单点登录化繁为简

  单点登录优化了上海移动与合作伙伴的交流，促进了业务的发展，同时还降低了上海移动的管理成本，大大减轻了管理员的工作负担。

         目前，上海移动正在进行业务流程的整合工作，其中企业应用集成（EAI）是一个重点，上海移动的目标是实现从C/S结构向B/S结构的转变。以上海移动的运维支撑系统（OSS）门户为例，其中有网管应用、OA应用和电子运维系统等应用，上海移动的战略合作伙伴、分包公司通过这个门户来访问不同的应用。

难题：访问不同应用

         一个现实的情况是，用户往往在多个应用中均拥有独立的账号和口令，许多情况下，为了便于记忆，用户不得不将账号和口令写在纸上，这样的做法使这些账号和口令的安全性受到了极大影响。同时，经常有用户忘记口令而要求重置，这也加大了管理员的工作负担。

         另外，管理员需要在不同的应用中维护独立的用户身份和存取管理，这是很麻烦的工作。例如有新员工加入企业以后，管理员需要在每一个应用中添加此用户信息，根据此用户的角色分配不同的权限；当用户的角色发生变化时，需要在不同的应用中修改此用户的权限。

         上海移动的工程师曹玮说：“以前，登录不同的应用要输入不同的用户名和密码，非常烦琐。”为了保证应用中核心资产信息的安全，并便于合作伙伴访问不同应用，上海移动决定对这些应用的访问进行整合，实现统一的身份管理和安全的单点登录（Single-Sign On，SSO），同时对用户进行高度个性化的设置。上海移动对单点登录解决方案的要求是：

         ● 必须能够将企业中所有的用户账号统一起来，一个用户在访问所有应用时只使用同一个账号，同时在一个应用中认证过后，再访问其他应用时不需要再次认证，简化用户的使用环境。

         ● 解决方案必须通过集中的基于策略的方法，使管理员可以很容易地维护系统以及对访问权限进行快速地更改和更新。这样，安全管理的成本就得到了降低，企业也可以快速地对各种安全事件做出反应。
         
         “单点登录解决方案还必须能够快速高效整合现有的应用程序。”曹玮说，“因为这些应用程序开发时间较早，每个应用都需要维护自己的一套用户身份和权限管理系统，这给开发人员带来了一大堆难题。”

         开发人员需要在所有的应用中写入认证和访问管理代码，这加大了应用的开发量，延长了开发周期。例如需要考虑不同用户访问不同的内容，还要兼容不同的认证方式，包括：目录口令认证、SecurID令牌认证、数字证书认证等。而这些代码往往由于开发人员的疏忽或者未经过彻底的测试，很可能存在较大的安全隐患和漏洞。另外，当企业的组织结构发生重大变化或者并购时，这些应用由于无法满足新的业务策略，往往需要修改程序。所以新的解决方案需要将开发人员从重复而烦琐的开发任务中解脱出来，只要开发应用界面和功能模块，不用考虑复杂的认证和存取管理，从而加快电子商务计划的推出和更新速度。

解题：单点＋双因素

在一次和RSA公司交流的过程中，上海移动接触到了ClearTrust解决方案。ClearTrust解决方案的设计目的就是把用户管理与Web访问管理结合起来，从而为用户提供一个综合身份管理系统。它使企业能够以较低的成本进行有效的用户管理，同时保护对局域网、外联网、门户网站和交互基础架构内Web应用的访问，利用透明的单点登录访问获得更好的用户体验。
以上海移动为例，利用ClearTrust解决方案实现单点登录之后，如果一个用户具有访问OA应用的权限，那么在登录门户后，该用户就可以通过门户直接访问OA应用，而不需要再次输入密码。

RSA ClearTrust软件正是上海移动寻求的理想门户应用整合解决方案，于是双方立即开展了合作。上海移动现有的应用程序有些运行在BEA WebLogic应用架构上，有些则运行在Web服务器平台上；操作系统也是既有Unix环境，也有Windows环境，集成起来比较复杂，这也正是曹玮担心的地方。ClearTrust用实际表现打消了曹玮的疑虑。ClearTrust实现了与复杂的多供应商运行环境的紧密整合，其中包括Web服务器和应用服务器，从而提供了真正意义上统一的安全管理解决方案。

当初上海移动的系统集成商在开发各个应用程序的时候已经定义好LDAP的规划，对用户的存储和属性都有严格的要求。ClearTrust可以和现有的LDAP规划兼容，这样就彻底避免了需要另外创建一套用户数据的麻烦，充分利用了现有的LDAP投资。

曹玮认为，单点登录优化了上海移动与合作伙伴的交流，促进了业务的发展，并提升了员工的工作效率。同样重要的是，降低了上海移动的管理成本，大大减轻了管理员的工作负担。现在，管理员对用户的创建和管理变得异常简单。通过一个统一的用户管理界面，管理员修改完账号信息后，所有的身份和权限就会自动同步到各自应用程序中。

除了实施单点登录，上海移动还考虑到了另外一个问题，那就是登录门户的用户的密码管理问题。曹玮说：“静态密码存在着太多的漏洞，攻击者有很多手段获得静态密码，离职员工所掌握的密码也可能带来隐患。如果不能很好地管理密码，可能会有大量的非法登录，这样不但不能起到信息传递的作用，相反，可能造成一些商业信息的泄露。所以，一定要有措施来保证登录者的身份。”

恰好，RSA能够提供双因素认证解决方案，从而帮助上海移动解决了后顾之忧。RSA SecurID 双因素认证技术是基于你所知道的东西（密码），以及你所拥有的东西（例如硬件令牌）建立的。RSA SecurID硬件令牌提供比静态密码和重复使用密码更强的安全和保护，它是一个比较小的设备，能够很容易地串在钥匙环上，并且每60秒就能产生一个新的和独特的一次性动态密码，用户可以把动态密码和他们的个人识别码一起输入。由于动态密码每隔一分钟就会更新，因此黑客没有足够的时间来进行破解。

动态密码系统由用户端的密码令牌和应用系统端的认证服务器软件组成。认证服务器软件是一个企业级认证软件解决方案，可以支持几百万个用户和几百个同时在线的用户。认证服务器软件是整个系统的核心部分，与应用系统服务器通过局域网相连，对所有上网用户进行身份认证。用户登录应用系统时，依据安全算法，认证系统会在密码令牌的专用芯片和认证服务器上同时生成动态密码，经过比较，若双方密码相同，则为合法用户，否则为非法用户，确保其高度安全性。

上海移动已经向其各类合作伙伴分发了RSA SecurID硬件令牌，提供双因素认证服务。曹玮说：“上海移动的管理层非常支持采用双因素认证解决方案，合作伙伴们也都感到使用起来既方便又安全。”