CN114844714A - 用户身份认证的方法和基于ldap协议的代理服务端 - Google Patents
用户身份认证的方法和基于ldap协议的代理服务端 Download PDFInfo
- Publication number
- CN114844714A CN114844714A CN202210569918.2A CN202210569918A CN114844714A CN 114844714 A CN114844714 A CN 114844714A CN 202210569918 A CN202210569918 A CN 202210569918A CN 114844714 A CN114844714 A CN 114844714A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- application program
- target application
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000003993 interaction Effects 0.000 claims description 32
- 230000002452 interceptive effect Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 7
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 35
- 238000012550 audit Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000001965 increasing effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- PCTMTFRHKVHKIS-BMFZQQSSSA-N (1s,3r,4e,6e,8e,10e,12e,14e,16e,18s,19r,20r,21s,25r,27r,30r,31r,33s,35r,37s,38r)-3-[(2r,3s,4s,5s,6r)-4-amino-3,5-dihydroxy-6-methyloxan-2-yl]oxy-19,25,27,30,31,33,35,37-octahydroxy-18,20,21-trimethyl-23-oxo-22,39-dioxabicyclo[33.3.1]nonatriaconta-4,6,8,10 Chemical compound C1C=C2C[C@@H](OS(O)(=O)=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H]([C@H](C)CCCC(C)C)[C@@]1(C)CC2.O[C@H]1[C@@H](N)[C@H](O)[C@@H](C)O[C@H]1O[C@H]1/C=C/C=C/C=C/C=C/C=C/C=C/C=C/[C@H](C)[C@@H](O)[C@@H](C)[C@H](C)OC(=O)C[C@H](O)C[C@H](O)CC[C@@H](O)[C@H](O)C[C@H](O)C[C@](O)(C[C@H](O)[C@H]2C(O)=O)O[C@H]2C1 PCTMTFRHKVHKIS-BMFZQQSSSA-N 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- SYELZBGXAIXKHU-UHFFFAOYSA-N dodecyldimethylamine N-oxide Chemical compound CCCCCCCCCCCC[N+](C)(C)[O-] SYELZBGXAIXKHU-UHFFFAOYSA-N 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种用户身份认证的方法和基于LDAP协议的代理服务端,代理服务端获取目标用户的用户信息和目标应用程序对应的认证方式,然后将用户信息和该认证方式发送给IAM系统,使得IAM系统根据目标应用程序对应的认证方式和用户信息对目标用户进行身份认证,即在IAM系统中完成身份认证,该认证方式为口令认证或者一次性密码OTP认证。当身份认证成功,代理服务端获取IAM系统返回的认证成功消息,然后将认证成功消息发送给目标应用程序,该认证成功消息用于指示目标用户身份认证成功,目标应用程序不需要访问LDAP服务器也能实现认证,多种认证方式也加强了企业信息安全性。
Description
技术领域
本申请涉及身份管理技术领域,尤其涉及一种用户身份认证的方法和基于LDAP协议的代理服务端。
背景技术
身份管理(Identity Management,简称IDM)是账号管理,认证管理,授权管理,审计管理解决方案的统称。
目前,一些应用程序集成了基于LDAPV3协议的身份认证功能,即仅支持轻型目录访问协议LDAP(Lightweight Directory Access Protocol)认证,例如虚拟专用网络VPN(Virtual Private Network,简称VPN)客户端,用户的身份信息和访问信息等均存储在LDAP服务器的日志文件中。另一些应用程序仅支持IAM系统的认证,例如,普通的购物程序或者办公自动化OA(Office Automation,简称OA)软件,用户的身份信息和访问信息等则存储在身份识别与访问管理IAM(Identity and Access Management)数据库中。
但是,对于仅支持LDAP认证的应用程序,用户在登录应用程序时只能进行口令认证,认证安全性较差,当该应用程序在企业中使用时,企业对安全性要求较高,口令认证方式会使得企业信息安全得不到有效保障。
发明内容
本申请提供一种用户身份认证的方法和基于LDAP协议的代理服务端,用以解决当仅支持LDAP认证的应用软件在企业中安全性要求较高时,口令认证方式会使得企业信息安全得不到有效保障的问题。
第一方面,本申请提供一种用户身份认证的方法,应用于基于LDAP协议的代理服务端,包括:
获取目标用户的用户信息和目标应用程序的认证方式,所述用户信息中包括用户名和密码,所述目标应用程序为LDAP客户端;
将所述用户信息和所述认证方式发送给身份识别与访问管理IAM系统,使得所述IAM系统根据所述认证方式和所述用户信息对所述目标用户进行身份认证,所述认证方式包括口令认证或者一次性密码OTP认证;
当身份认证成功,获取所述IAM系统返回的认证成功消息,所述认证成功消息中包括用户属性信息,将所述认证成功消息发送给所述目标应用程序,所述认证成功消息用于指示目标用户身份认证成功。
可选的,所述获取目标用户的用户信息和目标应用程序的认证方式之前,还包括:
获取所述目标应用程序的安全等级要求;
根据所述安全等级要求,为所述目标应用程序配置相应的认证方式,所述认证方式用于用户登陆所述目标应用程序。
可选的,所述将所述认证成功消息发送给所述目标应用程序之后,还包括:
获取所述目标应用程序的交互信息,所述交互信息中包括多条交互数据;
将所述交互信息存储到IAM数据库中,所述交互信息用于管理员进行审计管理。
可选的,所述将所述交互信息存储到IAM数据库中,包括:
将所述交互信息进行封装,形成一条完整的用户数据;
将所述用户数据发送给所述IAM系统,使得所述IAM系统将所述用户数据存储到所述IAM数据库中。
可选的,所述将所述交互信息存储到所述IAM数据库中之后,还包括:
获取管理员输入的查询条件,所述查询条件中包括至少一个查询索引;
将所述查询条件发送给所述IAM系统,使得所述IAM系统在所述IAM数据库中根据所述查询条件查询待查询内容;
接收所述IAM系统发送的所述待查询内容,显示所述待查询内容。
第二方面,本申请提供一种基于LDAP协议的代理服务端,包括:
获取模块,用于获取目标用户的用户信息和目标应用程序的认证方式,所述用户信息中包括用户名和密码,所述目标应用程序为LDAP客户端;
发送模块,用于将所述用户信息和所述认证方式发送给身份识别与访问管理IAM系统,使得所述IAM系统根据所述认证方式和所述用户信息对所述目标用户进行身份认证,所述认证方式包括口令认证或者一次性密码OTP认证;
处理模块,用于当身份认证成功,获取所述IAM系统返回的认证成功消息,所述认证成功消息中包括用户属性信息,将所述认证成功消息发送给所述目标应用程序,所述认证成功消息用于指示目标用户身份认证成功。
可选的,所述获取目标用户的用户信息和目标应用程序的认证方式之前,还包括:
获取所述目标应用程序的安全等级要求;
根据所述安全等级要求,为所述目标应用程序配置相应的认证方式,所述认证方式于用户登陆所述目标应用程序。
第三方面,本申请提供一种基于LDAP协议的代理服务端,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面所述的方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第一方面所述的一种用户身份认证的方法。
第五方面,本申请提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法。
本申请提供的一种用户身份认证的方法和基于LDAP协议的代理服务端,代理服务端获取目标用户的用户信息和目标应用程序对应的认证方式,然后将用户信息和该认证方式发送给IAM系统,使得IAM系统根据目标应用程序对应的认证方式和用户信息对目标用户进行身份认证,即在IAM系统中完成身份认证,该认证方式为口令认证或者一次性密码OTP认证。当身份认证成功,代理服务端获取IAM系统返回的认证成功消息,然后将认证成功消息发送给目标应用程序,该认证成功消息用于指示目标用户身份认证成功,目标应用程序不需要访问LDAP服务器也能实现认证,多种认证方式也加强了企业信息安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请提供的一种基于LDAP协议的代理服务端的应用场景的示意图;
图2为本申请实施例一提供的一种用户身份认证的方法的流程示意图;
图3为本申请实施例二提供的一种用户身份认证的方法的信令流程图;
图4为本申请实施例三提供的一种基于LDAP协议的代理服务端的结构示意图;
图5为本申请实施例四提供的一种基于LDAP协议的代理服务端的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
首先对本申请所涉及的名词进行解释:
口令认证:是指用户名和密码认证,用户输入口令(用户名和密码),与数据库中存储的用户名和密码进行匹配,从而实现认证。
OTP动态口令认证:OTP(One-Time Password,简称OTP)认证又称为一次性密码认证,是一种强认证技术,用户在认证时,使用动态密码令牌(一种硬件设备)生成一次性密码与后台动态口令认证系统同时生成的一次性密码进行匹配,从而实现认证。
IAM系统:IAM系统是一种身份识别与访问管理系统,可以使用IAM系统控制对用户进行身份认证(登录)和授权(具有权限)等。通俗的说,是让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产,提供集中式的数字身份管理、认证、授权、审计的模式和平台。IAM系统提供口令认证和OTP认证两种认证方式。
LDAPV3协议:LDAPV3是目录服务的一种轻型目录访问协议,LDAPV3协议的一个常用用途是单点登录,即口令认证,用户可以在多个应用程序中使用同一个密码,通常用于公司内部网站的登录中,这样企业员工可以在公司计算机上登录一次,便可以自动在公司内部网上登录。
目前,由于应用软件厂商的出厂设定,对于一个企业的各种办公应用软件,有些应用软件集成了基于LDAPV3协议的身份认证功能,即仅支持轻型目录访问协议LDAP认证,例如VPN客户端,用户的身份信息和访问信息等均存储在LDAP服务器的日志文件中。有些应用软件仅支持IAM系统的认证,例如,普通的购物软件或者OA软件,用户是身份信息和访问信息则存储在IAM数据库中。但是,对于仅支持LDAP认证的应用软件,用户在登录应用软件时只能进行口令认证,认证安全性较差,当该应用程序在企业中安全性要求较高,口令认证方式会使得企业信息安全得不到有效保障。而且,对于一个企业来说,企业员工使用不同的应用软件的相关数据(身份认证信息和交互信息等)存储不同的数据库中,并且存储在LDAP服务器的日志文件中的相关数据不利于读取与分析,增加管理员对身份信息的管理的难度,增加了企业的管理成本。
所以,本申请提供一种用户身份认证的方法和基于LDAP协议的代理服务端,提供一个代理服务端,即统一用户平台,该服务端可以为LDAP客户端提供LDAP协议接口,该协议可以是LDAPV3协议,并且通过调用IAM系统的接口,为这些客户端提供口令认证和OTP认证等认证方式,使得LDAP客户端可以使用安全性更高的认证方式。然后将企业员工使用不同的应用软件的相关数据统一存储在IAM数据库中,使得这些客户端不需要访问LDAP服务器也能实现认证,管理员通过该平台即可对企业员工的身份信息的集中管理。
参考图1,图1为本申请提供的一种基于LDAP协议的代理服务端的应用场景的示意图,客户端103为IAM系统管理的应用程序,客户端103的用户信息等存储到IAM数据库105中,代理服务端102为管理员提供用户信息管理功能、审计管理功能、认证管理功能和分级授权功能等,该代理服务端也可以称为统一用户平台。代理服务端102为客户端101提供LDAPV3协议接口,客户端101为LDAP应用程序,代理服务端102可以调用IAM系统104的接口,使得客户端101可以使用IAM系统104的认证方式,增加了客户端101的认证方式,也可以将用户信息等相关数据存储到IAM数据库105中,使得客户端101的相关数据与客户端103的相关数据集中存储在IAM数据库105中,方便了管理员的集中管理,从而减小企业的管理成本,也加强了企业信息安全性。可以理解,客户端103和客户端101的数量均可以为多个,图中未示出。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以独立存在,也可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
参考图2,图2为本申请实施例一提供的一种用户身份认证的方法的流程示意图,该方法可以应用于基于LDAP协议的代理服务端,该LDAP协议可以是LDAPV3协议,该代理服务端可以是一个web页面,该代理服务端可以应用于服务器,该方法可以包括如下步骤。
S201、获取目标用户的用户信息和目标应用程序的认证方式。
在代理服务端获取目标用户的用户信息之前,可以获取目标应用程序的安全等级要求,一个安全等级对应一种认证方式,安全等级可以以数字表示,例如1234,也可以以字母表示,例如ABCD,等级排名越靠前的安全等级,要求越高。
代理服务端获取到目标应用程序的安全等级要求后,可以根据该安全等级要求为该目标应用程序配置相应的认证方式,认证方式包括口令认证或者OTP认证,OTP认证的安全等级比口令认证的安全等级高。作为一种可能的实现方式,当安全等级要求超过预设阈值,可以为目标应用程序配置OTP认证方式,示例性的,当安全等级为ABCD,安全等级要求为B,则为该目标应用程序配置OTP认证方式。在另一种可能的实现方式中,一个安全等级可以对应一种认证方式,形成一一对应的关系,代理服务端获取到目标应用程序的安全等级要求后,可以根据该对应关系确定目标应用程序的认证方式。
通过应用程序的安全等级要求为其配置相应的认证方式,实现基于应用的认证配置策略,使得应用程序可以使用安全性更高的认证方式,进一步企业的安全管控。可以理解,本申请提供的认证方式还有其他的认证方式,并不限定于口令认证和OTP认证方式,只要可以为用户登录客户端提供认证功能即可。
当目标用户通过目标应用程序发起认证时,该目标应用程序通过预先配置的代理服务端的IP地址和端口号,调用统一用户平台提供的LDAPV3协议接口,将目标用户的用户信息和认证方式发送给代理服务端,代理服务端可以获取到用户信息和认证方式,用户信息中包括用户名和密码,用户信息是目标用户登录目标应用程序时输入的,目标应用程序为LDAP客户端,即可以理解为现有技术中仅支持LDAP认证的客户端。具体的,代理服务端获取到的是携带了用户信息的LDAPV3协议提供的特定的区别名称DN(Distinguished Name,简称DN)格式信息。
需要说明的是,上述预先配置的代理服务端的网际互联协议IP(InternetProtocol,简称IP)地址和端口号,可以是管理员根据企业的需求预先配置的,示例性的,当企业的安全性要求较高,或者企业人员相当较少,产生的交互信息也少,那么可以按照现有技术中LDAP服务器的IP地址和端口号对目标应用程序进行配置,反之,则可以将代理服务端的IP地址和端口号对目标应用程序进行配置。目标应用程序可以根据预先配置好的IP地址和端口号去访问相应的服务端。
S202、将用户信息和认证方式发送给IAM系统,使得IAM系统根据认证方式和用户信息对目标用户进行身份认证。
代理服务端获取到目标用户的用户信息后,代理服务端通过调用IAM系统的接口,将用户信息和目标应用程序对应的认证方式发送给IAM系统,使得IAM系统根据目标应用程序对应的认证方式和用户信息对目标用户进行身份认证,认证方式包括口令认证或者一次性密码OTP认证,具体如下:
当目标应用程序的认证方式为口令认证时,IAM系统可以将用户信息与IAM数据库中存储的目标用户信息进行匹配,即将用户名和密码与存储在IAM数据库中的用户名和密码进行匹配。
当目标应用程序的认证方式为OTP认证时,此时用户信息中的密码为用户的动态密码令牌在第一时间根据认证密钥生成的一次性密码,该第一时间是用户发起请求认证的时间,IAM系统可以将用户信息与IAM数据库中存储的用户名和一次性密码进行匹配,IAM数据库中的一次性密码是IAM系统在第一时间根据认证密钥生成的。可见,每一次OTP认证的密码都不同,具体的,一次性密码都是根据动态密码令牌和IAM系统在同一时间根据相同的认证密钥、相同的随机数和算法生成的动态口令。
S203、当身份认证成功,获取IAM系统返回的认证成功消息,将认证成功消息发送给目标应用程序。
当匹配成功,代理服务端可以获取到IAM系统返回的认证成功消息,认证成功消息中包括用户属性信息,然后代理服务端将认证成功消息发送给目标应用程序,用户属性中包括用户姓名、性别和用户所在组织机构等,该认证成功消息用于指示目标用户身份认证成功,可以进一步访问该应用程序。
代理服务端将认证成功消息发送给目标应用程序之后,代理服务端可以获取到目标用户身份认证成功后与目标应用程序的交互信息,该交互信息中包括多条交互数据,示例性的,交互数据可以为目标用户登陆认证时间、认证结果、访问的页面名称和访问页面的时间等。
代理服务端可以通过调用IAM系统的接口,将交互信息存储到IAM数据库中,交互信息用于管理员进行审计管理,审计管理是对目标用户的认证行为和交互行为进行分析,例如,认证行为分析为用户在什么时间登陆了什么应用程序。可选的,代理服务端还可以将获取到的交互信息进行封装,形成一条完整用户数据,然后将该用户数据发送给IAM系统,使得IAM系统将用户数据存储到IAM数据库中。相较于LDAPV3协议提供的未封装的多条数据,例如,认证时间为一条单独的数据,认证结果为一条单独的数据,封装后的数据更利于存储和管理。这样,就可以实现将仅支持LDAP认证的客户端的用户的相关数据与IAM系统所服务的应用程序的相关数据集中存储到IAM数据库中,使得管理员可以集中管理,管理员对用户身份信息的管理的难度。当然,交互信息除了存储到IAM数据库中,也会记录到日志文件中,便于管理员对日志文件的使用。
当然,当目标用户身份认证不成功,代理服务端也可以获取到该次认证的结果和认证时间,并将认证结果和认证时间存储到IAM数据库中,以便管理员后续的审计管理。当身份认证不成功,代理服务端也支持口令解锁功能,该功能在用户多次尝试认证时,封锁了用户的认证权限后,可以通过管理员可以对该用户的认证权限解决解锁,使得用户可以继续发起请求认证。
代理服务端将目标用户的交互信息存储到IAM数据库中之后,代理服务端可以获取到管理员输入的查询条件,查询条件中包括至少一个查询索引,即管理员可以进行多条件查询,例如,当管理员需要查询某分公司的员工基本信息,除了输入分公司的名称和员工基本信息条件,还可以输入查询前N条数据,或者部门名称等的条件,以实现级联查询。该查询条件可以用于IAM系统对存储的交互信息进行搜索,示例性的,当查询条件为用户名和认证时间,则管理员可以查询到该用户在认证时间产生的交互信息,或者,当查询条件仅仅为用户名,则可以查询到该用户的所有交互信息。管理员还可以通过其他条件查询交互信息以外的信息,示例性的,当查询条件为某分公司的名称和公司人数,管理员可以查询到该分公司的人数。
代理服务端通过调用IAM系统的接口,将查询条件发送给IAM系统,使得IAM系统在IAM数据库中根据查询条件查询待查询内容。IAM系统查询到待查询内容后,代理服务端可以接收到IAM系统发送的待查询内容,然后为管理员显示待查询内容,使得管理员可以根据查询到的内容实现审计管理。
需要说明的是,该管理员的权限也是分级授权的,即企业等级,决定管理员的权限,例如总公司的管理员权限高于分公司的管理员权限。具体的,代理服务端获取到的是LDAPV3协议提供的特定的DN格式信息,该格式信息中携带了管理员输入的查询条件。该DN格式信息中还可以包括管理员所在企业的等级,即决定了管理员的权限。示例性的,企业等级可以分为总公司和分公司,则总公司的管理员所能查阅的范围就越大,即总公司的用户可以查阅各个分公司的信息,而分公司的管理员仅能查阅其所在分公司的信息。
在本实施例中,代理服务端获取目标用户的用户信息和目标应用程序对应的认证方式,然后将用户信息和该认证方式发送给IAM系统,使得IAM系统根据目标应用程序对应的认证方式和用户信息对目标用户进行身份认证,即在IAM系统中完成身份认证,该认证方式为口令认证或者一次性密码OTP认证。当身份认证成功,代理服务端获取IAM系统返回的认证成功消息,然后将认证成功消息发送给目标应用程序,该认证成功消息用于指示目标用户身份认证成功,目标应用程序不需要访问LDAP服务器也能实现认证,多种认证方式也加强了企业信息安全性。
参考图3,图3为本申请实施例二提供的一种用户身份认证的方法的信令流程图,本实施例在实施例一的基础上,详细描述设备之间的交互过程,如图3所示,基于LDAP协议的代理服务端可以应用于服务器,本实施例提供的方法包括如下步骤。
S301、目标应用程序向代理服务端发送目标用户的用户信息和目标应用程序的认证方式。
目标应用程序为LDAO客户端,目标应用程序通过调用代理服务端提供的LDAPV3协议接口将目标用户的用户信息和目标应用程序的认证方式发送给代理服务端,用户信息中包括用户名和密码,认证方式为口令认证或者OTP认证。
S302、代理服务端将接收到的目标用户的用户信息和目标应用程序的认证方式发送给IAM系统。
代理服务端通过调用IAM系统的接口,向IAM系统发送目标用户的用户信息和目标应用程序的认证方式。
S303、IAM系统根据用户信息和认证方式对目标用户进行身份认证。
目标应用程序的认证方式是在目标用户请求认证之前,代理服务端可以接收到的目标应用程序的安全等级要求,为目标应用程序配置的。
具体认证过程这里不再赘述,可以参考实施例一中的步骤S202。
S304、当身份认证成功,IAM系统向代理服务端返回目标用户的认证成功消息。
该认证成功消息中用户属性信息,用户属性信息中包括用户姓名、性别和用户所在组织机构等。
S305、代理服务端向目标应用程序发送认证成功消息。
认证成功消息用于指示目标用户身份认证成功,可以进一步访问该应用程序。
S306、目标应用程序向代理服务端目标用户与目标应用程序的交互信息。
交互信息中包括多条数据,即目标用户登陆认证时间、认证结果、访问的页面名称和访问页面的时间等,交互信息用于管理员进行审计管理。
代理服务端还可以对该交互信息进行封装,形成一条完整的用户数据,便于存储和管理。
S307、代理服务端向IAM系统发送目标用户与目标应用程序的交互信息。
S308、IAM系统将交互信息存储到IAM数据库中。
S309、代理服务端向IAM系统发送管理员输入的查询条件。
当管理员需要对其管理的人员进行审计管理,例如,对目标用户的认证行为和交互行为进行分析,管理员可以在代理服务端中输入查询条件,查询条件中包括至少一个查询索引,即管理员可以进行多条件查询,示例性的,查询条件中可以包括分公司的名称、员工基本信息和部门名称等。
S310、IAM系统在IAM数据库中根据查询条件查询待查询内容。
示例性的,该待查询内容可以是目标用户的身份信息和/或交互信息等。
S310、IAM系统将查询得到的待查询内容发送给代理服务端。
S311、代理服务端显示待查询内容。
管理员可以查阅显示的待查询内容,实现审计管理。
在本实施例中,代理服务端获取目标用户的用户信息和目标应用程序对应的认证方式,然后将用户信息和该认证方式发送给IAM系统,使得IAM系统根据目标应用程序对应的认证方式和用户信息对目标用户进行身份认证,即在IAM系统中完成身份认证,该认证方式为口令认证或者一次性密码OTP认证。当身份认证成功,代理服务端获取IAM系统返回的认证成功消息,然后将认证成功消息发送给目标应用程序,认证成功消息用于指示目标用户身份认证成功,目标应用程序不需要访问LDAP服务器也能实现认证,多种认证方式也加强了企业信息安全性。并且目标应用的相关数据可以统一存储在IAM数据库中,管理员通过统一用户平台即可对企业员工的身份信息的集中管理,而不需要分别对IAM数据库和LDAP服务器中存储的数据进行管理,从而减小企业的管理成本。
参考图4,图4为本申请实施例三提供的一种基于LDAP协议的代理服务端的结构示意图。如图4所示,该服务端40包括:获取模块401,发送模块402和处理模块403。
获取模块401,用于获取目标用户的用户信息和目标应用程序的认证方式,用户信息中包括用户名和密码,目标应用程序为LDAP客户端。
发送模块402,用于将用户信息和认证方式发送给身份识别与访问管理IAM系统,使得IAM系统根据认证方式和用户信息对目标用户进行身份认证,认证方式包括口令认证或者一次性密码OTP认证。
处理模块403,用于当身份认证成功,获取IAM系统返回的认证成功消息,认证成功消息中包括用户属性信息,将认证成功消息发送给目标应用程序,认证成功消息用于指示目标用户身份认证成功。
可选的,获取目标用户的用户信息和目标应用程序的认证方式之前,还包括:
获取目标应用程序的安全等级要求。
根据安全等级要求,为目标应用程序配置相应的认证方式,认证方式用于用户登陆目标应用程序。
可选的,将认证成功消息发送给目标应用程序之后,还包括:
获取目标应用程序的交互信息,交互信息中包括多条交互数据。
将交互信息存储到IAM数据库中,交互信息用于管理员进行审计管理。
可选的,将交互信息存储到IAM数据库中,包括:
将交互信息进行封装,形成一条完整的用户数据。
将用户数据发送给IAM系统,使得IAM系统将用户数据存储到IAM数据库中。
可选的,将交互信息存储到IAM数据库中之后,还包括:
获取管理员输入的查询条件,查询条件中包括至少一个查询索引。
将查询条件发送给IAM系统,使得IAM系统在IAM数据库中根据查询条件查询待查询内容。
接收IAM系统发送的待查询内容,显示待查询内容。
本实施例的服务端,可用于执行实施例一的一种用户身份认证的方法,具体实现方式和技术效果类似,这里不再赘述。
参考图5,图5为本申请实施例四提供的一种基于LDAP协议的代理服务端的结构示意图。如图5所示,该装置50包括:处理器501、存储器502、收发器503,该处理器501执行存储器502存储的计算机执行指令,并控制收发器503的接收动作和发送动作,使得至少一个处理器执行实施例一或者实施例二中一种用户身份认证的方法步骤,具体实现方式和技术效果类似,这里不再赘述。
本申请实施例五提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,该计算机执行指令被处理器执行时用于实现如上述实施例一或者实施例二任一项的一种用户身份认证的方法步骤,具体实现方式和技术效果类似,这里不再赘述。
本发明实施例六提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时,实现如上述实施例一或者实施例二任一项的一种用户身份认证的方法步骤,具体实现方式和技术效果类似,这里不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (10)
1.一种用户身份认证的方法,其特征在于,应用于基于轻型目录访问协议LDAP协议的代理服务端,所述方法包括:
获取目标用户的用户信息和目标应用程序的认证方式,所述用户信息中包括用户名和密码,所述目标应用程序为LDAP客户端;
将所述用户信息和所述认证方式发送给身份识别与访问管理IAM系统,使得所述IAM系统根据所述认证方式和所述用户信息对所述目标用户进行身份认证,所述认证方式包括口令认证或者一次性密码OTP认证;
当身份认证成功,获取所述IAM系统返回的认证成功消息,所述认证成功消息中包括用户属性信息,将所述认证成功消息发送给所述目标应用程序,所述认证成功消息用于指示目标用户身份认证成功。
2.根据权利要求1所述的方法,其特征在于,所述获取目标用户的用户信息和目标应用程序的认证方式之前,还包括:
获取所述目标应用程序的安全等级要求;
根据所述安全等级要求,为所述目标应用程序配置相应的认证方式,所述认证方式用于用户登陆所述目标应用程序。
3.根据权利要求2所述的方法,其特征在于,所述将所述认证成功消息发送给所述目标应用程序之后,还包括:
获取所述目标应用程序的交互信息,所述交互信息中包括多条交互数据;
将所述交互信息存储到IAM数据库中,所述交互信息用于管理员进行审计管理。
4.根据权利要求3所述的方法,其特征在于,所述将所述交互信息存储到IAM数据库中,包括:
将所述交互信息进行封装,形成一条完整的用户数据;
将所述用户数据发送给所述IAM系统,使得所述IAM系统将所述用户数据存储到所述IAM数据库中。
5.根据权利要求3或4所述的方法,其特征在于,所述将所述交互信息存储到所述IAM数据库中之后,还包括:
获取管理员输入的查询条件,所述查询条件中包括至少一个查询索引;
将所述查询条件发送给所述IAM系统,使得所述IAM系统在所述IAM数据库中根据所述查询条件查询待查询内容;
接收所述IAM系统发送的所述待查询内容,显示所述待查询内容。
6.一种基于LDAP协议的代理服务端,其特征在于,包括:
获取模块,用于获取目标用户的用户信息和目标应用程序的认证方式,所述用户信息中包括用户名和密码,所述目标应用程序为LDAP客户端;
发送模块,用于将所述用户信息和所述认证方式发送给身份识别与访问管理IAM系统,使得所述IAM系统根据所述认证方式和所述用户信息对所述目标用户进行身份认证,所述认证方式包括口令认证或者一次性密码OTP认证;
处理模块,用于当身份认证成功,获取所述IAM系统返回的认证成功消息,所述认证成功消息中包括用户属性信息,将所述认证成功消息发送给所述目标应用程序,所述认证成功消息用于指示目标用户身份认证成功。
7.根据权利要求6所述的代理服务端,其特征在于,所述获取目标用户的用户信息和目标应用程序的认证方式之前,还包括:
获取所述目标应用程序的安全等级要求;
根据所述安全等级要求,为所述目标应用程序配置相应的认证方式,所述认证方式于用户登陆所述目标应用程序。
8.一种基于LDAP协议的代理服务端,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-5中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-5任一项所述的一种用户身份认证的方法。
10.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序被处理器执行时实现权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210569918.2A CN114844714A (zh) | 2022-05-24 | 2022-05-24 | 用户身份认证的方法和基于ldap协议的代理服务端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210569918.2A CN114844714A (zh) | 2022-05-24 | 2022-05-24 | 用户身份认证的方法和基于ldap协议的代理服务端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114844714A true CN114844714A (zh) | 2022-08-02 |
Family
ID=82571746
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210569918.2A Pending CN114844714A (zh) | 2022-05-24 | 2022-05-24 | 用户身份认证的方法和基于ldap协议的代理服务端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114844714A (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1932816A (zh) * | 2006-09-30 | 2007-03-21 | 华中科技大学 | 基于密文的全文检索系统 |
CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
CN105827641A (zh) * | 2016-05-13 | 2016-08-03 | 沃通电子认证服务有限公司 | 情景感知型动态统一认证方法及系统 |
CN106790166A (zh) * | 2016-12-29 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种安全认证的方法、装置及系统 |
CN107925877A (zh) * | 2015-06-23 | 2018-04-17 | 华睿泰科技有限责任公司 | 用于集中式配置和认证的系统和方法 |
EP3401820A1 (en) * | 2017-05-10 | 2018-11-14 | Siemens Aktiengesellschaft | Apparatus and method for providing a secure database access |
CN108965341A (zh) * | 2018-09-28 | 2018-12-07 | 北京芯盾时代科技有限公司 | 登录认证的方法、装置及系统 |
CN110753044A (zh) * | 2019-10-12 | 2020-02-04 | 山东英信计算机技术有限公司 | 一种身份认证方法、系统、电子设备及存储介质 |
CN111797378A (zh) * | 2020-07-06 | 2020-10-20 | 遵义科晟云达科技有限公司 | 一种人社信息多重身份管理认证平台 |
CN113114464A (zh) * | 2020-01-13 | 2021-07-13 | 中国移动通信集团重庆有限公司 | 统一安全管理系统及身份认证方法 |
CN113505353A (zh) * | 2021-07-09 | 2021-10-15 | 绿盟科技集团股份有限公司 | 一种认证方法、装置、设备和存储介质 |
CN113779536A (zh) * | 2021-09-27 | 2021-12-10 | 广域铭岛数字科技有限公司 | 一种用户访问方法、系统、电子设备及介质 |
-
2022
- 2022-05-24 CN CN202210569918.2A patent/CN114844714A/zh active Pending
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1932816A (zh) * | 2006-09-30 | 2007-03-21 | 华中科技大学 | 基于密文的全文检索系统 |
CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
CN107925877A (zh) * | 2015-06-23 | 2018-04-17 | 华睿泰科技有限责任公司 | 用于集中式配置和认证的系统和方法 |
CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
CN105827641A (zh) * | 2016-05-13 | 2016-08-03 | 沃通电子认证服务有限公司 | 情景感知型动态统一认证方法及系统 |
CN106790166A (zh) * | 2016-12-29 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种安全认证的方法、装置及系统 |
EP3401820A1 (en) * | 2017-05-10 | 2018-11-14 | Siemens Aktiengesellschaft | Apparatus and method for providing a secure database access |
CN108965341A (zh) * | 2018-09-28 | 2018-12-07 | 北京芯盾时代科技有限公司 | 登录认证的方法、装置及系统 |
CN110753044A (zh) * | 2019-10-12 | 2020-02-04 | 山东英信计算机技术有限公司 | 一种身份认证方法、系统、电子设备及存储介质 |
CN113114464A (zh) * | 2020-01-13 | 2021-07-13 | 中国移动通信集团重庆有限公司 | 统一安全管理系统及身份认证方法 |
CN111797378A (zh) * | 2020-07-06 | 2020-10-20 | 遵义科晟云达科技有限公司 | 一种人社信息多重身份管理认证平台 |
CN113505353A (zh) * | 2021-07-09 | 2021-10-15 | 绿盟科技集团股份有限公司 | 一种认证方法、装置、设备和存储介质 |
CN113779536A (zh) * | 2021-09-27 | 2021-12-10 | 广域铭岛数字科技有限公司 | 一种用户访问方法、系统、电子设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11695744B2 (en) | Using credentials stored in different directories to access a common endpoint | |
US10505929B2 (en) | Management and authentication in hosted directory service | |
US5586260A (en) | Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms | |
US7010600B1 (en) | Method and apparatus for managing network resources for externally authenticated users | |
CN102638454B (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
KR101720160B1 (ko) | 인간의 개입이 없는 어플리케이션들을 위한 인증 데이터베이스 커넥티비티 | |
EP3226506B1 (en) | Sophisitcated preparation of an authorization token | |
CN111030812A (zh) | 令牌验证方法、装置、存储介质及服务器 | |
US8719948B2 (en) | Method and system for the storage of authentication credentials | |
US20100031317A1 (en) | Secure access | |
CN111447220B (zh) | 认证信息管理方法、应用系统的服务端及计算机存储介质 | |
CN113742676B (zh) | 一种登录管理方法、装置、服务器、系统及存储介质 | |
US7013388B2 (en) | Vault controller context manager and methods of operation for securely maintaining state information between successive browser connections in an electronic business system | |
US20090260066A1 (en) | Single Sign-On To Administer Target Systems with Disparate Security Models | |
US10021107B1 (en) | Methods and systems for managing directory information | |
CN108683651B (zh) | 一种单点登录方法、服务端及系统 | |
US20170250978A1 (en) | Method and system for managing secure custom domains | |
US10735399B2 (en) | System, service providing apparatus, control method for system, and storage medium | |
CN114844714A (zh) | 用户身份认证的方法和基于ldap协议的代理服务端 | |
CN114491435A (zh) | 一种基于工业互联网平台的安全访问方法及设备 | |
CN113114464B (zh) | 统一安全管理系统及身份认证方法 | |
US11870781B1 (en) | Enterprise access management system for external service providers | |
CN114500031A (zh) | 基于单点登录获取bi报表的系统、方法、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |