數(shù)字圖書館移動身份認證系統(tǒng)研究與實踐

王軍輝，錢 慶，周 琴，鐘 明，石艷明，譚宗穎

（1．中國科學(xué)院文獻情報中心；2．中國科學(xué)院大學(xué)；3．中國醫(yī)學(xué)科學(xué)院醫(yī)學(xué)信息研究所）

1 引言

中國互聯(lián)網(wǎng)絡(luò)信息中心第41次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2017年12月，中國手機網(wǎng)民數(shù)量達7.53億人，［1］占網(wǎng)民總數(shù)的97.5%。在圖書館尤其是數(shù)字圖書館領(lǐng)域，借助新媒體手段為讀者提供服務(wù)正逐漸成為常態(tài)。新媒體使得讀者可以利用手機及各種移動終端隨時隨地獲得圖書館的服務(wù)，在時間和空間上大大拓展了圖書館的服務(wù)范圍。然而，隨之而來的一個問題是，如何支持讀者通過移動終端訪問圖書館需要授權(quán)許可的資源，尤其是圖書館購買的各種在線商業(yè)數(shù)據(jù)庫資源。虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）和各種代理工具等傳統(tǒng)的突破物理IP范圍限制的遠程訪問方式，在移動互聯(lián)網(wǎng)環(huán)境下有諸多缺陷和不足，已不能滿足新媒體時代圖書館的服務(wù)需求。因此，圖書館需要提供移動身份認證機制，以支持讀者可以在任何時間、任何地點、任何移動終端訪問圖書館的所有資源。本文在對當(dāng)前面向圖書館領(lǐng)域的移動身份認證產(chǎn)品對比分析的基礎(chǔ)上，以中國醫(yī)學(xué)科學(xué)院/北京協(xié)和醫(yī)學(xué)院圖書館（以下簡稱“醫(yī)科院圖書館”）“協(xié)和統(tǒng)一身份認證”系統(tǒng)為例，嘗試探討圖書館移動身份認證系統(tǒng)的建設(shè)實踐。

2 圖書館移動身份認證功能需求分析

出于知識產(chǎn)權(quán)保護和合理使用的原因，圖書館（尤其是高校圖書館）訂購的商業(yè)數(shù)據(jù)庫資源以及部分自建數(shù)據(jù)庫資源只允許讀者在圖書館（或?qū)W校）IP范圍內(nèi)訪問。為了突破IP限制，傳統(tǒng)的做法是利用VPN或各種代理技術(shù)，幫助合法用戶獲得圖書館各類數(shù)據(jù)庫資源的訪問權(quán)限。其中，VPN的主要原理是通過在公用網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，利用數(shù)據(jù)包加密和目標(biāo)地址轉(zhuǎn)換來實現(xiàn)遠程訪問；經(jīng)典的代理服務(wù)器技術(shù)（Proxy Server）則主要是利用代理服務(wù)器將IP范圍外用戶的訪問請求轉(zhuǎn)換為合法的訪問請求，并將返回信息傳遞給用戶。目前，被國內(nèi)外圖書館廣泛采用的各類代理軟件（EZproxy、匯文電子資源讀者遠程訪問系統(tǒng)、易瑞授權(quán)訪問系統(tǒng)等）則主要基于“URL重寫”技術(shù)，利用預(yù)先配置完成的資源目標(biāo)和代理服務(wù)器之間的映射關(guān)系，將用戶請求轉(zhuǎn)向代理服務(wù)器的請求。本質(zhì)上，上述方式都是將IP許可范圍以外的用戶訪問轉(zhuǎn)換為IP許可范圍以內(nèi)，實現(xiàn)用戶對目標(biāo)數(shù)據(jù)庫訪問地址的相對轉(zhuǎn)換，即“IP轉(zhuǎn)換”，從而支持用戶獲得受保護資源的訪問權(quán)限。IP轉(zhuǎn)換方式目前在圖書館領(lǐng)域應(yīng)用廣泛，但在移動互聯(lián)網(wǎng)環(huán)境下存在以下缺陷。［2,3］

（1）移動訪問兼容性差。讀者利用VPN或代理技術(shù)遠程訪問圖書館資源時通常需要在本地安裝客戶端軟件，隨著技術(shù)升級，部分方式（如SSL VPN、代理軟件等）不再要求安裝客戶端，但仍須在本地瀏覽器中安裝特定的控件或插件。這種控件或插件的安裝對許多用戶來說操作復(fù)雜，且難以兼容各種版本的操作系統(tǒng)和瀏覽器，尤其是讀者通過移動終端進行訪問時，系統(tǒng)兼容性更差。另外，出于安全性考慮，許多VPN技術(shù)或代理軟件都要求用戶配合特定的USBKey進行雙重認證后訪問，而手機及各類移動終端一般并不提供USB數(shù)據(jù)接口。

（2）發(fā)現(xiàn)系統(tǒng)支持不足。利用基于統(tǒng)一元數(shù)據(jù)倉儲（本地和云端）的發(fā)現(xiàn)系統(tǒng)向讀者提供一站式集成檢索服務(wù)，已成為專業(yè)和高校圖書館的服務(wù)常態(tài)。讀者通過發(fā)現(xiàn)系統(tǒng)獲得的資源可能來自圖書館本地或訂購的在線數(shù)據(jù)庫中的任意來源，而基于URL重寫的代理軟件只能針對每個數(shù)據(jù)庫分別配置轉(zhuǎn)換地址，讀者必須逐一通過轉(zhuǎn)換后的地址才能獲得相應(yīng)數(shù)據(jù)庫的訪問權(quán)限，無法利用發(fā)現(xiàn)系統(tǒng)的返回結(jié)果單點登錄直接獲得所有數(shù)據(jù)來源的訪問權(quán)限。另外，部分不支持URL重寫的數(shù)據(jù)庫無法通過代理軟件訪問。

（3）用戶信息難以集成。理想狀態(tài)下，讀者可以利用已有的賬戶信息直接登錄遠程訪問系統(tǒng)進而獲取相應(yīng)資源的訪問權(quán)限。而在實際應(yīng)用時，無論是利用VPN還是代理軟件，圖書館都必須要為讀者創(chuàng)建專門的用戶名和密碼信息，盡管可以和圖書館已有的用戶賬戶信息（如學(xué)生證號、讀者卡號等）進行集成，但都需要進行專門的定制開發(fā)，技術(shù)難度較大。

基于上述分析，筆者認為，移動互聯(lián)網(wǎng)環(huán)境下圖書館的移動身份認證系統(tǒng)至少應(yīng)滿足以下4個方面的基本要求：① 支持讀者利用各類移動終端友好訪問圖書館受保護的資源；② 支持讀者通過發(fā)現(xiàn)系統(tǒng)無縫訪問各個數(shù)據(jù)的資源；③ 支持讀者對圖書館本地資源和訂購的商業(yè)資源的單點登錄訪問；④ 支持讀者利用已有賬戶信息直接登錄訪問。區(qū)別于“IP轉(zhuǎn)換”的技術(shù)路徑，以 Shibboleth［4］和 OpenAthens［5］為代表的“ID認證”技術(shù)完全擺脫了IP認證的理念，支持用戶通過賬號直接訪問商業(yè)性學(xué)術(shù)資源。與傳統(tǒng)的由數(shù)據(jù)庫服務(wù)商各自管理用戶賬戶不同，“ID認證”方式支持由圖書館在本地管理和維護自身的用戶賬戶數(shù)據(jù)。配合特定的本地化策略，ID認證方式可以很好地滿足移動互聯(lián)網(wǎng)環(huán)境下圖書館遠程訪問的基本需求。

3 圖書館移動身份認證產(chǎn)品分析比較

3.1 Shibboleth

Shibboleth是目前全球范圍內(nèi)應(yīng)用最廣泛的聯(lián)邦式身份認證解決方案之一，它起源于2000年美國Internet2組織［6］的一個網(wǎng)絡(luò)中間件項目，在和結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進組織（OrganizationfortheAdvancementofStructuredInformationStandards，OASIS）的安全聲明標(biāo)記語言（SecurityAssertionMarkupLanguage，SAML）工作組合作之后，Internet2于2003年發(fā)布了Shibboleth1.0版本，并迅速被教育和科研領(lǐng)域廣泛采用。目前，Shibboleth已從Internet2分離出來，由 Shibboleth聯(lián)盟（ShibbolethConsortium）獨立運營，現(xiàn)在的系統(tǒng)為2008年發(fā)布的Shibboleth2.0版本。

作為一個開源軟件系統(tǒng)，Shibboleth主要由身份提供者 （Identity Provider，IdP）、服務(wù)提供者 （Service Provider，SP）和可選的發(fā)現(xiàn)服務(wù)（Discovery System，DS）三部分構(gòu)成。其中，IdP組件需要安裝部署在圖書館內(nèi)部，主要負責(zé)讀者信息管理和身份認證。當(dāng)收到SP發(fā)來的讀者認證請求時，IdP負責(zé)將認證結(jié)果反饋給SP。SP組件由數(shù)據(jù)庫服務(wù)商部署在數(shù)據(jù)庫服務(wù)器端（圖書館也可以在本地同時安裝SP，從而為自建數(shù)據(jù)庫資源提供Shibboleth訪問服務(wù)），主要根據(jù)IdP反饋的讀者認證信息對讀者進行訪問權(quán)限驗證和控制，為合法用戶提供訪問授權(quán)的同時保護自身受限資源。DS組件的主要作用是在SP不能直接確定讀者所屬IdP時，通過和讀者的交互來輔助確定讀者所屬的IdP，即WAYF（WhereAreYouFrom）服務(wù)。DS組件一般由數(shù)據(jù)庫服務(wù)商或IdP所加入的認證聯(lián)盟根據(jù)自身情況選擇部署。上述各個組件之間通過SAML協(xié)議實現(xiàn)用戶認證信息和資源訪問權(quán)限等相關(guān)信息的傳遞和共享。

傳統(tǒng)概念中的單點登錄系統(tǒng)一般只適用于在同一個機構(gòu)內(nèi)部的情況，即實現(xiàn)對機構(gòu)內(nèi)部所有相關(guān)資源的一次性登錄訪問。由于采用了SAML協(xié)議框架，Shibboleth可以實現(xiàn)IdP和SP不在同一個機構(gòu)時的單點登錄，即所謂的聯(lián)邦式單點登錄。Shibboleth最突出的特點就在于其支持用戶單點登錄訪問外部服務(wù)的同時還能保護用戶的賬號信息安全。通過部署Shibboleth系統(tǒng)（一般是IdP組件），圖書館可以很容易實現(xiàn)讀者對訂購的在線商業(yè)數(shù)據(jù)庫資源（SP）的單點登錄訪問，且所有讀者的賬戶信息均由圖書館本地管理和維護。讀者基于Shibboleth訪問圖書館訂購的商業(yè)數(shù)據(jù)庫的流程（見圖1，未涉及DS）可歸納為6個步驟：① 讀者訪問圖書館所訂購的在線商業(yè)性數(shù)據(jù)庫資源；② 商業(yè)數(shù)據(jù)庫SP向讀者訪問資源所在的圖書館IdP發(fā)送驗證讀者身份合法性的請求；③ 圖書館IdP將驗證請求返回給讀者；④ 讀者在IdP中輸入賬號信息進行身份驗證；⑤ IdP將驗證結(jié)果發(fā)送給商業(yè)數(shù)據(jù)庫SP；⑥ 商業(yè)數(shù)據(jù)庫SP將資源訪問權(quán)限向通過驗證的讀者開放。

圖1 Shibboleth訪問流程

3.2 OpenAthens

OpenAthens的前身為英國Eduserv公司于20世紀(jì)90年代開發(fā)設(shè)計的用于提供單點登錄服務(wù)的身份和訪問管理軟件Athens系統(tǒng)。Athens最初采用集中認證方式，［7］即所有使用Athens來訪問商業(yè)數(shù)據(jù)庫資源的機構(gòu)都要將其自身用戶的認證信息集中存放在Athens用戶庫中，由Eduserv統(tǒng)一管理維護。首先，Athens會和各個數(shù)據(jù)庫服務(wù)商達成協(xié)議，生成針對每個數(shù)據(jù)庫的訪問權(quán)限列表；然后，購買了數(shù)據(jù)庫的機構(gòu)需要在Athens中注冊生成機構(gòu)用戶賬號，并提交所購買的具體數(shù)據(jù)庫的訪問權(quán)限。這樣機構(gòu)用戶就可以利用A-thens賬號直接訪問自身權(quán)限范圍內(nèi)的所有數(shù)據(jù)庫資源，而不受IP范圍限制。隨著技術(shù)的發(fā)展，Athens一直在向著更開放、更標(biāo)準(zhǔn)化的方向優(yōu)化，并逐漸由集中認證方式向聯(lián)邦式認證方式轉(zhuǎn)變。2007年，Eduserv將SAML標(biāo)準(zhǔn)整合并嵌入在了Athens中，更名為OpenAthens。目前，OpenAthens可以同時支持集中認證和聯(lián)邦式認證。

由于都是基于SAML框架，和Shibboleth系統(tǒng)的IdP和SP組件相對應(yīng)，OpenAthens系統(tǒng)同樣提供Open Athens LA（Local Authentication） 和 OpenAthens for Publisher兩個版本的軟件產(chǎn)品，分別供圖書館和數(shù)據(jù)庫服務(wù)商安裝使用。因此，理論上OpenAthens聯(lián)邦式認證的具體流程和前述的Shibboleth訪問流程是完全相同的。OpenAthens和Shibboleth的主要區(qū)別在于OpenAthens還保留集中認證模式，即不僅支持圖書館在本地通過OpenAthens LA管理和存儲自身讀者信息，也支持圖書館在不安裝OpenAthens LA的情況下將其讀者信息保存在OpenAthens Cloud中，由OpenAthens統(tǒng)一管理。圖書館可以根據(jù)自身情況選擇不同的方案。讀者通過OpenAthens集中認證方式訪問圖書館訂購的商業(yè)數(shù)據(jù)庫時，利用自身賬戶信息登錄OpenA-thens門戶，可以在MyAthens界面直接訪問有相應(yīng)權(quán)限的商業(yè)數(shù)據(jù)庫資源（見圖2）。

OpenAthens的主要優(yōu)勢在于其實現(xiàn)圖書館身份認證方案的便捷性。在Shibboleth體系中，Shibboleth IdP的圖書館需要逐一與所訂購的商業(yè)數(shù)據(jù)庫（SP）進行技術(shù)對接和互認，之后讀者才能對所有接入的數(shù)據(jù)庫實現(xiàn)聯(lián)邦式的單點登錄訪問，具體的接入過程比較繁瑣，需要一定的時間周期。而在OpenAthens體系中，由于OpenAthens Cloud和OpenAthens Federation的存在，OpenAthens可以對所有接入的商業(yè)數(shù)據(jù)庫進行集中接入管理，圖書館只需配置一次OpenAthens就能實現(xiàn)和自身購買的所有商業(yè)數(shù)據(jù)庫的連接互認，不需要再分別接入，可以節(jié)省時間和IT資源成本。這也是OpenAthens成為一個商業(yè)產(chǎn)品、而非開源軟件的主要原因。

圖2 OpenAthens集中認證流程

3.3 UMT

中國科學(xué)院計算機網(wǎng)絡(luò)信息中心自主開發(fā)的用戶管理工具（User Management Tool，UMT）是一套具有用戶管理和單點登錄統(tǒng)一身份認證功能的軟件系統(tǒng)?；赨MT部署實現(xiàn)的中國科技云通行證主要服務(wù)于中國科學(xué)院系統(tǒng)的科研人員。截至2017年底，中國科技云通行證注冊用戶已超過54萬人，覆蓋了中國科學(xué)院95%以上的研究院所，成為中國科學(xué)院科研管理方面的重要基礎(chǔ)設(shè)施。借助中國科技云通行證的實踐經(jīng)驗，根據(jù)最新的技術(shù)發(fā)展趨勢，中國科學(xué)院計算機網(wǎng)絡(luò)信息中心對UMT進行了持續(xù)的研發(fā)升級，從2006年的UMT1.0發(fā)展到目前最新版本UMT8.1.9，從最初僅支持OAuth認證接入，到現(xiàn)在支持包括OAuth2.0、SAML2.0、輕量目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）、活動目錄聯(lián)合服務(wù)（Active Directory Federation Services，ADFS） 等在內(nèi)的多種認證接入方式。

2016年針對SAML的技術(shù)升級之后，UMT實現(xiàn)了對Shibboleth IdP組件的集成，因此可視之為在圖書館本地部署的IdP系統(tǒng)。區(qū)別于Shibboleth IdP和OpenAthens LA，UMT滿足了圖書館移動身份認證的需求。

（1） 支持 SAML2.0和 OAuth2.0認證互通。在UMT的體系框架中，一方面主要基于SAML2.0實現(xiàn)和國外商業(yè)數(shù)據(jù)庫（SP）的認證接入，尤其是在中國科技云通行證基礎(chǔ)之上逐步發(fā)展起來的中國科技云聯(lián)盟（CSTCloud Federation）已經(jīng)實現(xiàn)與國外主要商業(yè)數(shù)據(jù)庫的認證接入；另一方面，基于OAuth2.0實現(xiàn)和國內(nèi)尤其是圖書館本地數(shù)據(jù)庫或應(yīng)用系統(tǒng)的對接，彌補了目前國內(nèi)絕大多數(shù)圖書館的自建數(shù)據(jù)庫均不支持SAML的缺陷。更為重要的是，UMT實現(xiàn)了SAML2.0和OAuth2.0認證互通，從而有效解決了圖書館本地資源和在線商業(yè)數(shù)據(jù)庫資源的單點登錄問題。

（2）支持移動客戶端接入。UMT針對第三方的移動客戶端應(yīng)用提供了專門的網(wǎng)絡(luò)接入方案（包括Andorid和iOS等移動平臺），支持讀者使用UMT中的賬號直接登錄，避免了讀者重復(fù)注冊的繁瑣流程，提升了用戶體驗，對圖書館移動業(yè)務(wù)的開展具有重要意義。另外，UMT針對各種類型的接入（OAuth、SAML、LDAP、網(wǎng)站、移動客戶端、桌面客戶端等）都提供了專門的技術(shù)文檔，使其成為簡單、實用、集成的圖書館移動身份認證解決方案。

3.4 分析比較

上述三種身份認證解決方案都可以實現(xiàn)用戶利用ID賬號對接入數(shù)據(jù)庫的單點登錄和移動訪問，因此理論上它們是可以相互替代的。但是考慮到不同圖書館在資源構(gòu)成、讀者訪問需求、技術(shù)能力等各方面的差異，在具體選擇移動身份認證方案時，除了費用這一前提因素之外，還應(yīng)從本地化成本和商業(yè)數(shù)據(jù)庫覆蓋范圍兩個方面重點分析（見下表）。

表 移動身份認證解決方案比較

圖書館移動身份認證系統(tǒng)的本地化主要涉及兩個方面：圖書館已有用戶認證數(shù)據(jù)的復(fù)用和自建數(shù)據(jù)庫資源的接入。為了提升用戶體驗，避免產(chǎn)生額外賬號，移動身份認證系統(tǒng)必須支持讀者利用已有的圖書館賬號登錄，上述三種方案均支持通過多種途徑來集成本地用戶目錄，如，可通過LDAP、ADFS接入或基于API調(diào)用圖書證號、郵箱賬號、學(xué)生證號等，甚至可以基于SAML或OAuth來對接已有的統(tǒng)一認證管理系統(tǒng)。用戶數(shù)據(jù)本地化成本主要取決于已有用戶管理系統(tǒng)的改造難度。在對接圖書館自建數(shù)據(jù)庫方面，Shibboleth和OpenAthens的思路基本相同，即通過在本地部署SP組件實現(xiàn)自建數(shù)據(jù)庫的“Shibboleth化”或“OpenAthens化”，這種方式涉及到對自建數(shù)據(jù)庫的改造和升級，實現(xiàn)過程復(fù)雜，對圖書館技術(shù)能力要求較高，而無法進行適應(yīng)性改造的部分數(shù)據(jù)庫則只能通過傳統(tǒng)代理方式來實現(xiàn)。UMT主要基于OAuth2.0實現(xiàn)對本地數(shù)據(jù)庫的集成，雖然也需要對數(shù)據(jù)庫進行相應(yīng)技術(shù)改造，但相對比較容易實現(xiàn)。

商業(yè)數(shù)據(jù)庫的覆蓋范圍是選擇移動身份認證方案的另一個重要因素。目前，大多數(shù)國際上著名的商業(yè)數(shù)據(jù)庫和高校、圖書館聯(lián)盟等機構(gòu)均同時支持Shibboleth和OpenAthens。由于實現(xiàn)了對Shibboleth IdP的集成，UMT也可以接入所有支持Shibboleth的商業(yè)數(shù)據(jù)庫。然而調(diào)研發(fā)現(xiàn)，國內(nèi)三大中文數(shù)據(jù)庫（維普、萬方、中國知網(wǎng)）目前均不支持Shibboleth和OpenA-thens訪問，但均支持通過QQ或微博賬號的OAuth2.0訪問，具備了支持UMT訪問的技術(shù)基礎(chǔ)。在用戶方面，Shibboleth和OpenAthens已被國外許多圖書館廣泛采用，而在國內(nèi)，Shibboleth主要應(yīng)用于以中國高等教育文獻保障系統(tǒng)（China Academic Libraryamp;Information System，CALIS）為主導(dǎo)的CALIS-CARSI服務(wù)項目［3,8］中，OpenAthens只被個別圖書館采用，UMT則主要在中國科學(xué)院系統(tǒng)內(nèi)使用。

4 中國醫(yī)學(xué)科學(xué)院／北京協(xié)和醫(yī)學(xué)院圖書館移動身份認證系統(tǒng)建設(shè)實踐

4.1 需求分析

醫(yī)科院圖書館是國家級醫(yī)學(xué)信息資源保障與服務(wù)中心和國家科技圖書文獻中心（NSTL）醫(yī)學(xué)分中心，兼有高校和科研院所圖書館兩種職能，不僅服務(wù)于北京協(xié)和醫(yī)學(xué)院 （Peking Union Medical College，PUMC）在校師生，還要保障中國醫(yī)學(xué)科學(xué)院下屬18個二級科研院所科研人員的文獻服務(wù)需求。除了訂購的百余種國內(nèi)外醫(yī)藥衛(wèi)生領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)庫資源，醫(yī)科院圖書館經(jīng)過多年積累還陸續(xù)研發(fā)了中國生物醫(yī)學(xué)文獻數(shù)據(jù)庫（CBM）、中國生物醫(yī)學(xué)文獻服務(wù)系統(tǒng)（SinoMed）、中國衛(wèi)生政策研究門戶等一系列自建特色資源庫，另外，集醫(yī)藥資訊、文獻服務(wù)、參考咨詢等服務(wù)于一體的醫(yī)學(xué)知識服務(wù)APP“醫(yī)訊通”也正在開發(fā)過程中。醫(yī)科院圖書館原有的電子資源遠程訪問主要是利用采購的易瑞授權(quán)訪問系統(tǒng)來實現(xiàn)，如前所述這種軟件代理的方式已不能滿足全體師生和科研人員對圖書館自建和訂購數(shù)據(jù)庫的移動訪問需求，因此亟需搭建移動身份認證系統(tǒng)。

4.2 系統(tǒng)搭建與本地化集成

通過對上述三種移動身份認證產(chǎn)品的對比分析，綜合考慮自身的資源構(gòu)成、讀者訪問需求、技術(shù)能力以及實現(xiàn)周期等各方面因素，醫(yī)科院圖書館決定采用UMT來部署實現(xiàn)醫(yī)科院系統(tǒng)的移動身份認證系統(tǒng)，即“協(xié)和統(tǒng)一身份認證”。首先，按照系統(tǒng)部署要求分別安裝UMT主程序及其所集成的Shibboleth IdP組件程序，同時還包括用于Web轉(zhuǎn)發(fā)的Nginx服務(wù)器、用于緩存加速的Memcche服務(wù)器以及保存用戶信息的數(shù)據(jù)庫系統(tǒng)的安裝。其次，在本地用戶數(shù)據(jù)集成方面，考慮到電子郵箱對于在校師生和科研人員的重要性，決定采取API調(diào)用的方式對接中國醫(yī)學(xué)科學(xué)院的郵箱系統(tǒng)，通過在中國醫(yī)學(xué)科學(xué)院的郵箱管理系統(tǒng)（CoreMail）和UMT系統(tǒng)相互添加對方的內(nèi)網(wǎng)IP及端口來完成API設(shè)置，這樣擁有中國醫(yī)學(xué)科學(xué)院官方郵箱賬戶的師生和科研人員就可以直接登錄協(xié)和統(tǒng)一身份認證系統(tǒng)來訪問資源。需要說明的是，UMT目前只能通過API對接一個郵箱系統(tǒng)，對于多個郵箱系統(tǒng)的情況，可通過兩種途徑解決：① 擁有其他郵箱賬號的用戶利用自身賬號在UMT系統(tǒng)進行注冊成為合法用戶；② 對UMT進行相應(yīng)的二次開發(fā)改造以支持通過API對接多個郵箱系統(tǒng)的需求。

4.3 數(shù)據(jù)庫接入與聯(lián)盟選擇

UMT本地配置完成之后，“協(xié)和統(tǒng)一身份認證”系統(tǒng)作為一個IdP已經(jīng)具備了和商業(yè)數(shù)據(jù)庫對接的全部技術(shù)條件。由于采用的是Shibboleth的技術(shù)路徑，因此PUMC需要逐一對接圖書館采購的國外商業(yè)數(shù)據(jù)庫（SP）。根據(jù)自身技術(shù)架構(gòu)或?qū)蛻粜湃纬潭鹊牟煌?，國外?shù)據(jù)庫接入IdP時一般有兩種方式：一種是將自身SP直接對接客戶的IdP（如ProQuest、Springer），另一種是要求客戶通過某一個身份認證聯(lián)盟接入（如Clarivate、Ovid）。

針對第一種方式，PUMC直接將基于SAML的自身IdP元數(shù)據(jù)提交給商業(yè)數(shù)據(jù)庫，而商業(yè)數(shù)據(jù)庫則將自身的SP元數(shù)據(jù)反饋給PUMC，雙方互相根據(jù)對方元數(shù)據(jù)信息配置成功后即完成認證接入。針對第二種方式，PUMC需要首先選擇加入一個身份認證聯(lián)盟。調(diào)研發(fā)現(xiàn)，目前國內(nèi)支持Shibboleth認證接入的聯(lián)盟有：中國科技云聯(lián)盟（CSTCloud Federation）和北京大學(xué)發(fā)起的教育科研網(wǎng)統(tǒng)一認證和資源共享基礎(chǔ)設(shè)施（CERNET Authentication and Resource Sharing Infrastructure，CARSI）。［8］其中，CARSI通過和 CALIS 合作，實現(xiàn)了和CALIS統(tǒng)一認證的對接，同時作為一個Shibboleth認證聯(lián)盟，CARSI還部署了DS服務(wù)，并對Shibboleth IdP組件進行了改造，以方便各高校在本地部署。［3］由于部署的是UMT系統(tǒng)，為快速實現(xiàn)通過認證聯(lián)盟接入國外商業(yè)數(shù)據(jù)庫的目標(biāo)，PUMC最終選擇了和UMT兼容性更高的中國科技云聯(lián)盟進行接入。

需要說明的是，由于圖書館信息技術(shù)部門一般并不了解商業(yè)數(shù)據(jù)庫的具體采購情況，需要資源采購部門的同事協(xié)助聯(lián)系商業(yè)數(shù)據(jù)庫的國內(nèi)銷售人員，并經(jīng)由商業(yè)數(shù)據(jù)庫的國內(nèi)銷售人員聯(lián)系他們的國外技術(shù)人員。另外，認證聯(lián)盟接入時，還需要協(xié)調(diào)聯(lián)盟技術(shù)人員完成IdP和聯(lián)盟的對接以及聯(lián)盟和數(shù)據(jù)庫的對接。因此，在具體對接過程中，可能會涉及到圖書館信息技術(shù)部門、圖書館資源采購部門、商業(yè)數(shù)據(jù)庫國內(nèi)銷售人員、商業(yè)數(shù)據(jù)庫國外技術(shù)人員和認證聯(lián)盟技術(shù)人員等多方人員。具體接入實現(xiàn)周期主要取決于各方人員的溝通效率和數(shù)據(jù)庫國外技術(shù)人員的響應(yīng)速度。

4.4 效果演示

目前，“協(xié)和統(tǒng)一身份認證”系統(tǒng)已經(jīng)實現(xiàn)了和醫(yī)科院圖書館訂購的部分國外商業(yè)數(shù)據(jù)庫的對接，包括 Clarivate、Nature、Ovid、ProQuest、Springer等。北京協(xié)和醫(yī)學(xué)院師生和中國醫(yī)學(xué)科學(xué)院系統(tǒng)的科研人員可以利用郵箱賬號直接訪問上述訂購資源。另外，針對自建數(shù)據(jù)庫（SinoMed）適應(yīng)OAuth2.0的技術(shù)改造也正在進行中，以便使其支持“協(xié)和統(tǒng)一身份認證”系統(tǒng)的移動訪問（見圖3）。

圖3 “協(xié)和統(tǒng)一身份認證”系統(tǒng)整體架構(gòu)

5 結(jié)語

移動身份認證系統(tǒng)可以支持讀者在任何時間、任何地點、通過各種終端訪問圖書館的所有資源，是數(shù)字圖書館適應(yīng)信息技術(shù)發(fā)展需求、開展面向移動互聯(lián)網(wǎng)服務(wù)的前提和基礎(chǔ)。本文以醫(yī)科院圖書館的移動身份認證系統(tǒng)“協(xié)和統(tǒng)一身份認證”為例，探討數(shù)字圖書館移動身份認證系統(tǒng)的建設(shè)實踐，以期為國內(nèi)其他圖書館的相關(guān)工作提供參考。后續(xù)工作主要包括：①繼續(xù)接入圖書館訂購的國外數(shù)據(jù)庫，不斷擴大認證系統(tǒng)的數(shù)據(jù)庫覆蓋范圍；② 將“協(xié)和統(tǒng)一身份認證”嵌入正在開發(fā)中的醫(yī)學(xué)知識服務(wù)APP“醫(yī)訊通”，提升醫(yī)科院圖書館面向移動互聯(lián)網(wǎng)的知識服務(wù)能力；③面向中國醫(yī)學(xué)科學(xué)院所有二級科研院所，開展針對協(xié)和統(tǒng)一身份認證的使用培訓(xùn)與推廣。