統一身份認證子系統(UIA:??UNIFIED IDENTITY SERVICE?)主要有三大功能模塊：

身份認證模塊、權限管理模塊和安全審計模塊。

統一身份認證(CAS)包括了統一身份認證服務和IAM?單點登錄 SSO這兩大塊

通常情況下應用系統身份認證方式能辨別用戶的真實身份，是實現業務系統向基層網安部門推廣的前提條件。建設多樣化的身份認證手段，是提升業務系統安全性與靈活性的關鍵舉措。網綜平臺要求各類業務系統使用統一的用戶身份；業務系統能夠根據實際應用場景及信息內容的重要性，控制終端的使用環境及資源。建設一套集中、統一、多樣化、高效的安全認證服務與控制系統，形成業務系統的統一認證和安全控制技術體系和安全服務體系，“安全中心系統”正是解決應用系統統一認證與集中安全控制的技術平臺、服務平臺、管理平臺。

最早的統一身份認證系統產品當屬linux的LDAP目錄服務和windows的AD域目錄服務。

統一身份認證的優點是，采用統一身份認證后，用戶只需要使用同一用戶名、同一令牌就可以登錄所有允許他登錄的系統，用戶使用更加方便;從安全角度出發，管理人員可以在認證系統集中地對各個應用系統上的用戶進行管理。

統一身份認證發展階段：LADP目錄服務--->集中身份驗證服務--->雙因子認證2FA--->多因素認證MFA--->生物特征身份認證-->…

單一因素認證（用戶名+密碼+驗證碼）短時間不會消亡，還會依然有大量的系統沿用這以傳統認證方式...

名詞解釋：

雙因子認證（2FA）是指結合密碼以及實物（信用卡、SMS手機、ukey、Token令牌或指紋等生物標志）兩種條件對用戶進行認證的方法。這種方法已經為企業所采用，特別是在遠程訪問時，但在其它領域應用還很有限。雙因子認證的推廣之所以受阻，主要在于其需要使用額外的工具并且為IT和技術支持人員帶來負擔。其批評者還指出這種方法也容易遭受攻擊，即在非常小的時間窗口內，易受到中間人（man-in-the-middle）攻擊（這也是采用嚴格SSL處理的更多原因）。雙因子認證,支持CAS,SAML,OAuth,OIDC等10多種認證協議,實現應用的快速集成,并通過組織架構同步,權限管理等模塊,實現全平臺業務管理與訪問控制。尤其是國內互聯網企業申請等級保護（簡稱等保）的首選。

統一身份認證平臺,全面支持公/私有云,大數據,物聯網及移動應用的統一認證與訪問控制,構建以應用、賬戶、認證、授權、審計的5A體系為架構的企業內控管理平臺。OpenID+OAuth+MFA（AK/SK）?

那么問題來了：目前雙因素認證廠商有哪些？該怎么選？

雙因素認證是一種采用時間同步技術的系統，采用了基于時間、事件和密鑰三變量而產生的一次性密碼來代替傳統的靜態密碼。每個動態密碼卡都有一個唯一的密鑰，該密鑰同時存放在服務器端，每次認證時動態密碼卡與服務器分別根據同樣的密鑰，同樣的隨機參數（時間、事件）和同樣的算法計算了認證的動態密碼，從而確保密碼的一致性，從而實現了用戶的認證。因每次認證時的隨機參數不同，所以每次產生的動態密碼也不同。由于每次計算時參數的隨機性保證了每次密碼的不可預測性，從而在最基本的密碼認證這一環節保證了系統的安全性。解決因口令欺詐而導致的重大損失，防止惡意入侵者或人為破壞，解決由口令泄密導致的入侵問題。

目前世界上做的最早的當屬RSA，同時也是種類最全、專業能力最強的企業，但可惜的是營業執照不是中國的，而且其價格也是高的離譜，最近國家信息安全領域，都強制要求使用國產，無疑是將橄欖枝伸向國內企業。

就國內雙因素認證廠家來講，東聯、寧頓、曦辰算是比較早的一批公司，市場份額做的也是非常大，最常見的就是我們身邊的網銀動態令牌，規模龐大，用戶廣泛，就是解決用戶登錄密碼泄露造成信息及數據丟失的問題。但就企業自身而言，其內部一直以來就存在著安全隱患，如VPN、OWA、Vmware、Citrix、Linux服務器、Windows服務器、Route、SWitch、Web管理員等，這些密碼一旦泄露，就不是簡簡單單的小問題，嚴重的將危及企業存亡，所以解決弱口令問題是企業發展的基石。

據圈內朋友所說，他們采用的一套CKEY DAS的雙因素動態認證系統，最終實現登錄用戶名和密碼的同時，還需要輸入一個動態密碼，該動態密碼的載體為軟件APP、硬件令牌或者短信，且可以結合使用，各有利弊，該動態密碼不停的變換，共有10的6次方種可能，并且有嘗試登錄次數限制，非常有效的解決他們內部信息安全管理的問題，他們的應用場景為openvpn和Citrix桌面虛擬化，結合CKey DAS解決弱口令的問題，目前運行一切正常。

傳言CKEY DAS的抱負是要與RSA一決雌雄，在目前的短信認證、APP認證、硬件令牌認證的基礎之上，后期將增加指紋認證、虹膜認證等生物識別，讓企業快速跨進未來，作為IT圈中的一員，能看到國內企業不斷趕超國外企業是非常興奮的，CKEY DAS與RSA之間的角逐我個人非常期待。

【項目的具體需求和詳細過程】

在項目開發中，遇到了以下問題：

項目中，面向的用戶有PC操作員、手機用戶等，不同的用戶登陸邏輯所在微服務，不一定是一套，甚至有可能來自不同的團隊開發維護，那么導致鑒權時需要到處請求；

解決思路：

提出一個統一認證中心，對所有的登陸邏輯做統一處理，此服務可調用 不同的管理系統，如：操作員系統、終端用戶系統、QQ開放平臺等，可復合調用組裝，再將結果返回；

實現架構圖：

說明：

1. API Gateway(orange): 網關，可進行：分流、token認證、API鑒權、https轉為http; (需提前將角色與API關系、應用id與API的關系進行存儲，以供以后API鑒權使用)

2. Auth: 用戶管理中心，作用：管理租戶信息、操作員信息、角色、API權限等；

3. 用戶管理：市場用戶管理系統，即to Client的用戶管理系統；

4. 設備管理：是指終端設備系統，包括設備導入 ，設備分配等功能；

5. 業務組件A、業務組件...：指通用的業務微服務；

6. 統一認證中心：指進行操作員、to C用戶、設備所有相關系統登陸的統一處理中心，可以調用不同的系統，進行組織查詢，最后返回登陸所需信息，如：token、credentialToken 等；

7. API聚合組件A、API聚合組件...：對外提供API接口，一個接口可以對內的請求次數，以達到對外提供功能性API的目的；將來也可在此基礎上做一些open API的業務；

?舉個栗子：

手機APP用戶登陸：

1. 用戶在手機APP端輸入用戶名、密碼，請求后臺時，需要APP自動加上應用id及憑證；

2. 通過 API Gateway,進行分流、https轉換成http;?

3. 到統一認證中心進行登陸請求；

4. 統一認證中心再訪問Auth層，查詢到相關邏輯，再返回給統一認證中心；

5. 統一認證中心再訪問to C用戶管理系統，查詢到相關邏輯，再返回給統一認證中心；

6. 統一認證中心生成相應的token，返回給前端系統；

總結

一個IT社區很早就意識到傳統密碼不能確保重要數據的可靠安全性，因為它們很容易被攻破。 2FA提供了額外的數據保護措施，加強了公司對其信息安全的信心。上述所有的2FA解決方案均支持移動令牌，并提供靈活的認證方式。但是，一些供應商已經進一步嘗試著重于基于風險的方法。

如果您的公司使用大量基于Saas的應用程序，則SecureAuth IdP和Okta Adaptive MFA等解決方案將尤為適合。如果您的公司經常與第三方組織進行互操作，并且需要為他們提供有限的網絡資源訪問權限，那么SecurAccess將是一個明智的選擇。如果您主要考慮內部部署解決方案，那么SecurID和CA Strong Authentication是您最好的選擇。如果您喜歡高級報告和欺詐檢測功能，那么Vasco IDENTIKEY和賽門鐵克VIP值得考慮。

【參考資料】

1、設置 MFA Alibaba Cloud Documentation Center https://www.alibabacloud.com/help/zh/doc-detail/28635.htm

2、2018年多因素身份驗證(MFA)行業現狀及發展趨勢分析 (目錄)_百度文庫 https://wenku.baidu.com/view/90c39ea329ea81c758f5f61fb7360b4c2e3f2aec.html

3、7個最佳的雙因素認證解決方案 https://baijiahao.baidu.com/s?id=1591527103024291221

4、首頁 . 認證云IDaaS平臺 https://www.idsmanager.com/

5、統一身份認證服務 IAM - 管理與部署 - 產品 - 華為云 https://www.huaweicloud.com/product/iam.html ?（免費的哦）

6、Wicresoft - 安全身份認證及訪問控制管理 http://www.wicresoft.com/cn/services.aspx?navid=247

7、身份認證產品_ iToken身份認證_管理系統_上訊信息 http://www.suninfo.com/view-2104.html

8、深圳竹云科技有限公司-身份認證方案 http://www.bamboocloud.com/list_94.aspx

9、改造Nginx，讓郵件系統也支持雙因子驗證 - FreeBuf互聯網安全新媒體平臺 | 關注黑客與極客 http://www.freebuf.com/articles/network/135640.html

10、為SSH登錄建立雙因子驗證機制(谷歌身份驗證器) - CSDN博客 https://blog.csdn.net/bwlab/article/details/51321746

11.?https://blog.csdn.net/haponchang/article/details/93869852

總結

以上是生活随笔為你收集整理的统一身份认证平台的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。