基于企業(yè)門戶的單點登錄研究與應(yīng)用

◆范 軍 陳 威 陳傳龍

基于企業(yè)門戶的單點登錄研究與應(yīng)用

◆范 軍1陳 威2陳傳龍3

（中國航發(fā)貴州黎陽航空動力有限公司 貴州 550000）

隨著信息技術(shù)的迅速發(fā)展，企業(yè)信息化建設(shè)也隨之快速，企業(yè)內(nèi)部建立了各種信息系統(tǒng)，提供多種業(yè)務(wù)服務(wù)，如生產(chǎn)系統(tǒng)和管理系統(tǒng)。但在應(yīng)用建設(shè)時，沒有統(tǒng)一接口的管理平臺，沒有統(tǒng)一的標準，系統(tǒng)用戶認證方式也各異，從而使得用戶陷入了用戶名和密碼管理中，而且用戶工作時往往需要在不同的多個信息系統(tǒng)之間切換，重復(fù)登錄，非常不便，同時增加了系統(tǒng)管理員的運維工作，使得管理和維護成本增加。所以，應(yīng)建立企業(yè)門戶的統(tǒng)一身份認證管理系統(tǒng)，從而實現(xiàn)統(tǒng)一的用戶管理、統(tǒng)一的身份認證、統(tǒng)一的應(yīng)用入口，信息系統(tǒng)的單點登錄。

企業(yè)門戶；單點登錄；信息系統(tǒng)；Form表單；HTTP Header；USB Key；PIN

1 背景

隨著信息和網(wǎng)絡(luò)技術(shù)的持續(xù)發(fā)展，企業(yè)業(yè)務(wù)發(fā)展需要，會不斷涌現(xiàn)各種信息系統(tǒng)。信息化建設(shè)的各類信息系統(tǒng)都是服務(wù)于企業(yè)的經(jīng)營生產(chǎn)，為企業(yè)帶來系統(tǒng)、科學的管理以及良好的效益。但是，生產(chǎn)、管理業(yè)務(wù)發(fā)展的需要，信息系統(tǒng)建設(shè)會越來越多，終端用戶每天都要登錄不同的應(yīng)用和系統(tǒng)，如郵件系統(tǒng)、協(xié)同辦公系統(tǒng)、ERP系統(tǒng)、PDM系統(tǒng)、MES系統(tǒng)，各種應(yīng)用服務(wù)等。從信息系統(tǒng)的安全角度考慮，每個系統(tǒng)都要對用戶身份進行必要的認證，以保證用戶的信息，并且拒絕非授權(quán)用戶的資源訪問。

企業(yè)信息系統(tǒng)的不斷增加，用戶要記住的用戶名和密碼數(shù)量也隨之增加，這個問題已尤為突出。如果減少密碼的復(fù)雜度和要求，信息系統(tǒng)的安全性就會降低，增加信息泄露的可能性。相反，就會增加用戶的難度，頻繁修改用戶口令，在日常工作中，經(jīng)常會忘記密碼或者錯誤輸入，鎖定用戶，不能執(zhí)行工作任務(wù)，要通過流程經(jīng)相關(guān)管理員初始化密碼或解綁用戶，大大降低辦公效率。為避免這種情況，用戶通常會簡化密碼牢記登錄信息，或者所有系統(tǒng)設(shè)置相同密碼，創(chuàng)建一個密碼列表放置在抽屜里或辦公桌上，這樣就會危及企業(yè)信息系統(tǒng)的安全，存在內(nèi)部信息、甚至涉密信息外泄的隱患。

2 方案

2.1 企業(yè)門戶

為了建立統(tǒng)一的企業(yè)內(nèi)部工作平臺，企業(yè)門戶系統(tǒng)應(yīng)集成統(tǒng)一的信息系統(tǒng)入口，為不同的用戶提供集成化的信息服務(wù)。用戶只需一次登錄門戶就能直接訪問門戶中已授權(quán)的所有信息系統(tǒng)，從而避免多次輸入用戶名和密碼，在信息系統(tǒng)間頻繁切換。企業(yè)門戶為用戶提供一站式、個性化、全面的服務(wù)。而企業(yè)門戶的統(tǒng)一身份認證，可以解決多個信息系統(tǒng)獨立認證的弊端：如用戶需要記住多個賬號和口令，使用極為不便，無法統(tǒng)一認證和授權(quán)管理。

所以，建立基于企業(yè)門戶的統(tǒng)一身份認證管理系統(tǒng)是必要的，從而實現(xiàn)統(tǒng)一的用戶管理、統(tǒng)一的身份認證、統(tǒng)一的應(yīng)用入口，信息系統(tǒng)的單點登錄，來提高信息系統(tǒng)的安全性，用戶的工作效率。

2.2 統(tǒng)一身份認證

統(tǒng)一身份認證主要是為了解決多個信息系統(tǒng)多套賬號密碼實現(xiàn)單點登錄功能。實現(xiàn)認證方式主要有：HTTP Header、Cookie、代填表單等。目前基于用戶認證方式為PKI/CA技術(shù)體系的數(shù)字證書認證現(xiàn)狀，數(shù)字證書存儲在USB key中。當用戶使用USB key訪問信息系統(tǒng)時，只需要輸入指紋或一次PIN碼即可訪問具有單點登錄功能的授權(quán)信息系統(tǒng)。

采用基于訪問管理系統(tǒng)（Access Manager，簡稱AM）構(gòu)建的統(tǒng)一認證，由訪問網(wǎng)關(guān)（Access Gateway，簡稱AG）和身份認證管理服務(wù)器（Identity Server，簡稱IDS）兩大組件構(gòu)成。統(tǒng)一身份認證實現(xiàn)各信息系統(tǒng)間的單點登錄，能夠?qū)eb信息系統(tǒng)提供基于應(yīng)用角色權(quán)限的同步管理和基于策略驅(qū)動的訪問控制。

2.3 統(tǒng)一用戶管理

統(tǒng)一用戶管理是以LDAP目錄服務(wù)為基礎(chǔ)，進行二次開發(fā)擴展的統(tǒng)一用管理工具。通過統(tǒng)一用戶管理系統(tǒng)對用戶信息、部門信息、登錄授權(quán)、密碼策略等進行統(tǒng)一配置、統(tǒng)一管理。

3 設(shè)計與實現(xiàn)

企業(yè)在信息化建設(shè)過程中，常采用分步實現(xiàn)，逐步信息化的方式，會造成各信息系統(tǒng)間的用戶目錄不一致、不兼容，各大信息系統(tǒng)相互孤立，形成“信息孤島”。信息孤島的存在，使得信息系統(tǒng)用戶需要重復(fù)登錄。因此，需要一個統(tǒng)一的用戶登錄管理的平臺，來實現(xiàn)用戶統(tǒng)一身份驗證。

單點登錄（Single Sign On，簡稱SSO）是門戶的重要機制，用戶在網(wǎng)絡(luò)應(yīng)用上只需登錄一次，身份驗證通過后，就可以訪問統(tǒng)一授權(quán)的應(yīng)用服務(wù)系統(tǒng)，而不需要再次登錄。

單點登錄主要由用戶同步、統(tǒng)一認證、應(yīng)用接口及數(shù)據(jù)庫模塊來實現(xiàn)的。

應(yīng)用登錄接口，主要是為了解決用戶的單點登錄功能。認證方式有Form表單方式、HTTP Headers、格爾傳值方式接口。

代填Form表單方式的實現(xiàn)為一般的表單登錄方式，用戶在登錄頁面輸入賬號用戶名和密碼，然后點擊登錄來進入系統(tǒng)的方式，就可以通過Novell網(wǎng)關(guān)代填并自動提交表單。這種方式要求在登錄頁面上沒有驗證碼，并且提交方式如果有比較特殊的（如ajax多次服務(wù)器后臺提交），就需要信息系統(tǒng)另外開發(fā)應(yīng)用登錄接口。

信息系統(tǒng)需要提供Form表單的名稱，用戶名和密碼的標簽即可。門戶系統(tǒng)將信息代填到下Form中，即可登錄。

HTTP Headers的驗證方式是通過Novell訪問網(wǎng)關(guān)在HTTP URL請求中添加Header信息（如用戶名和密碼）傳送到信息系統(tǒng)，信息系統(tǒng)接收Header信息驗證用戶并登錄。這種方式要求系統(tǒng)有獲取參數(shù)（iv-user）接口，如果沒有需要開發(fā)信息系統(tǒng)相關(guān)接口獲取登錄信息判定可以登錄后，即可跳轉(zhuǎn)至系統(tǒng)頁面。

信息系統(tǒng)需提供自身的IP地址及端口號，開發(fā)好的接口頁面路徑，提供給統(tǒng)一認證系統(tǒng)即可。

定義門戶系統(tǒng)驗證參數(shù)為iv-user和token值，而集成信息系統(tǒng)均采用驗證iv-user參數(shù)，如果還需要驗證密碼，雙方可以定義密碼參數(shù)，門戶系統(tǒng)傳送密碼即可。iv-user為傳輸信息系統(tǒng)的用戶編碼，token為加密串。

HTTP Headers是HTTP請求頭部信息，它承載了關(guān)于HTTP請求頁面，應(yīng)用服務(wù)等相關(guān)信息；而數(shù)據(jù)庫主要存儲單點登錄時的各種數(shù)據(jù)，主要包括：用戶目錄數(shù)據(jù)庫、登錄日志數(shù)據(jù)庫等。

系統(tǒng)平臺使用統(tǒng)一的用戶目錄數(shù)據(jù)庫、集中進行管理。各大信息系統(tǒng)進行身份驗證時，都使用這個集中的數(shù)據(jù)庫。能夠?qū)τ脩舻纳矸蒡炞C行為進行日記記錄，作為行為審計。

統(tǒng)一認證單點登錄過程中，用戶進入個人工作臺，先是個人USB Key的認證，認證是通過USB Key中的證書校驗規(guī)則來實現(xiàn)的。如果USB Key認證沒有通過，無法獲取USB Key中相應(yīng)的用戶信息，系統(tǒng)將返回錯誤非授權(quán)請求。然后是通過從USB Key中獲取的用戶信息與認證服務(wù)器進行認證，通過數(shù)字證書實現(xiàn)雙向認證。在用戶通過認證后獲取相應(yīng)的用戶應(yīng)用授權(quán)信息，實際的授權(quán)可以在認證后立即進行，整個過程是無縫的。這種方式簡化用戶登錄系統(tǒng)工作，用戶只刷一次指紋證書或USB Key的PIN碼即可。

實現(xiàn)認證和授權(quán)的集成還簡化了用戶離職后的管理工作，系統(tǒng)管理員不用再跟蹤用戶可能訪問過的所有授權(quán)信息系統(tǒng)和資源，只要簡單地在用戶管理系統(tǒng)中改變用戶的狀態(tài)或取消信息系統(tǒng)資源。

[1]陳芳.基于Portal的企業(yè)信息門戶系統(tǒng)研究[J].計算機與數(shù)字工程，2009.

[2]吳敏萍.統(tǒng)一用戶管理平臺設(shè)計構(gòu)想[J].計算機工程，2000.

[3]陳觀林，張泳.企業(yè)信息門戶單點登錄系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機系統(tǒng)應(yīng)用，2008.