认证等活动将全部基于该身份库的基础之上进行操作，它的可用性将直接影响到员工工作效率。因此，必须保障整个身份库平台的可靠性。

　　2.安全性

　　在本项目中主要是针对内部的系统和用户。安全问题极其重要，一些来自内部的不安全隐患在一些金融机构仍时有发生，在南海农信以前也发生过泄密的事情，各级领导对信息安全问题极为重视。而且随着一些高敏感度的应用的推出如:网上银行等，安全问题将变的更加突出。因次，在本项目的设计中更加考虑到系统的数据安全保护。

　　3.可扩展性

　　在项目中的任何组件都要求具有高度可伸缩性。便于支持南海农信的未来应用。

　　NOVELL解决方案

　　单点登录及安全身份管理

　　据传递给与这些数据相关的其它应用程序或目录服务中。

　　Novell为南海农信针对本项目提出的总体架构。其中主要包括以下组件:

　　·中央身份库(Novell eDirectory);

　　·基于增强型反向代理架构的iChain(用于Web SSO和Web资源的保护);

　　身分整合产品Identity Manager 2.0 (简称IDM2)，其主要功能为实现异构系统的帐号整合。

　　成果

　　南海农信安全身份整合及单点登录项目在2004中上线试运行半年后，并在2004年底推广到全系统运行，并在2005年初顺利通过项目验收。

　　通过实施本项目南海农信在以下几个方面获得了收益:

　　1.大大增强的内部系统的安全性;

　　2.实现了南海农信内部员工在各个系统间的整合，实现了系统管理自动化、策略化;

　　3.实现了内部应用系统的单点登录，无需用户记住大量的内部应用的URL及用户名、密码;

　　4.大大降低了IT系统维护人员的工作量。

　　本系统，成为Novell身份整合及访问控制解决方案在中国金融领域的农信行业首次成功应用典范。

关注我们