基于企業(yè)門戶統(tǒng)一認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

1 企業(yè)門戶采用統(tǒng)一身份認(rèn)證的必要性

    為了建立統(tǒng)一的內(nèi)部工作平臺(tái)，企業(yè)內(nèi)部門戶應(yīng)該能夠通過(guò)統(tǒng)一的入口集成資源和應(yīng)用，為不同層次的用戶提供集成化的信息服務(wù)，用戶只需一次登錄就能直接訪問(wèn)門戶中的多個(gè)應(yīng)用系統(tǒng)，從而避免多次認(rèn)證，實(shí)現(xiàn)對(duì)不同資源與服務(wù)的獲取，使讀者能流暢地從各類資源與應(yīng)用中獲取所需信息，門戶為用戶提供一站式、個(gè)性化、全面的服務(wù)。而企業(yè)門戶的統(tǒng)一身份認(rèn)證，可以解決多個(gè)系統(tǒng)獨(dú)立認(rèn)證的弊端：如用戶需要記憶多個(gè)賬戶和口令，使用極為不便：無(wú)法統(tǒng)一認(rèn)證和授權(quán)策略；多個(gè)認(rèn)證系統(tǒng)使管理工作成本日益增加。重復(fù)開(kāi)發(fā)消耗開(kāi)發(fā)成本和延緩開(kāi)發(fā)進(jìn)度等。建立基于Portal的統(tǒng)一認(rèn)證系統(tǒng)對(duì)網(wǎng)絡(luò)用戶實(shí)行統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)是必要的。用戶要登錄系統(tǒng)。必須先到身份認(rèn)證系統(tǒng)認(rèn)證身份，才可以訪問(wèn)各個(gè)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)資源，從而實(shí)現(xiàn)統(tǒng)一用戶管理、統(tǒng)一安全控制，管理員對(duì)整個(gè)網(wǎng)絡(luò)可以實(shí)現(xiàn)單點(diǎn)管理。

2 系統(tǒng)目標(biāo)

    為用戶提供一站式、個(gè)性化、全面的服務(wù)；實(shí)現(xiàn)統(tǒng)一用戶管理、統(tǒng)一安全控制、管理員對(duì)整個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)單點(diǎn)管理：實(shí)現(xiàn)信息集成。

3 方案設(shè)計(jì)

    (1)門戶系統(tǒng)功能架構(gòu)

    門戶系統(tǒng)功能架構(gòu)如圖1所示。它是面向企業(yè)全體員工，用于辦公和管理的企業(yè)信息集成平臺(tái)。對(duì)企業(yè)內(nèi)管理系統(tǒng)的信息進(jìn)行有效的整合、組織、管理；利用和重組企業(yè)的數(shù)據(jù)資源實(shí)現(xiàn)內(nèi)部信息共享和溝通。實(shí)現(xiàn)此功能架構(gòu)�？捎行Оl(fā)揮計(jì)算機(jī)系統(tǒng)的決策支持作用。

圖1 門戶系統(tǒng)功能架構(gòu)

    (2)用戶管理和單點(diǎn)登錄模塊總體設(shè)計(jì)

    用戶管理和單點(diǎn)登錄模塊總體設(shè)計(jì)如圖2所示。統(tǒng)一用戶管理系統(tǒng)架構(gòu)于IBM Websphere Portal門戶框架的基礎(chǔ)上，提供基于LDAP的用戶目錄管理，進(jìn)行統(tǒng)一的用戶信息存儲(chǔ)、認(rèn)證和管理。IBM Tivoli Identity Manager可進(jìn)行用戶的批量創(chuàng)建、刪除和管理、實(shí)現(xiàn)系統(tǒng)統(tǒng)一、高效的用戶管理。IBM Tivoli Access Managerfor e-business為系統(tǒng)提供集中的、基于策略的認(rèn)證和授權(quán)。

圖2 用戶管理和單點(diǎn)登錄模塊總體設(shè)計(jì)

    (3)統(tǒng)一認(rèn)證

    本系統(tǒng)采用IBM 的第三方產(chǎn)品TAM 作為實(shí)現(xiàn)單點(diǎn)登陸的基礎(chǔ)。一個(gè)AM 的系統(tǒng)結(jié)構(gòu)是由訪問(wèn)者、策略執(zhí)行者和目標(biāo)三部分組成。在TAM 中有兩個(gè)重要的組件，分別是：TAM Policy Server，它為Access Manager安全域維護(hù)主授權(quán)數(shù)據(jù)庫(kù)，該服務(wù)器處理訪問(wèn)控制、認(rèn)證和授權(quán)請(qǐng)求；Web SEAL：一個(gè)Web逆向代理安全服務(wù)器。所有的內(nèi)部請(qǐng)求都必須通過(guò)Web SEAL。要通過(guò)TAM 實(shí)現(xiàn)單點(diǎn)登錄，一般需要對(duì)要集成的系統(tǒng)做些改造。為了減少對(duì)集成應(yīng)用系統(tǒng)的改造，同時(shí)節(jié)約整個(gè)系統(tǒng)實(shí)施的時(shí)間和成本。本項(xiàng)目中的統(tǒng)一認(rèn)證分兩實(shí)現(xiàn)：門戶用戶身份認(rèn)證和集成系統(tǒng)用戶身份認(rèn)證。

    1)Portal系統(tǒng)用戶的身份認(rèn)證

    門戶用戶的身份認(rèn)證是TAM實(shí)現(xiàn)的。Tivoli Access Manager對(duì)用戶進(jìn)行論證后，將根據(jù)配置產(chǎn)生Websphere平臺(tái)的LTPA Token。在隨后用戶對(duì)門戶平臺(tái)的訪問(wèn)中，門戶平臺(tái)將不再對(duì)該用戶進(jìn)行論證。實(shí)現(xiàn)與TAM 的集成

    2)集成系統(tǒng)用戶的身份認(rèn)證

    當(dāng)用戶通過(guò)門戶的認(rèn)證，進(jìn)入門戶平臺(tái)后，需要再通過(guò)集成系統(tǒng)的身份認(rèn)證才能訪問(wèn)相關(guān)的應(yīng)用系統(tǒng)。為了減少對(duì)集成應(yīng)用系統(tǒng)的改造，同時(shí)節(jié)約整個(gè)系統(tǒng)實(shí)施的時(shí)間和成本，集成系統(tǒng)用戶的身份認(rèn)證是通過(guò)建立Portal系統(tǒng)用戶和后臺(tái)信息系統(tǒng)用戶的映射關(guān)系，實(shí)現(xiàn)基于門戶“用戶數(shù)據(jù)庫(kù)”的多項(xiàng)服務(wù)統(tǒng)一登錄管理。用戶通過(guò)門戶平臺(tái)訪問(wèn)集成系統(tǒng)時(shí)的權(quán)限由應(yīng)用系統(tǒng)管理。

    3)Portal系統(tǒng)與集成系統(tǒng)的賬號(hào)關(guān)聯(lián)

    本系統(tǒng)使用待登錄方式實(shí)現(xiàn)SSO(Single Sign On)，其基本思想是：使用一種安全的密碼管理機(jī)制來(lái)存放用戶在各個(gè)系統(tǒng)中的密碼等用戶憑證，并與主用戶庫(kù)建立映射關(guān)系。用戶登錄門戶以后，進(jìn)入應(yīng)用系統(tǒng)前，由門戶幫用戶做一次登錄的操作。這種密碼管理機(jī)制可以通過(guò)Websphere Portal提供的憑證保險(xiǎn)庫(kù)，或者TAM eb的GSO來(lái)實(shí)現(xiàn)。這種方案比較麻煩的是用戶在各個(gè)系統(tǒng)中憑證變更的管理，IBM 也提供IDI (IBM Directory integrator)、TIM(Tivoli identity manager)這些產(chǎn)品，可以解決這些問(wèn)題，不過(guò)實(shí)施起來(lái)也是有點(diǎn)難度的。

    本系統(tǒng)中企業(yè)自行開(kāi)發(fā)的內(nèi)部管理系統(tǒng)就是基于這種思想進(jìn)行單點(diǎn)登錄，這里通過(guò)編程實(shí)現(xiàn)。若不想對(duì)集成的系統(tǒng)做任何改動(dòng)，可采用這種方式簡(jiǎn)單實(shí)現(xiàn)。要建立員工存Portal系統(tǒng)中的用戶名和其他系統(tǒng)中的用戶名之間的對(duì)應(yīng)關(guān)系并保存�？杀４嬖诒碇谢騆DAP中或文件系統(tǒng)中。當(dāng)員工注冊(cè)集成系統(tǒng)信息后，即可通過(guò)Portal系統(tǒng)中的用戶名和密碼登錄門戶，然后直接訪問(wèn)所有注冊(cè)的集成系統(tǒng)，而不需要進(jìn)行二次登錄。

    (4)數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)

    根據(jù)對(duì)系統(tǒng)的分析，筆者設(shè)計(jì)了LDAP中的應(yīng)用集成目錄結(jié)構(gòu)。在系統(tǒng)的目錄樹中，包含應(yīng)用系統(tǒng)節(jié)點(diǎn)和用戶節(jié)點(diǎn)。應(yīng)用系統(tǒng)節(jié)點(diǎn)由集成系統(tǒng)名稱、用戶標(biāo)識(shí)參數(shù)、用戶口令標(biāo)識(shí)參數(shù)和應(yīng)用系統(tǒng)登陸窗口地址4個(gè)屬性組成。用戶節(jié)點(diǎn)由應(yīng)用系統(tǒng)名稱、門戶用戶標(biāo)識(shí)、集成系統(tǒng)用戶名和用戶口令4個(gè)屬性組成�；�于LDAP服務(wù)器的特點(diǎn)和優(yōu)勢(shì)，在統(tǒng)一身份認(rèn)證平臺(tái)中，使用目錄服務(wù)技術(shù)來(lái)完成用戶身份信息和應(yīng)用系統(tǒng)信息的存儲(chǔ)管理功能。

    統(tǒng)一身份認(rèn)證系統(tǒng)的用戶認(rèn)證目錄樹結(jié)構(gòu)設(shè)計(jì)，是應(yīng)用集成目錄結(jié)構(gòu)的子集，主要從訪問(wèn)效率與性能方面考慮。DN為：O=xxx.com代表銀行的根域。目錄信息大體由三部分組成：“Ou=北京”用來(lái)管理區(qū)支行、分行機(jī)關(guān)、縣支行的用戶和賬號(hào)信息；Cn=users，是一些系統(tǒng)管理員用戶，如WPS系統(tǒng)管理員、DB2系統(tǒng)管理員等；Cn=groups用來(lái)管理組信息，可分為管理員組、欄目編寫組等。目錄服務(wù)器是整個(gè)統(tǒng)一用戶認(rèn)證平臺(tái)的基礎(chǔ)。保證了數(shù)據(jù)一致性和完整性。

    (5)授權(quán)服務(wù)系統(tǒng)

    在完成用戶身份認(rèn)證設(shè)計(jì)后，面臨的問(wèn)題是當(dāng)用戶登陸門戶后的權(quán)限控制問(wèn)題。本系統(tǒng)中的授權(quán)分為兩種情況：一是授權(quán)管理的對(duì)象可以分為門戶資源(包括頁(yè)面、Portlet、頁(yè)面組和用戶組)和集成系統(tǒng)。對(duì)于門戶資源的管理使用RBAC(基于角色)的授權(quán)模式．即首先定義角色對(duì)資源的訪問(wèn)權(quán)限，然后再定義用戶或用戶組所對(duì)應(yīng)的角色；另外是對(duì)于集成系統(tǒng)的授權(quán)是由各應(yīng)用系統(tǒng)自己管理的。

4 統(tǒng)一用戶管理的實(shí)現(xiàn)

    統(tǒng)一用戶管理的關(guān)鍵是實(shí)現(xiàn)以LDAP (IDS)為中心，并保證IDS、DOMINO、TIM 服務(wù)器用戶信息的同步。相關(guān)準(zhǔn)備工作包括：將用戶數(shù)據(jù)從現(xiàn)有的Domino服務(wù)器導(dǎo)入TIM，IDS服務(wù)器；在TIM 服務(wù)器中對(duì)用戶組織機(jī)構(gòu)信息進(jìn)行調(diào)整，并把所有的用戶信息重新進(jìn)行歸類；人員同步：鑒于銀行人員調(diào)整的特點(diǎn)，初步把人員同步的頻率定為每周作一次。每周末，管理員從Domino的管理員那里得到一份人員變動(dòng)的清單。登錄到TIM管理界面，對(duì)照清單和TIM 中的人員信息，確定要做的增、刪、改的操作。TIM與IDS的人員同步是按照配置好的同步策略自動(dòng)實(shí)現(xiàn)的。

    1)門戶用戶身份認(rèn)證-SSO實(shí)現(xiàn)

    要實(shí)現(xiàn)門戶用戶身份認(rèn)證，需要配置門戶平臺(tái)與WEBSEAL的SSO。它是通過(guò)共享LTPA令牌原理實(shí)現(xiàn)的�；�于商業(yè)套件Domino/Notes的單點(diǎn)登錄解決方案。銀行目前日常辦公系統(tǒng)包括文檔管理(Domino Document Manager)、即時(shí)通信(Sametime)以及郵件系統(tǒng)。

    實(shí)施該方案，必須滿足以下條件。

    所有的服務(wù)器必須配置成同一個(gè)DNS域的一部分，那么SSO將在所有WebSphere服務(wù)器之間起作用。所有服務(wù)器必須共享用戶注冊(cè)表。用戶注冊(cè)表可以是LDAP數(shù)據(jù)庫(kù)，也還可以是用戶自己實(shí)現(xiàn)的用戶注冊(cè)表。

    所有的用戶定義必須要在一個(gè)單一的LDAP目錄中。

    用戶的游覽器必須支持Cookie，因?yàn)榉��?wù)器生成的信息將通過(guò)Cookies傳遞到客戶端，然后提交給用戶訪問(wèn)的其他服務(wù)器進(jìn)行論證。

    所有的服務(wù)必須共享LTPA密鎖。

    2)集成系統(tǒng)用戶身份認(rèn)證

    當(dāng)用戶通過(guò)門戶的認(rèn)證。還需要再通過(guò)集成系統(tǒng)的身份認(rèn)證才能訪問(wèn)相關(guān)的應(yīng)用系統(tǒng)。這部分是通過(guò)自行開(kāi)發(fā)實(shí)現(xiàn)的。當(dāng)用戶登錄門戶后，在管理員配置好的集成系統(tǒng)列表中，選擇想進(jìn)入的系統(tǒng)。如果用戶還沒(méi)有注冊(cè)此應(yīng)用系統(tǒng)，選擇注冊(cè)即可。系統(tǒng)集成軟件結(jié)構(gòu)可以分為管理員操作和用戶操作兩部分。管理用戶可以增加、刪除、修改能夠提供給用戶使用的應(yīng)用系統(tǒng)。用戶可以在管理用戶配置提供的多個(gè)應(yīng)用系統(tǒng)中，選擇使用某一個(gè)應(yīng)用系統(tǒng)．通過(guò)添加、刪除、修改等方式動(dòng)態(tài)的管理自己的應(yīng)用系統(tǒng)列表。

5 總結(jié)與展望

    本文設(shè)計(jì)了針對(duì)企業(yè)內(nèi)網(wǎng)門戶的統(tǒng)一用戶管理、統(tǒng)一認(rèn)證和授權(quán)管理的系統(tǒng)。使用待登錄方式編碼實(shí)現(xiàn)了集成系統(tǒng)的身份認(rèn)證，并通過(guò)配置LTPA 密鑰實(shí)現(xiàn)Portal系統(tǒng)用戶的身份認(rèn)證。對(duì)開(kāi)發(fā)完的系統(tǒng)進(jìn)行了部署。開(kāi)發(fā)的統(tǒng)一身份認(rèn)證系統(tǒng)在企業(yè)內(nèi)網(wǎng)平臺(tái)上得到了很好地實(shí)踐和應(yīng)用，目前運(yùn)行良好。系統(tǒng)所使用的認(rèn)證用戶數(shù)據(jù)庫(kù)來(lái)自于企業(yè)郵件系統(tǒng)，當(dāng)在郵件系統(tǒng)中編輯了用戶時(shí)，在IDS中也應(yīng)做相應(yīng)的變動(dòng)，目前是手工實(shí)現(xiàn)的這是后期有待解決的問(wèn)題。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：基于企業(yè)門戶統(tǒng)一認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

本文網(wǎng)址：http://m.hanmeixuan.com/html/consultation/1083939232.html