基于企業(yè)門戶統(tǒng)一認證系統(tǒng)的設計研究

許燕梅

摘要：文章分析了企業(yè)門戶采取統(tǒng)一身份認證的必要性，以及統(tǒng)一身份認證的設計目標和設計方案，最后提出如何實現(xiàn)統(tǒng)一用戶管理，為企業(yè)進行門戶網(wǎng)站的運行提供參考。

關(guān)鍵詞：企業(yè)門戶；統(tǒng)一身份認證；必要性；設計；實現(xiàn)

1 引言

隨著信息技術(shù)的不斷發(fā)展，各個企業(yè)都建立了比較健全的信息化系統(tǒng)，且建立了自己的門戶網(wǎng)站。這些信息化技術(shù)的應用，極大地提高了企業(yè)的運行和工作效率，但隨著企業(yè)規(guī)模的不斷擴大，門戶網(wǎng)站的運行增加，使企業(yè)的信息化系統(tǒng)管理面臨巨大的挑戰(zhàn)。因此需要建立統(tǒng)一的身份認證系統(tǒng)，涵蓋企業(yè)的各個部門、區(qū)域和涉及領(lǐng)域、網(wǎng)站，為員工和領(lǐng)導使用提供便利。

2企業(yè)門戶采用統(tǒng)一身份認證的必要性

隨著企業(yè)的規(guī)模逐漸擴大，人員增多，給信息化管理帶來一定難題，尤其是各個信息系統(tǒng)之間的身份驗證問題。因為系統(tǒng)之間的關(guān)聯(lián)性不大，所以在登錄每個系統(tǒng)前都要進行驗證，而且有時身份信息的注冊標準和模式還不統(tǒng)一，這就意味著同一位員工或領(lǐng)導者需要準備不同的驗證信息來登陸不同的管理系統(tǒng)，這就大大浪費了時間和精力。因此建立一個統(tǒng)一的內(nèi)部工作門戶，使企業(yè)內(nèi)部所有用戶都通過統(tǒng)一的入口集成資源和應用，進行系統(tǒng)的登陸和身份驗證。這樣一來用戶只需要登錄一次就能訪問門戶上的所有系統(tǒng)，避免了多次重復認證的麻煩，實現(xiàn)不同資源和信息的獲取，使之可以從中獲取需求的不同信息。該門戶能夠為用戶提供一站式的全面信息服務，為用戶解決多個弊端，比如用戶需要記憶多個賬戶和密碼；無法進行統(tǒng)一授權(quán)；管理成本增加等。

3企業(yè)門戶采用統(tǒng)一身份認證系統(tǒng)的設計目標

企業(yè)門戶采取統(tǒng)一身份認證系統(tǒng)的設計目標是為了給用戶提供一站式、全面的服務，以及為不同職位或身份類別用戶提供給新年規(guī)劃服務；實現(xiàn)統(tǒng)一的用戶管理、認證、安全控制；門戶的管理員可以實現(xiàn)對用戶的單點管理；還有就是實現(xiàn)信息集成，將企業(yè)內(nèi)部管理所涉及的信息集中到一個門戶中，設立不同的類目進行區(qū)分，方便用戶查詢不同信息。

4企業(yè)門戶采用統(tǒng)一身份認證系統(tǒng)的設計方案

4.1門戶系統(tǒng)功能設計

企業(yè)的門戶系統(tǒng)面向的是所有員工，用于辦公和管理的信息集成平臺。因此系統(tǒng)功能主要是對內(nèi)部管理信息的整合和組織管理，并借助內(nèi)部數(shù)據(jù)資源的重組和利用，實現(xiàn)內(nèi)部資源信息的共享和溝通。這樣一來門戶系統(tǒng)需要包括門戶平臺、信息發(fā)布、知識庫、數(shù)據(jù)展現(xiàn)、人員管理、統(tǒng)一認證和綜合辦公等類目，這個具體由不同的企業(yè)根據(jù)企業(yè)發(fā)展實際來安排。在門戶中需要為用戶提供文檔、數(shù)據(jù)報表、搜索、協(xié)同工作過等服務器，還建立財務、培訓、遠程管理、人事管理、保衛(wèi)等系統(tǒng)；數(shù)據(jù)庫包括人員、業(yè)務、數(shù)據(jù)查詢等。通過這個門戶系統(tǒng)的功能架構(gòu)，實現(xiàn)計算機系統(tǒng)的決策支持作用。

4.2用戶管理和單點登錄設計

同一用戶管理就是在門戶系統(tǒng)的基礎(chǔ)上，由企業(yè)管理人員提供基于LDAP的用戶目錄，將所有的用戶信息進行錄入、存儲、認證和管理。管理人員還能實現(xiàn)用戶的批量創(chuàng)建、刪除和管理，實現(xiàn)高效統(tǒng)一的用戶管理。門戶系統(tǒng)還提供集中的和策略的用戶身份認證和權(quán)限授予，為不同層次和崗位的用戶提供不同的權(quán)限設置。另外門戶系統(tǒng)管理方還可以實現(xiàn)某一位用戶的單點管理，比如該用戶違紀、辭職等時，可以由管理人員進行標記或刪除。以企業(yè)門戶Portal為例，如圖1所示。

4.3統(tǒng)一認證設計

對于門戶系統(tǒng)的統(tǒng)一認證設計，一般是以TAM作為單點登錄的基礎(chǔ)，一個TAM的結(jié)構(gòu)由訪問者、策略執(zhí)行者和目標組成。在TAM中，主要有兩個功能組件，一是安全維護主授權(quán)數(shù)據(jù)庫，處理出現(xiàn)訪問受限、認證和授權(quán)請求；還有一個是你想代理安全服務器，處理所有的內(nèi)部請求。在實際操作中，要想借助TAM實現(xiàn)單點登錄，一般都需要結(jié)合本企業(yè)門戶系統(tǒng)的特點對系統(tǒng)進行一定的改變。因此為了減少這個改變，節(jié)約系統(tǒng)運行的時間和成本，門戶系統(tǒng)將進行統(tǒng)一認證設計成兩步實施的過程。

首先是Portal用戶身份認證，該功能是借助TAM實現(xiàn)的，TAM對訪問的用戶進行論證，根據(jù)存儲的用戶身份信息，設置一定的認證方式，比如問題回答、圖片認證等，對用戶進行認證之后，TAM會根據(jù)配置產(chǎn)生相應的記錄，對該用戶進行權(quán)限記錄，在隨之而來的時間內(nèi)用戶對門戶各個平臺進行訪問時，就不需要用戶再次認證，這樣就實現(xiàn)了與TAM的集成。

其次是集成系統(tǒng)用戶的身份認證，用戶經(jīng)過認證進入門戶平臺后，需要經(jīng)歷集成系統(tǒng)的再次身份認證才能繼續(xù)訪問應用系統(tǒng)。為了減少對集成系統(tǒng)的改造，節(jié)約系統(tǒng)運行時間和成本，集成系統(tǒng)用戶進行身份認證時是通過建立Portal系統(tǒng)用戶與后臺信息系統(tǒng)用戶的映射關(guān)系實現(xiàn)的，主要是借助門戶的“用戶數(shù)據(jù)庫”實現(xiàn)多項信息服務的統(tǒng)一登錄管理，而用戶訪問集成系統(tǒng)時的權(quán)限由具體的應用系統(tǒng)管理。

最后是Portal系統(tǒng)與集成系統(tǒng)的賬號關(guān)聯(lián)，對于這個問題是通過待登錄方式實現(xiàn)的，也就是借助一種安全的密碼管理方式，存放用戶在各個系統(tǒng)中的用戶憑證，和總的用戶數(shù)據(jù)庫建立映射關(guān)系，在某個用戶登錄門戶之后，進行應用系統(tǒng)之前，由門戶根據(jù)這個存放記錄幫助用戶實現(xiàn)一次登錄操作，用戶無需在輸入賬號、密碼等憑證信息。這個問題比較麻煩的一點是用戶在不同系統(tǒng)中憑證出現(xiàn)變更的管理，因此實施起來有一定難度。

4.4數(shù)據(jù)結(jié)構(gòu)設計

通過對系統(tǒng)的分析，收集應用類型，形成應用目錄結(jié)構(gòu)，做成一個系統(tǒng)的目錄樹，這里邊包括所有的應用和用戶節(jié)點。前者包含集成系統(tǒng)的名稱、用戶標識、用戶口令標識、登錄地址或窗口四部分；后者包括應用系統(tǒng)名稱、門戶用戶標識、集成系統(tǒng)用戶名和用戶口令四部分。在統(tǒng)一身份認證平臺匯總，借助目錄服務技術(shù)實現(xiàn)對用戶身份信息和應用系統(tǒng)信息的存儲和管理。

4.5授權(quán)服務系統(tǒng)

完成用戶身份認證設計后，重點是對于用戶登陸到門戶后的權(quán)限限制問題。對于用戶權(quán)限的授權(quán)，分為兩種：一是由門戶資源和集成系統(tǒng)進行授權(quán)管理，前者使用基于角色的授權(quán)管理模式，先定義角色對資源的訪問權(quán)限，再定義用戶或用戶組對應的角色。二是由各個應用系統(tǒng)自己進行授權(quán)管理，安排給用戶的權(quán)限或限制行為。

5統(tǒng)一用戶管理的實現(xiàn)

統(tǒng)一用戶管理的關(guān)鍵是在身份認證的基礎(chǔ)上實現(xiàn)應用系統(tǒng)和各個服務器用戶信息的同步，因此需要定期對用戶信息進行重新掃描，對于人員流動性小的企業(yè)，時間可以安排一個月或一年以上，而對于流動性較大的企業(yè)，比如說銀行，可以安排一個周更新一次。有管理員收集人員變動信息之后，登錄到門戶的管理界面進行人員信息的增、刪、查、改操作，然后同步到TIM和身份認證等系統(tǒng)中。對用戶信息進行同步之后，借助上述系統(tǒng)設計實現(xiàn)用戶的身份認證，以及權(quán)限授予，最終對訪問用戶進行統(tǒng)一管理。

6結(jié)語

在企業(yè)內(nèi)部實施統(tǒng)一的用戶身份認證工作，可以提高管理效率和便捷性。統(tǒng)一身份認證系統(tǒng)經(jīng)設計以來得到了很好的實施反饋，但也存在一些問題需要改進。

參考文獻：

[1]趙菁.基于企業(yè)門戶統(tǒng)一認證系統(tǒng)的設計與實現(xiàn)[J].信息安全與技術(shù)，2012，（7）：27-29.

[2]趙華，王海闊，楊蘭娟，申麗君.統(tǒng)一身份認證在信息化企業(yè)中的應用研究[J].電腦知識與技術(shù)，2011，7（24）：5916-5917.

[3]黃飛飛.基于SOA架構(gòu)的企業(yè)統(tǒng)一用戶身份認證平臺研究[J].中國管理信息化，2016，19（19）：56-58.

[4]高超.企業(yè)統(tǒng)一認證及權(quán)限管理系統(tǒng)的設計與實現(xiàn)[D].南開大學，2015.