Sun Identity Server 基于LDAP和Java技术建立的完整的用户管理、访问控制
的服务平台。它具有良好的扩展性、易于维护。详细的信息可以参见《Sun Identity
Server管理手册》和《Sun Identity Server开发手册》
2.1 Sun Identity Server用户信息管理
Sun Identity Server 中的用户按照组织结构管理，人员信息具有层次性，比较
符合企业实际组织结构。这种树状信息被方便的存储在LDAP 目录树中，并利用
LDAP的分布存储能力达到海量用户数据存储和很高的可扩展能力。
Sun Identity Server 管理的用户的属性可以方便的进行扩充，使企业统一用户
管理成为可能。
2.2 Sun Identity Server认证服务
Sun Identity Server遵循JAAS可扩展认证接口实现。内置实现多种认证方式，
并可以开发新的认证模块。
Sun Identity Server认证的配置方式远强于标准的JAAS。它不但提供按资源的
认证配置，还可以选择按照组织、角色等进行配置。另外还实现了帐号锁定、密码重设
等管理功能。
2.3 Sun Identity Server权限服务
Sun Identity Server 中的权限根据资源类型不同细分成多个权限服务。IS中内
置实现了基于URL的资源的权限服务。可以根据实际应用开发新的权限服务。
Sun Identity Server的权限定义：
权限 = 施加在访问主体上的规则
规则 = 基于资源 + 访问动作 + 访问条件的断言
资源 = 描述资源的字符串
访问动作 = 描述动作的字符串
访问条件 = 访问发生时的环境参数，如时间、客户端IP等
2.4 Sun Identity Server用户Session服务
Sun Identity Server维护的用户Session通过具有唯一性的SSOToken标识。用
户Session记录用户此次访问的相关属性，如认证时间、方式、地点，有效时间等。
Sun专业服务部 第 7 页
铁道部电子商务系统（门户）与安全解决方案咨询项目 应用系统安全改造指导
Sun Identity Server 的用户Session 与Web 应用中的Session ， 如ASP
Session或Servlet Session，不同。它不保存任何应用数据，只有认证相关的信息。
应用系统也不能修改里面的数据。
2.5 Sun Identity Server访问认证/授权服务的方法
Sun Identity Server 的认证授权服务运行在服务器端的Web Server 上，服务
通过Servlet 开放给任何客户端。Servlet 可以接收XML 文档格式1的请求，并通过
XML格式的回复传回客户端。
为了简化开发人员直接操作XML的难度，Sun Identity Server提供了Java和C
的认证/授权服务应用开发API。