智能儀表運行的分層計算
授權服務系統由于環境不同于企業內網環境,為了防止各種人員,包括軟件廠商對平臺用戶數據的非授權訪問,平臺針對部署在平臺的各項應用的訪問做統一的授權管理。
根據目前的應用都是架構的事實情況,我們認為做到對各項資源的一級授權,也就是對部署在平臺的應用的做統一控制,就可以滿足當前的業務需要。平臺授權服務模塊的設計采用的是一級授權方式,它僅決定用戶是否有訪問應用系統人口的權限,不涉及應用系統內部的授權。
用戶訪問應用系統之前,必須經過一級授權驗證,一級授權驗證的執行位置應用是在統一認證之后,而在訪向所有需要保護的應用資源之前。由于一級授權的設計與實現不需要應用內部的知識,因此可以在平臺上加以實現。
采用的策略結構如下所示策略二主題集十條件集規則集主題二角色用戶組組織條件地址時間驗證級別驗證模式規則二一級授權服務資源十活動活動是指允許禁止訪問操作總體而言,策略與權限管理的架構基于模型。
其中,代表策略判定點,是策略的提供者代表策略執行點,是策略的使用者。在架構中,提供服務,包括策略的定義、存儲、配置和判定,這些服務通過策略判定與策略管理向外部應用提供是應用中根據策略判定結果執行應用邏輯的部分。
授權服務系統實施的基本流程如下首先在各應用服務器上安裝竹訪問的代理程序。根據每項應用,平臺會創建相關的角色,同時通過簡單的配置,授權這些角色可以訪問某項應用。安裝在應用服務器端的代理程序會根據訪問的用戶身份,同平臺的資源授權服務器聯系,判斷用戶的隸屬角色和該類角色的權限,確定用戶是否可以訪問部署在應用服務器上的應用程序。
當角色和權限匹配后,用戶就可以訪問這些應用。二身份管理系統的設計。平臺的身份管理系統是本系統的關鍵技術之一。身份管理系統為平臺用戶的管理側共了統一的接口。平臺的身份管理系統是一個標湘應用,它通過部署于其本身服務器端不是要管理的應用系統一端的資源適配器創建和管理在各個應用系統上的用戶帳戶,這樣使得集成時對應用系統的影響最小。
對于一個將要集成到平臺的應用來說,根據應用的業務流程,將創建和維護用戶基本身份信息的任務接管過來。當創建某個新用戶時,根據預先定義好的規則在中央主目錄服務器中創建,并通過資源適配器將用戶的屬性逐項復制到各個應用系統,完成創建相應的用戶信息的流程。
更新后的用戶信息同時被復制到安全認證系統中,授權阻止用戶使用相關的資源。刪除用戶也是同樣原理。如圖所示,中創建的企業用戶通常以兩種方式同步到應用系統的數據庫表中應用系統適說舀適說腸甘紐透說舀用鍵轉應用系統適硯舀,遂硯舀適硯舀應用系魏道說舀應用系統中心徽璐且圈系統中創建企用戶對于一些典型應用來說,最簡單的方式就是通過系統提供的比如與應用的數據庫建立連接,將應用系統數據庫中的主要用戶身份信息與建立映射關系,這樣,在系統中對用戶信息的操作增加、刪除、修改會直接同步到應用中。
其中,系統和服務器的集成是通過適配器完成的,和關系型數據庫如等是通過資源適配器完成的,和叮以及的集成是通過適配器和網關一起實現的,和服務器的認證系統的集成是通過資源適配器完成。
總的來說,身份管理系統為應用系統和平臺之間提供了一個靈活的管理接口,比如創建用戶、檢查用戶狀態、刪除用戶、更新用戶狀態等接口。通過這些接口,方便了應用系統身份管理模塊和平臺的集成整合。
【中國糧油儀器在線】部分信息來自互聯網,力求安全及時、準確無誤,目的在于傳遞更多信息,并不代表本網對其觀點贊同或對其真實性負責。
