- OAuth 2.0: 一种授权标准,允许用户在一个站点向其他站点授予对其资源的有限访问权限,而无需获得其凭证(通常是账号密码)。
- Open ID Connect: 这是 OAuth 2.0 的一个超集,他在 OAuth 2.0 之上提供了更多用户信息和获取权限和标准, 比如他定义了用户的头像为picture。
- JSON Web Tokens: 一种开放标准,主要用来安全的传输信息,他的格式非常紧凑和独立,解析之后是一种JSON格式。
- LDAP: 你可以把轻量目录访问协议(Lightweight Directory Access Protocol,简称 LDAP)理解为一个树型的 用来存储用户和组织信息的数据库,常被用来做单点登录( SSO )和企业员工信息管理。
身份认证服务系统 ASP
安当ASP(Authentication Service Platform)身份认证服务系统为企业用户提供集中式的身份、权限、应用管理服务,产品支持云部署或者本地私有化部署。主要功能包括MFA多因素身份认证、SSO单点登录、统一目录、账号全生命周期管理和安全审计。
单点登陆
SSO (Single Sign On)
多因素认证
MFA (Multi-Factor Authentication)
统一用户目录
UD (User Directory)
安全审计
SA (Security Audit)
Radius认证服务器
Radius authentication server
Windows/Linux操作系统双因素登陆
SLA(System Login Agent)
OTP动态口令认证服务器
OTP Dynamic Password Authentication Server
密码管理器
Password Manager产品特点
- 支持多租户管理
- Ukey为硬件令牌,OTP为手机令牌,均支持国际及国密算法
- 产品支持本地部署或采购SaaS服务,增加用户灵活方便,支持按月付费
- 支持SSO单点登陆,一次登陆轻松访问企业各种应用
- 支持多种双因素令牌,Ukey、OTP、FIDO,令牌方式多样式各选
- 集成方便,几行代码即可轻松稿定
- 资深技术人员对接支持,解决客户集成烦恼
产品功能
可视化数据看板
集中化的数据统计、展示及重要信息提醒应用管理
应用管理
管理需要对接管理的应用或业务系统
权限管理
基于RBAC模型的权限管理包括资源、角色、授权
RADIUS服务器
支持RADIUS普通登录和OTP登录
组织架构/人员管理
灵活的部门管理和人员管理支持批量导入
身份源
支持LDAP身份源,自动创建角色关联
日志审计
完整的用户、管理员登录和操作日志,支持SYSLOG协议
双机热备
安全可靠,自动切换,提升系统可靠性
模块化许可授权
用户可按需选购所需功能,灵活增购
● 规范
主要模块
单点登录 SSO
政企用户只需要通过一次身份认证就可以免登录访问授权范围内的所有业务系统应用,改变了用户原有的各应用系统分散式身份认证模式,降低维护成本,提升系统安全,简化访问流程,提升工作效率。
多因素认证 MFA
根据客户不同业务场景及安全需要智能唤起不同组合形式的二次验证,通过密码/FIDO/OTP/UKEY/指纹识别/面部识别等多种认证方式相结合,全面满足新等保2.0双因子认证需求,确定访问者身份,保证身份认证的准确性。
统一目录
实现企业组织架构和海量人员身份信息的集中安全存储
安全审计
实时记录企业信息安全状况,精准识别企业异常访问和潜在威胁的源头
不同用户源集成方式
有用户源场景
有用户源是指用户系统具备完善的前端和后端。对于此类型的应用,我们建议使用授权码的方式,前端进行修改集成获取授权码,后端进行授权码换取 Token 操作来完成集成。
授权码模式适合应用具备后端服务器的场景。授权码模式要求应用必须能够安全存储密钥,用于后续使用授权码换 Access Token。授权码模式需要通过浏览器与终端用户交互完成认证授权,然后通过浏览器重定向将授权码发送到后端服务,之后进行授权码换 Token 以及 Token 换用户信息。
无用户源场景
无用户源是指的用户在登录自己系统时后端不会做验证,前端只需要进行校验。对于此类型的系统我们建议使用隐藏式模式进行集成,后端无需存储安全密钥,只需要在前端进行部分修改即可实现。
隐式模式适合不能安全存储密钥的场景(例如前端浏览器)。在隐式模式中,应用不需要使用 code 换 token,无需请求 /token 端点,AccessToken和 IdToken 会直接从认证端点返回。
典型应用场景
网络设备登录
为常见的网络设备(交换机,路由器,防火墙等)提供动态密码身份认证保护,增强入口安全性
01
VPN设备登录
VPN远程接入增加动态密码登录保护
02
虚拟化登录
支持VMware桌面虚拟化产品的登录,在现有静态密码或域账号的基础上增加动态密码认证
03
堡垒机登录
通过动态密码认证管控好堡垒机入口,支持主流堡垒机厂商
04
服务器登录
支持Windows,Linux等操作系统的服务器登录,以及云服务器,虚拟服务器的账号保护
05
Windows登录
支持Windows PC的操作系统登录,通过更改登录Agent方式增加动态密码认证,支持Windows
06
AD域/LDAP
AD域或LDAP账户源无缝集成
07
应用软件登录
通过API接口调用,可支持ERP/CRM/OA等常用应用软件的身份认证
08
Web应用登录
支持Web应用,加强用户身份安全
09
SSO单点登录
一次登录,安全访问所有应用
10
密码管理器
在不泄露密码明文的情况下,安全分享密码给其他用户使用,方便运维管理