方案背景
眼下高校、高职的大部分业务系统已经实现了Web信息化改造,通过统一认证平台SSO实现身份认证,用户只需要认证一次,所有业务系统就都能实现单点登录。
另外大部分高校、高职都有校园门户站点,门户站点是校园所有业务系统的统一入口(包括图书馆等数据库资源)。
用户需求
外网VPN访问Web类资源免客户端、免插件、无感知 , 解决图书馆资源地址变化问题,移动门户集成VPN,外网无感知访问。
教师、学生在外网环境访问业务系统无需安装VPN客户端/插件;登录统一认证平台后,无需再输入VPN帐号密码即可通过VPN访问业务系统,实现单点登录、一站式无感知体验。
学校购买的图书馆资源必须经过一个统一的互联网IP来访问(图书馆资源一般只放行给某个IP/帐号),因此需要通过VPN来实现图书馆资源的发布。
图书馆资源的某些数据库站点地址经常变更,导致学生难以找到图书馆资源的某些数据库站点;这也同时导致信息中心维护工作量巨大,且用户满意度低;因此需要实现只发布图书馆资源站点,即可访问图书馆资源站点下链接的各数据库站点,不受数据库地址变化的影响。
大部分高校已经开始进行移动化建设,教师、学生多数更喜欢使用校园APP来进行选课,因此校园APP需要集成VPN功能,实现登录无感知,以便学生通过4G网络访问校内业务系统。
深信服解决方案
针对高校校园信息化统一门户,深信服提供面向PC端的Web门户、移动门户均实现无感知的统一接入解决方案,满足高校信息化统一门户不同建设阶段的接入需求。
方案组件一:Web 反向代理解决方案(Web VPN)
登录流程
学生、老师、教职工——通过访问学校发布的统一域名——跳转到校园统一认证平台——输入学号/职工号/密码——跳转到资源列表页面——点击对应的业务资源——单点登录/二次认证。
核心优势
整个过程网页直接登录,且支持单点登录,无需下发插件和安装客户端;
通过泛域名的技术,解决图书馆资源数据库站点地址不断变化的问题;
兼容市场主流的PC浏览器;
独立日志中心提供详尽报告,记录客户访问痕迹,提高管理安全性;
支持Web优化技术,可针对页面元素动态调整为适合终端使用的效果,提高用户终端体验。
使用场景
此方案针对校内学生、老师在外网访问校园图书馆资源的场景,可实现一站式无感知Web资源登录。
方案组件二:L3VPN全局VPN的资源访问解决方案
登录流程
1、如果用户未安装VPN客户端,会提示并要求先安装VPN客户端。
2、如果用户已安装VPN客户端,通过网页端/客户端认证成功后会直接唤起VPN客户端,建立VPN通道,数据采用SSL加密方式进行传输。
核心优势
支持多达9种身份认证方式,其中包含随机验证码认证(动态口令),最大限度保障用户接入身份的合法性;
通过标准加密算法和国密加密算法两种算法来保障数据传输安全;
在用户结束访问以后会自动清除Cookies、临时文件等遗留在客户端计算机上的信息,实现“零痕迹”访问, 避免安全隐患;
兼容市场主流的PC /移动终端操作系统和浏览器;
独立日志中心提供详尽报告,作为网络规划的依据;日志中心具备管理员权限分级功能,提高管理安全性。
使用场景
此方案针对C/S架构、涉及学生隐私/学校敏感信息的业务资源访问场景。
方案组件三:校园信息化移动门户资源访问无感知解决方案
登录流程
学生/教师/教职工——点击移动门户APP——APP自动调用SDK——后端回传 ticket到VPN设备——认证成功,VPN建立——移动门户资源访问。
核心优势
单边加速功能及多项加速技术能够有效提高访问速度, 提升用户使用移动应用的流畅感;
VPN的身份认证和移动应用的身份认证互相结合,VPN登录对用户完全透明,用户无感知;
结合SSL VPN身份认证安全机制、数据防泄密安全机制、高强度加密机制、细粒度授权机制。
使用场景
此方案针对已经上线校园信息化移动门户APP,学生/教师/教职工通过移动终端快速访问APP内校园门户资源的场景。
方案优势
深信服解决方案能满足高校客户不同业务阶段的需求,三种方案组件相辅相成,在实现无感知访问的同时,借助多重优化技术,提升资源访问的速率;高兼容性,保障用户接入方式能够自由选择;多套安全机制,保障关键业务的数据安全,真正实现更易用、更安全的校园信息化门户的接入方案。
