1整合概述2整合方案3相關產品規劃渠道整合三部曲用戶的整合構建統一用戶體系，將分散在不同業務系統中的用戶進行統一管理，為用戶提供唯一用戶名與密碼認證方式的整合構建統一認證體系，基于SAML、OAuth，以及WSA等方式，實現對業務系統訪問、使用的統一認證與單點登錄業務的整合構建統一業務平臺，實現對業務的一鍵開通，實現對業務數據的聚合訪問整合能夠帶來哪些收益業務收益平臺收益賬戶聚合，用戶只需記住一個用戶名與集中實名認證降低用戶使用難度，提高系統易用性簡單快速便捷的 應用，信息聚合管理，一個平臺便覽所有資產平臺收益業務，隨時隨地管理資產允許客戶輕松開通、至少增加2倍客戶

量減少50%以上客戶流失改善客戶關系增強客戶粘性平臺收益1整合概述2整合方案3相關產品規劃整合方案設計原則基于標準協議實現與業務系統的集成使用成

AccessMatrix與YESsafe產品線構建方案向業務系統提供少量API，不提倡API方式集成邏輯 處理，減少與用戶的交互，提升用戶體驗整合方案內容用戶業務賬戶綁定認證業務聚合管理用戶用戶輕量級方案整合Web應用以蘭州銀行為基礎，提供用戶與用戶綁定、修改、找回等自服務完善數據結構，擴展業務賬戶信息管理功能擴展 管理功能，加強異常賬戶的處理擴展實名認證功能擴展對SP服務的管理重量級方案以UIM為基礎，提供用戶

、管理、綁定、自服務等一系列用戶管理相關服務UIM提供 服務，同時需要提供客戶化的自服務擴展實名認證功能擴展對SP服務的管理業務賬戶綁定—輕量級方案基于標準協議的Just

In

Time

Provisioning賬戶綁定綁定動作由業務系統主動完成業務邏輯由業務系統實現基于SAML實現通過

認證后用戶在

業務系統時，SAMLResponse中將含有用戶的所有屬性信息信息業務系統獲得用戶屬性信息后，判斷該用戶是否在業務系統中存在如不存在則為用戶開通該業務如存在，則為用戶生成業務session，完成登錄操作，允許其此邏輯由業務系統把控，在此過程中，還可添加對業務系統老賬戶的用戶名

驗證，然后實現與

賬戶的保定業務系統完成業務開通或賬戶綁定后，可調用

整合平臺的接口將業務系統相關信息返回給

整合平臺（可選）基于OAuth實現（需確認此功能目前是否可用？）過程同上，業務系統也可使用OAuth接口獲取

用戶的所有信息業務賬戶綁定—重量級方案基于UIM實現業務賬戶的主動開通綁定、業務賬戶開通動作由UIM完成，業務系統 接受業務系統需提供賬戶管理相關API基于UIM

Provisioning機制實現基于業務系統提供的接口，UIM端需要開發相應的Connector當用戶

完

賬戶后，UIM自動將相關信息推送到業務系統中也可由用戶選擇開通何種業務后，UIM將相關信息推送到特點的系統中當用戶通過單點登錄

業務系統時，平臺將用戶唯一標示傳遞到業務系統中業務系統根據此標示，完成登錄操作認證認證兩個過程用戶登錄過程可細分為認證與認證校驗用戶名是否存在校驗

是否正確強認證方面認證代表協議SAML?校驗用戶是否有校驗用戶是否有代表協議OAuth某個系統的權限某個URL（資源）的權限–在AM5中可對用戶分組，并且指定該用戶組可以哪些SP或資源認證–網頁端

SAML模式基于SAML網頁端的

認證–

對于

網絡域的應用，如與基于SAML實現

認證在業務系統界面上選擇

認證登錄時，需跳轉到

認證界面實現用戶名和

的輸入，完成登錄登錄模式細分為兩種，SP發起的SSO認證與IDP發起的SSO認證需詳細了解SAML的交互機制，依然可以保證其安全性SAML的安全性SAML雖然通過HTTP協議進行通過HTTPS對通信信道進行加密通過XML

encrypt對數據進行加密SP端接收到SAMLResponse后需要使用對應的私鑰才可的交互方式–另外對用戶屬性的獲取，也可基于SAML的Artifact通過在獲取SP發起的SSO認證IDP發起的SSO認證認證–網頁端

WSA模式基于WSA實現網頁端的 認證–

對于同一個域的應用，實現

認證與通過WSA的方式業務系統需要部署WSA到系統中，并且客戶化WSA中的登錄界面所有登錄的控制將由業務系統自身完成，用戶體驗較好認證通過后將通過Header返回相應的用戶屬性傳遞給業務系Header的安全性如何避免header在瀏覽器中被篡改的安全性問題？Header是由WSA產生的WSA相當于嵌入在業務系統中的一段代碼、如過濾器WSA處理完登錄請求后，將含有用戶屬性的header直接在統中的相應模塊所以此header不會出現在瀏覽器中，即沒有機會被篡改認證–網頁端

SAML與WSA融合模式為簡化業務系統處理SAMLResponse的難度，WSA中添加了對SAMLResponse的處理機制WSA將自動對SAMLResponse進行簽名認證等處理WSA將自動解析SAMLResponse，并將相關屬性、用戶組信息封裝到header中通過header進行屬性傳遞，方便業務系統的調用此種方式需要SP中部署有AM5如果沒有DNS

SSO怎么做？認證–移動端移動端APP的 單點登錄通過OAuth協議實現需設定一個APP為移動登錄的主APP，此APP通過XML-RPC實現的認證時，需獲得用戶的

，此

通過OAuth用戶名和其他應用在協議實現不使用SAML的原因SAML需要通過多次跳轉來達到系統間交互的目的APP默認情況下無如瀏覽器一樣自動跳轉的機制理論上可行，實現起來不簡單認證–移動端在認證和

的過程中涉及的 包括：–1、服務提供方（SSO

App），用戶使用服務提供方來受保護的資源，如

，

，聯系人列表。–2、用戶，存放在服務提供方的受保護的資源的擁有者。–

3、客戶端（MobileApp），要

服務提供方資源的第應用，通常是

或者移動應用。在認證過程之前，客戶端要向服務提供者申請客戶端標識。認證–移動端使用OAuth進行認證和的過程如下所示:–

用戶

客戶端的應用(Mobile

App)，該應用已將用戶的登陸認證交由服務提供方（SSOApp）–客戶端向服務提供方請求一個。令牌（Access

Token）。服務提供方驗證客戶端的 后，授予一個

令牌?？蛻舳双@得臨時令牌后，將用戶引導至服務提供方的 頁面請求用戶

。用戶在服務提供方的應用中進行登錄驗證，然后

該客戶端所請求的資源。成功后，服務提供方引導用戶返回客戶端的應用。客戶端使用獲取的

令牌來確認登陸的狀態，以及

存放在服務提供方上的受保護的資源。認證 –

OAuth的擴展、API邂逅、管理移動APP通常使用基于REST

API進行開發如果不能控制好RESTAPI的權限將導致APIAPI

等危害通過OAuth協議，可實現對REST

API的由OAuth 應用對特定API的使用此模式使用與銀行多APP終端情況銀行超級APP，集成眾多服務，各業務以API形式提供服務垂直APP，一個業務一個APP，APP端也是通過接口調用實現業務展現以上模式都需要很好的控制API的需要一個平臺，

管理移動端API此模式需要AM5向外提供OAuth服務認證 –

移動端SAML不使用SAML的原因SAML需要通過多次跳轉來達到系統間交互的目的APP默認情況下無如瀏覽器一樣自動跳轉的機制理論上可行，實現起來不簡單從安全性與未來的集成便利性考慮實施過程中需提供基于HTML5的認證機制此認證可基于SAML來實現認證移動端不使用SAML的原因SAML需要通過多次跳轉來達到系統間交互的目的APP默認情況下無如瀏覽器一樣自動跳轉的機制理論上可行，實現起來不簡單從安全性與未來的集成便利性考慮實施過程中需提供基于HTML5的認證機制此認證可基于SAML來實現第

平臺可分為兩種，認證平臺與認證平臺：如

、

、 等第?：指如SAAS辦公應用、差旅用戶體系等，向外提供服務，同時使用外部用戶體系的應用，如gmail,salesforce等對于認證平臺采用OAuth集成，對于通過UAM的細粒度權限控制靈活設置第采用SAML進行集成認證權限第

認證與集成SAAS服務服務其他服務OAuthSAML整合平臺業務聚合管理業務聚合管理的整合平臺可提供業務Portal通過此Portal用戶可實現業務的

管理，如一鍵開通等通過與各系統業務接口的集成，可實現對業務數據的聚合展現用戶在一個portal就可便覽所有業務情況1整合概述2整合方案3相關產品規劃產品規劃??用戶管理在蘭州銀行 整合基礎上，完

戶

、

管理等功能基于UIM5.3.3產品，進行客戶化開發，完善自服務等功能聯合合作伙伴，實現實名認證功能認證UAS通過PAM實