單點登錄在企業信息門戶系統中的研究與實現

引言

    隨著企業信息化的高速發展，案例所在的國有企業，業務發展非常迅速。在信息化建設上也不遺余力，企業內部實施了ERP、PDM、辦公自動化、人力資源、業務查詢、新聞、檔案、企業內部外部網站等諸多應用系統。這些系統提高了企業運轉效率的同時，也存在一些問題：一個用戶往往需要同時使用幾個應用系統提供的服務，需要記住不同系統用戶名密碼的同時，頻繁的在各個系統之間進行切換，而每次切換時，都需要該系統獨立的賬戶名和口令進行登陸，給用戶的工作帶來了不便，降低了工作的效率。同時用戶為了便于記憶口令，會采用較簡單的口令形式或者將多個應用系統的口令設置成相同的形式，這也給系統的安全帶來了隱患。

    為了解決以上問題，企業提出了單點登錄(Singlesign-on，SSo)的需求。單點登錄是指在用戶需要訪問一個分布式環境中各個不同應用系統提供的服務時，只需要在環境中登錄一次，而不需要用戶在各個應用系統重新登錄。單點登錄的實質就是安全上下文或憑證在多個應用系統之間的傳遞或共享。如果在企業內部的支撐系統之間實現了單點登錄，只要用戶在一個系統中成功登錄，當用戶在多個系統間進行切換時，就不需要再進行驗證，可以直接進入另外一個系統，提高了用戶的工作效率和用戶體驗。

1 設計開發目標

    針對企業現狀，本文的設計開發目標為，基于Winidows 2003+IIS平臺，采用JAVA語言，建立一套“企業信息門戶”平臺，為企業用戶提供統一的信息資源訪問入口，實現不同應用系統的單點登錄。結合企業實際管理需求，系統決定采用以下方案進行系統開發實施：

    (1)建立企業信息門戶系統平臺，創建一套統一的用戶管理數據庫，將各個系統的用戶統一集成在企業門戶系統中，規范命名，統一管理；

    (2)將每個用戶在OA，ERP，PDM，業務查詢、檔案等需要單點登錄的系統的帳戶和對應的密碼，高強度加密維護在系統中；

    (3)當用戶成功登錄企業信息門戶并獲得相應的授權，系統就根據該用戶擁有的權限自動通過事先維護的賬號和密碼，自動通過門戶平臺單點登錄(SS0)模塊登錄各應用系統，并根據各系統的反饋的登錄信息判斷是否成功登錄各應用系統。

2 單點登錄模型

    基于Web的單點登錄主要的實現模型有：基于經紀人的單點登錄；基于代理的單點登錄模型和基于代理經紀人的單點登錄模型。

    2．1基于經紀人的單點登錄

    在此模型中，有一個集中的認證和用戶帳號管理的服務器。首先，客戶端訪問認證服務器，與認證服務器進行雙向身份認證后，獲得電子身份標識；然后客戶端憑借已獲得的電子身份標識訪問各種應用系統，從而實現單點登錄。此模型中提供了一個獨立的“第三方”，通過身份認證的客戶端持認證服務器返回的電子身份標識去訪問應用服務器，可以方便地擴展系統，但須對各個應用系統進行改造。

    2．2基于代理的單點登錄

    在這種解決方案中，有一個自動地為不同的應用程序認證用戶身份的代理程序。這個代理程序需要設計有不同的功能，它可以使用口令表或加密密鑰來自動地將認證的負擔從用戶移開[4]。保證了通道的安全和單點登錄，具有比較好的可實施性和靈活性，但其缺陷是用戶的登錄憑證要在本地存儲，增加了口令泄漏的危險。

    2．3基于代理經紀人的單點登錄

    基于經紀人的解決方案和基于代理的解決方案相結合。代理模型優點是能減少對應用程序的改造，經紀人模型優點就是認證集中，基于以上兩點，代理經紀人模型就兼具了前者集中管理和后者無需修改應用服務程序的優點，是優點比較突出也是現今用得較多的模型。

3 單點登錄在企業信息門戶系統中的實現

    3．1 SSO模塊設計與頁面設計

    本企業門戶中單點登錄的設計基于代理經紀人型模型，核心思路是在用戶管理模塊中，用戶自行將其在各應用系統中的登錄賬戶及密碼維護在自己的門戶系統中，并將提交的信息加密保存到系統中。計劃開發SSO．js代理模塊，表1單點登錄模塊。

    3．2單點登錄模塊的開發

    當用戶登錄系統時，通過SS0服務模塊，實現將用戶權限下的賬戶發送至不同應用系統進行賬戶及密碼的匹配，匹配成功時返回本系統登錄狀態true，登錄成功，否則返回false，登錄失敗。單點登錄設計文件sso．js，部分代碼實現過程如下：

    3．2．1 OA單點登錄SSO模塊

    0A單點登錄SSO模塊：

    var xmlstrReq—new ActiveXObject()；

4 實施效果

    當用戶打開門戶平臺輸入帳號及密碼后，系統首先判斷門戶賬戶合法后，請求SS0．js代理程序，到各應用服務器中去判斷傳遞的應用系統賬戶是否合法，完成單點登錄。實現了多套商業軟件應用系統一次登錄，資源盡享。該系統技術上最大的優勢是不但實現對OA、ERP、PDM系統實現單點的登錄，還具有很好的擴展功能，能實現對更多系統進行單點登錄。既實現了單點登錄，又不影響其他系統的單獨登錄，不需要對其他系統進行任何修改，保證了原有系統的安全機制不受影響和功能的正常使用，真正做到了方便、快捷、安全。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：單點登錄在企業信息門戶系統中的研究與實現

本文網址：http://m.hanmeixuan.com/html/support/1112158088.html