[精选]中国移动SunOnePortal门户系统安全配置手册.docx

密 级：文档编号：项目代号：中国移动SunOne Portal安全配置手册 Version 1.0 中国移动通信有限公司二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取目 录第一章 SunOne Portal安全概述 61.1 SunOnePortal简介 61.2 工作原理 71.2.1 安全的接入 81.2.2 用户的身份认证和授权: 91.2.3 资源的访问控制 91.2.4 集中的信息存取 101.3 功能与定位 101.4 特点和局限性 11第二章 3A服务 122.1 身份认证(Authentication) 122.2 授权(Authorization) 132.3 安全管理(Administration) 142.3.1 用户的管理 142.3.2 资源的管理 152.3.3 Directory Server的管理 17第三章 SunOne Portal资源的访问控制 193.1 Portlet访问其他应用系统的方式 193.2 Porlet和Container 203.3 用户、组织、角色 203.4 Service和Policy 的应用： 213.5 访问控制资源 223.6 Degelated Administrator 243.7 客户化用户登录验证模块 253.8 使用SSL访问SunOne Portal 28附录 术语表 31第一章 SunOne Portal安全概述1.1 SunOnePortal简介SunOne Portal是Sun公司为企业提供的信息门户解决方案产品，它是基于C/S的Web架构，能够满足B2B, B2C, B2E的企业信息平台要求。

SunOne Portal能够对企业的各个应用系统进行整合展现，能够根据用户的需要进行内容定制和个性化展现它能够对企业各应用系统资源进行统一管理，对各系统用户进行统一管理，能够按用户权限对资源进行分配，实现SSO单点登录SunOne Portal的标准配置产品包括：SunOne WebServer, SunOne Identity Server, SunOne Directory Server, SunOne RemoteAccess. Mobile RemoteAccess(这里介绍的技术是依据Portal Server 6.2)SunOne WebServer: 它是Web服务器, 为Portal应用提供java运行环境支持SSL加密通讯SunOne Identity Server：它是SunOne 的认证服务器，为Portal提供认证服务，包括身份认证，授权服务，单点登录服务SunOne Directory Sever: 它是SunOne的目录服务器，为Identity Server、Portal server提供信息存储服务：包括用户信息，访问配置信息，认证信息，权限信息以及portal的配置信息。

SunOne Portal Remote Access: 它为Portal Server提供外网接入服务是用户由外网访问Portal的反向代理，支持SSL访问协议Mobile Remote Acess：提供支持WAP协议的手持设备的访问服务1.2 工作原理 下图是江苏移动统一信息平台的首页：在这个页面中，用户通过登陆到江苏移动的统一信息平台访问到OA系统，经营分析等系统提供的功能，这些系统的功能是通过统一信息平台展现给用户的 Portal的信息是以Portlet为最小单位展现给用户的，每个portlet都为用户提供相应的功能在页面上，多个porlet组成了Tab页面用户可以通过点击Tab链接进入到相关主题的页面Portal的开发主要包括如下几个方面：1． 集成内容的开发；确定要集成的内容和方式完成由Portal到其他系统单点登录，数据抽取和展现的工作2． Portlet和页面的开发、部署Porlet是内容的展现Tab页是多个Portlet聚合在一起的页面它们的开发是按照用户对界面的需求来进行的3． 用户、组织、角色信息和服务（service）信息建立在Identity Server上建立用户信息、组织、角色信息及服务信息。

服务包括很多种类，我们常用的是桌面服务（desktop service），我们根据用户的需要建立不同内容的桌面服务4． Desktop Service的分配按照需求将不同的桌面服务分配到不同的组织、角色、用户中去 下面着重介绍SunOnePortal的安全方面的特性：下图是一个典型通过Remote Access访问Portal系统的拓扑示意图： SunOnePortal安全性包括四个方面: 一,安全的接入，二, 用户的身份认证和授权三，Portal的资源访问控制四，集中的信息储存1.2.1 安全的接入安全接入是保证访问用户和server之间，提供不同服务的server和server之间传递的数据不被监听，窃取和窜改并且保证Portal服务器对终端用户开放的服务仅仅限于http或https的服务端口对于用户通过外网访问portal，要先通过RemoteAccess组件，这之间的访问协议通常配置成SSL， 企业员工在企业DMZ区访问Poral，访问协议也支持SSL 而在Portal服务器和Directory Server之间的访问同样支持ldap协议上的SSL这样就确保从用户到RemoteAccess，从Portal到Directory Server之间的信息传递的安全性。

RemoteAcess通常是部署在企业的DMZ区，通常有两块网卡，一个连接到Internet，另一块连接到企业的内部网企业员工如果从外网访问Portal Server的服务, 键入的是RemoteAcess所提供的网页地址，RemoteAcess通过对URL地址的重写，将以用户的请求转发给Portal Server来处理并将结果转发给用户1.2.2 用户的身份认证和授权:用户访问Portal的身份的认证和授权是由Identiy Server来完成的当用户访问Portal服务时IdentityServer首先截获用户的请求当检测到用户没有被认证过后，Idnetity Server就会将用户转向到登录界面要求用户输入用户名和密码在用户提交用户名和密码后IdentityServer会到Directory Server的用户列表中去匹配，如果验证通过，IdentityServer就会将用户的组织信息角色信息取出来，放在session中， 并对用户要访问的Portal桌面进行进行权限匹配，如果该员工有权进行访问则IdentityServer就将用户重定向到Portal的服务页面而Portal则根据用户的在session中存储的用户桌面服务信息来组织页面。

1.2.3 资源的访问控制Portal作为一个集成平台所集成的系统是通过Web页面来展现给终端用户的页面上信息的展现单位是Portlet， Tab页是多个portlet的集合对于不同组织，角色的用户来说他们的权限是不同，通过Portal访问到的应用系统也不同用户看到的portlet、Tab页都不会相同另一方面Portlet和Tab的组织，可以根据用户的需求按照组织，角色进行定制在SunOnePortal中控制不同Portlet组合、页面组合不同权限用户的页面就是不同的Tab页和porlet的组合这些组合（包括属性信息）是存放在Desktop Profile文件中的，是用户、组织、角色的属性在开发过程中，我们要开发这些Tab页和portlet，来将其他系统集成在portal上 再根据需求对组织的desktop profile,角色的desktop profile或用户个人的desktop profile进行定制，以完成个性化，角色化、组织化的桌面资源展现1.2.4 集中的信息存取Direcotry Server是Portal平台的重要组成部分它为Portal提供信息存储服务Portal所有的配置信息；用户，组织，角色等的信息都存储在 Directory Server中。

Portal和Directory Server之间的通讯是LDAP协议，或基于LDAP的SSL协议在安装过程中，DirecotryServer为Portal提供一个访问用户，这个用户用于建立和维护Potal的所有配置信息和用户等信息用户名的密码是以加密的形式储存在Portal的配置文件中1.3 功能与定位SunOne Portal是一个企业级的信息门户平台这个平台为提供给企业如下的功能：1． 为企业各个应用系统提供内容聚合展现的平台：企业的各个应用系统往往都是各自独立的用户在访问它们的时候，要做很多重复登陆操作Portal通过实现对各个应用系统的内容聚合展现, 使得用户通过一个平台就可以访问到多个系统, 这样大大的方便用户通过这样的整合展现，提高了各应用系统之间信息关联性和共享性 SunOne Portal为企业建立了一个信息交流和共享的平台，一个协同工作的平台这是Potal的最大的优点2． 实现单点登陆，提高安全性：用户登录Portal之后，访问其他系统无需再次输入用户名/密码这一方面方便了用户使用另一方面也提高了系统的安全性，因为记忆和使用多个用户名和密码这会在客观上给系统带来不安全性。

Portal的功能之一是将各应用系统的用户名和密码进行整合使用Portal对它们进行统一管理3． 实现统一的用户管理，建立集中的用户资源信息:对于不同的应用系统，用户的信息往往也是分散而各自独立随着企业信息化建设的深入系统之间的关联性愈来愈重要用户信息的不同往往给信息的共享和交换带来很大的不便，同时多个用户名的管理和维护也给企业带来安全上的隐患Portal通过建立统一集中的用户信息为企业的其他应用系统提供了统一集中的的目录信息服务为了兼容其他用户系统，SunOne Portal可以通过Meta Directory Server软件，实现和现有系统的用户信息同步通过对IdentityServer的员工信息的管理，就可以实现对各个应用系统的用户的管理这样的集中管理, 免除了分散管理所带来的弊端, 增强了用户信息的集中性和利用率，也为企业的员工信息化管理建立了一个统一、标准的平台 1.4 特点和局限性SunOne Portal 作为企业门户网站解决方案，它实现了标准的电子商务体系结构它所提供的核心产品，为用户提供了具有高度可伸缩的门户网站的基础结构用户在这个基础上可以做更进一步的扩展：将更多的应用系统集成进来。

实现应用集成，信息共享，协同工作等功能在技术层面上看，SunOne Portal是web的应用系统SunO。