1 企業(yè)門戶采用統(tǒng)一身份認證的必要性

    為了建立統(tǒng)一的內部工作平臺，企業(yè)內部門戶應該能夠通過統(tǒng)一的入口集成資源和應用，為不同層次的用戶提供集成化的信息服務，用戶只需一次登錄就能直接訪問門戶中的多個應用系統(tǒng)，從而避免多次認證，實現對不同資源與服務的獲取，使讀者能流暢地從各類資源與應用中獲取所需信息，門戶為用戶提供一站式、個性化、全面的服務。而企業(yè)門戶的統(tǒng)一身份認證，可以解決多個系統(tǒng)獨立認證的弊端：如用戶需要記憶多個賬戶和口令，使用極為不便：無法統(tǒng)一認證和授權策略；多個認證系統(tǒng)使管理工作成本日益增加。重復開發(fā)消耗開發(fā)成本和延緩開發(fā)進度等。建立基于Portal的統(tǒng)一認證系統(tǒng)對網絡用戶實行統(tǒng)一認證和統(tǒng)一授權是必要的。用戶要登錄系統(tǒng)。必須先到身份認證系統(tǒng)認證身份，才可以訪問各個應用系統(tǒng)的網絡資源，從而實現統(tǒng)一用戶管理、統(tǒng)一安全控制，管理員對整個網絡可以實現單點管理。

2 系統(tǒng)目標

    為用戶提供一站式、個性化、全面的服務；實現統(tǒng)一用戶管理、統(tǒng)一安全控制、管理員對整個網絡實現單點管理：實現信息集成。

3 方案設計

    (1)門戶系統(tǒng)功能架構

    門戶系統(tǒng)功能架構如圖1所示。它是面向企業(yè)全體員工，用于辦公和管理的企業(yè)信息集成平臺。對企業(yè)內管理系統(tǒng)的信息進行有效的整合、組織、管理；利用和重組企業(yè)的數據資源實現內部信息共享和溝通。實現此功能架構。可有效發(fā)揮計算機系統(tǒng)的決策支持作用。

圖1 門戶系統(tǒng)功能架構

    (2)用戶管理和單點登錄模塊總體設計

    用戶管理和單點登錄模塊總體設計如圖2所示。統(tǒng)一用戶管理系統(tǒng)架構于IBM Websphere Portal門戶框架的基礎上，提供基于LDAP的用戶目錄管理，進行統(tǒng)一的用戶信息存儲、認證和管理。IBM Tivoli Identity Manager可進行用戶的批量創(chuàng)建、刪除和管理、實現系統(tǒng)統(tǒng)一、高效的用戶管理。IBM Tivoli Access Managerfor e-business為系統(tǒng)提供集中的、基于策略的認證和授權。

圖2 用戶管理和單點登錄模塊總體設計

    (3)統(tǒng)一認證

    本系統(tǒng)采用IBM 的第三方產品TAM 作為實現單點登陸的基礎。一個AM 的系統(tǒng)結構是由訪問者、策略執(zhí)行者和目標三部分組成。在TAM 中有兩個重要的組件，分別是：TAM Policy Server，它為Access Manager安全域維護主授權數據庫，該服務器處理訪問控制、認證和授權請求；Web SEAL：一個Web逆向代理安全服務器。所有的內部請求都必須通過Web SEAL。要通過TAM 實現單點登錄，一般需要對要集成的系統(tǒng)做些改造。為了減少對集成應用系統(tǒng)的改造，同時節(jié)約整個系統(tǒng)實施的時間和成本。本項目中的統(tǒng)一認證分兩實現：門戶用戶身份認證和集成系統(tǒng)用戶身份認證。

    1)Portal系統(tǒng)用戶的身份認證

    門戶用戶的身份認證是TAM實現的。Tivoli Access Manager對用戶進行論證后，將根據配置產生Websphere平臺的LTPA Token。在隨后用戶對門戶平臺的訪問中，門戶平臺將不再對該用戶進行論證。實現與TAM 的集成

    2)集成系統(tǒng)用戶的身份認證

    當用戶通過門戶的認證，進入門戶平臺后，需要再通過集成系統(tǒng)的身份認證才能訪問相關的應用系統(tǒng)。為了減少對集成應用系統(tǒng)的改造，同時節(jié)約整個系統(tǒng)實施的時間和成本，集成系統(tǒng)用戶的身份認證是通過建立Portal系統(tǒng)用戶和后臺信息系統(tǒng)用戶的映射關系，實現基于門戶“用戶數據庫”的多項服務統(tǒng)一登錄管理。用戶通過門戶平臺訪問集成系統(tǒng)時的權限由應用系統(tǒng)管理。

    3)Portal系統(tǒng)與集成系統(tǒng)的賬號關聯(lián)

    本系統(tǒng)使用待登錄方式實現SSO(Single Sign On)，其基本思想是：使用一種安全的密碼管理機制來存放用戶在各個系統(tǒng)中的密碼等用戶憑證，并與主用戶庫建立映射關系。用戶登錄門戶以后，進入應用系統(tǒng)前，由門戶幫用戶做一次登錄的操作。這種密碼管理機制可以通過Websphere Portal提供的憑證保險庫，或者TAM eb的GSO來實現。這種方案比較麻煩的是用戶在各個系統(tǒng)中憑證變更的管理，IBM 也提供IDI (IBM Directory integrator)、TIM(Tivoli identity manager)這些產品，可以解決這些問題，不過實施起來也是有點難度的。

    本系統(tǒng)中企業(yè)自行開發(fā)的內部管理系統(tǒng)就是基于這種思想進行單點登錄，這里通過編程實現。若不想對集成的系統(tǒng)做任何改動，可采用這種方式簡單實現。要建立員工存Portal系統(tǒng)中的用戶名和其他系統(tǒng)中的用戶名之間的對應關系并保存。可保存在表中或LDAP中或文件系統(tǒng)中。當員工注冊集成系統(tǒng)信息后，即可通過Portal系統(tǒng)中的用戶名和密碼登錄門戶，然后直接訪問所有注冊的集成系統(tǒng)，而不需要進行二次登錄。

    (4)數據結構設計

    根據對系統(tǒng)的分析，筆者設計了LDAP中的應用集成目錄結構。在系統(tǒng)的目錄樹中，包含應用系統(tǒng)節(jié)點和用戶節(jié)點。應用系統(tǒng)節(jié)點由集成系統(tǒng)名稱、用戶標識參數、用戶口令標識參數和應用系統(tǒng)登陸窗口地址4個屬性組成。用戶節(jié)點由應用系統(tǒng)名稱、門戶用戶標識、集成系統(tǒng)用戶名和用戶口令4個屬性組成。基于LDAP服務器的特點和優(yōu)勢，在統(tǒng)一身份認證平臺中，使用目錄服務技術來完成用戶身份信息和應用系統(tǒng)信息的存儲管理功能。

    統(tǒng)一身份認證系統(tǒng)的用戶認證目錄樹結構設計，是應用集成目錄結構的子集，主要從訪問效率與性能方面考慮。DN為：O=xxx.com代表銀行的根域。目錄信息大體由三部分組成：“Ou=北京”用來管理區(qū)支行、分行機關、縣支行的用戶和賬號信息；Cn=users，是一些系統(tǒng)管理員用戶，如WPS系統(tǒng)管理員、DB2系統(tǒng)管理員等；Cn=groups用來管理組信息，可分為管理員組、欄目編寫組等。目錄服務器是整個統(tǒng)一用戶認證平臺的基礎。保證了數據一致性和完整性。

    (5)授權服務系統(tǒng)

    在完成用戶身份認證設計后，面臨的問題是當用戶登陸門戶后的權限控制問題。本系統(tǒng)中的授權分為兩種情況：一是授權管理的對象可以分為門戶資源(包括頁面、Portlet、頁面組和用戶組)和集成系統(tǒng)。對于門戶資源的管理使用RBAC(基于角色)的授權模式．即首先定義角色對資源的訪問權限，然后再定義用戶或用戶組所對應的角色；另外是對于集成系統(tǒng)的授權是由各應用系統(tǒng)自己管理的。

4 統(tǒng)一用戶管理的實現

    統(tǒng)一用戶管理的關鍵是實現以LDAP (IDS)為中心，并保證IDS、DOMINO、TIM 服務器用戶信息的同步。相關準備工作包括：將用戶數據從現有的Domino服務器導入TIM，IDS服務器；在TIM 服務器中對用戶組織機構信息進行調整，并把所有的用戶信息重新進行歸類；人員同步：鑒于銀行人員調整的特點，初步把人員同步的頻率定為每周作一次。每周末，管理員從Domino的管理員那里得到一份人員變動的清單。登錄到TIM管理界面，對照清單和TIM 中的人員信息，確定要做的增、刪、改的操作。TIM與IDS的人員同步是按照配置好的同步策略自動實現的。

    1)門戶用戶身份認證-SSO實現

    要實現門戶用戶身份認證，需要配置門戶平臺與WEBSEAL的SSO。它是通過共享LTPA令牌原理實現的。基于商業(yè)套件Domino/Notes的單點登錄解決方案。銀行目前日常辦公系統(tǒng)包括文檔管理(Domino Document Manager)、即時通信(Sametime)以及郵件系統(tǒng)。

    實施該方案，必須滿足以下條件。

    所有的服務器必須配置成同一個DNS域的一部分，那么SSO將在所有WebSphere服務器之間起作用。所有服務器必須共享用戶注冊表。用戶注冊表可以是LDAP數據庫，也還可以是用戶自己實現的用戶注冊表。

    所有的用戶定義必須要在一個單一的LDAP目錄中。

    用戶的游覽器必須支持Cookie，因為服務器生成的信息將通過Cookies傳遞到客戶端，然后提交給用戶訪問的其他服務器進行論證。

    所有的服務必須共享LTPA密鎖。

    2)集成系統(tǒng)用戶身份認證

    當用戶通過門戶的認證。還需要再通過集成系統(tǒng)的身份認證才能訪問相關的應用系統(tǒng)。這部分是通過自行開發(fā)實現的。當用戶登錄門戶后，在管理員配置好的集成系統(tǒng)列表中，選擇想進入的系統(tǒng)。如果用戶還沒有注冊此應用系統(tǒng)，選擇注冊即可。系統(tǒng)集成軟件結構可以分為管理員操作和用戶操作兩部分。管理用戶可以增加、刪除、修改能夠提供給用戶使用的應用系統(tǒng)。用戶可以在管理用戶配置提供的多個應用系統(tǒng)中，選擇使用某一個應用系統(tǒng)．通過添加、刪除、修改等方式動態(tài)的管理自己的應用系統(tǒng)列表。

5 總結與展望

    本文設計了針對企業(yè)內網門戶的統(tǒng)一用戶管理、統(tǒng)一認證和授權管理的系統(tǒng)。使用待登錄方式編碼實現了集成系統(tǒng)的身份認證，并通過配置LTPA 密鑰實現Portal系統(tǒng)用戶的身份認證。對開發(fā)完的系統(tǒng)進行了部署。開發(fā)的統(tǒng)一身份認證系統(tǒng)在企業(yè)內網平臺上得到了很好地實踐和應用，目前運行良好。系統(tǒng)所使用的認證用戶數據庫來自于企業(yè)郵件系統(tǒng)，當在郵件系統(tǒng)中編輯了用戶時，在IDS中也應做相應的變動，目前是手工實現的這是后期有待解決的問題。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：基于企業(yè)門戶統(tǒng)一認證系統(tǒng)的設計與實現

本文網址：http://www.guhuozai8.cn/html/consultation/1083939232.html