1 企業(yè)門戶采用統(tǒng)一身份認證的必要性

    為了建立統(tǒng)一的內(nèi)部工作平臺，企業(yè)內(nèi)部門戶應該能夠通過統(tǒng)一的入口集成資源和應用，為不同層次的用戶提供集成化的信息服務，用戶只需一次登錄就能直接訪問門戶中的多個應用系統(tǒng)，從而避免多次認證，實現(xiàn)對不同資源與服務的獲取，使讀者能流暢地從各類資源與應用中獲取所需信息，門戶為用戶提供一站式、個性化、全面的服務。而企業(yè)門戶的統(tǒng)一身份認證，可以解決多個系統(tǒng)獨立認證的弊端：如用戶需要記憶多個賬戶和口令，使用極為不便：無法統(tǒng)一認證和授權(quán)策略；多個認證系統(tǒng)使管理工作成本日益增加。重復開發(fā)消耗開發(fā)成本和延緩開發(fā)進度等。建立基于Portal的統(tǒng)一認證系統(tǒng)對網(wǎng)絡(luò)用戶實行統(tǒng)一認證和統(tǒng)一授權(quán)是必要的。用戶要登錄系統(tǒng)。必須先到身份認證系統(tǒng)認證身份，才可以訪問各個應用系統(tǒng)的網(wǎng)絡(luò)資源，從而實現(xiàn)統(tǒng)一用戶管理、統(tǒng)一安全控制，管理員對整個網(wǎng)絡(luò)可以實現(xiàn)單點管理。

2 系統(tǒng)目標

    為用戶提供一站式、個性化、全面的服務；實現(xiàn)統(tǒng)一用戶管理、統(tǒng)一安全控制、管理員對整個網(wǎng)絡(luò)實現(xiàn)單點管理：實現(xiàn)信息集成。

3 方案設(shè)計

    (1)門戶系統(tǒng)功能架構(gòu)

    門戶系統(tǒng)功能架構(gòu)如圖1所示。它是面向企業(yè)全體員工，用于辦公和管理的企業(yè)信息集成平臺。對企業(yè)內(nèi)管理系統(tǒng)的信息進行有效的整合、組織、管理；利用和重組企業(yè)的數(shù)據(jù)資源實現(xiàn)內(nèi)部信息共享和溝通。實現(xiàn)此功能架構(gòu)�？捎行Оl(fā)揮計算機系統(tǒng)的決策支持作用。

圖1 門戶系統(tǒng)功能架構(gòu)

    (2)用戶管理和單點登錄模塊總體設(shè)計

    用戶管理和單點登錄模塊總體設(shè)計如圖2所示。統(tǒng)一用戶管理系統(tǒng)架構(gòu)于IBM Websphere Portal門戶框架的基礎(chǔ)上，提供基于LDAP的用戶目錄管理，進行統(tǒng)一的用戶信息存儲、認證和管理。IBM Tivoli Identity Manager可進行用戶的批量創(chuàng)建、刪除和管理、實現(xiàn)系統(tǒng)統(tǒng)一、高效的用戶管理。IBM Tivoli Access Managerfor e-business為系統(tǒng)提供集中的、基于策略的認證和授權(quán)。

圖2 用戶管理和單點登錄模塊總體設(shè)計

    (3)統(tǒng)一認證

    本系統(tǒng)采用IBM 的第三方產(chǎn)品TAM 作為實現(xiàn)單點登陸的基礎(chǔ)。一個AM 的系統(tǒng)結(jié)構(gòu)是由訪問者、策略執(zhí)行者和目標三部分組成。在TAM 中有兩個重要的組件，分別是：TAM Policy Server，它為Access Manager安全域維護主授權(quán)數(shù)據(jù)庫，該服務器處理訪問控制、認證和授權(quán)請求；Web SEAL：一個Web逆向代理安全服務器。所有的內(nèi)部請求都必須通過Web SEAL。要通過TAM 實現(xiàn)單點登錄，一般需要對要集成的系統(tǒng)做些改造。為了減少對集成應用系統(tǒng)的改造，同時節(jié)約整個系統(tǒng)實施的時間和成本。本項目中的統(tǒng)一認證分兩實現(xiàn)：門戶用戶身份認證和集成系統(tǒng)用戶身份認證。

    1)Portal系統(tǒng)用戶的身份認證

    門戶用戶的身份認證是TAM實現(xiàn)的。Tivoli Access Manager對用戶進行論證后，將根據(jù)配置產(chǎn)生Websphere平臺的LTPA Token。在隨后用戶對門戶平臺的訪問中，門戶平臺將不再對該用戶進行論證。實現(xiàn)與TAM 的集成

    2)集成系統(tǒng)用戶的身份認證

    當用戶通過門戶的認證，進入門戶平臺后，需要再通過集成系統(tǒng)的身份認證才能訪問相關(guān)的應用系統(tǒng)。為了減少對集成應用系統(tǒng)的改造，同時節(jié)約整個系統(tǒng)實施的時間和成本，集成系統(tǒng)用戶的身份認證是通過建立Portal系統(tǒng)用戶和后臺信息系統(tǒng)用戶的映射關(guān)系，實現(xiàn)基于門戶“用戶數(shù)據(jù)庫”的多項服務統(tǒng)一登錄管理。用戶通過門戶平臺訪問集成系統(tǒng)時的權(quán)限由應用系統(tǒng)管理。

    3)Portal系統(tǒng)與集成系統(tǒng)的賬號關(guān)聯(lián)

    本系統(tǒng)使用待登錄方式實現(xiàn)SSO(Single Sign On)，其基本思想是：使用一種安全的密碼管理機制來存放用戶在各個系統(tǒng)中的密碼等用戶憑證，并與主用戶庫建立映射關(guān)系。用戶登錄門戶以后，進入應用系統(tǒng)前，由門戶幫用戶做一次登錄的操作。這種密碼管理機制可以通過Websphere Portal提供的憑證保險庫，或者TAM eb的GSO來實現(xiàn)。這種方案比較麻煩的是用戶在各個系統(tǒng)中憑證變更的管理，IBM 也提供IDI (IBM Directory integrator)、TIM(Tivoli identity manager)這些產(chǎn)品，可以解決這些問題，不過實施起來也是有點難度的。

    本系統(tǒng)中企業(yè)自行開發(fā)的內(nèi)部管理系統(tǒng)就是基于這種思想進行單點登錄，這里通過編程實現(xiàn)。若不想對集成的系統(tǒng)做任何改動，可采用這種方式簡單實現(xiàn)。要建立員工存Portal系統(tǒng)中的用戶名和其他系統(tǒng)中的用戶名之間的對應關(guān)系并保存。可保存在表中或LDAP中或文件系統(tǒng)中。當員工注冊集成系統(tǒng)信息后，即可通過Portal系統(tǒng)中的用戶名和密碼登錄門戶，然后直接訪問所有注冊的集成系統(tǒng)，而不需要進行二次登錄。

    (4)數(shù)據(jù)結(jié)構(gòu)設(shè)計

    根據(jù)對系統(tǒng)的分析，筆者設(shè)計了LDAP中的應用集成目錄結(jié)構(gòu)。在系統(tǒng)的目錄樹中，包含應用系統(tǒng)節(jié)點和用戶節(jié)點。應用系統(tǒng)節(jié)點由集成系統(tǒng)名稱、用戶標識參數(shù)、用戶口令標識參數(shù)和應用系統(tǒng)登陸窗口地址4個屬性組成。用戶節(jié)點由應用系統(tǒng)名稱、門戶用戶標識、集成系統(tǒng)用戶名和用戶口令4個屬性組成�；�于LDAP服務器的特點和優(yōu)勢，在統(tǒng)一身份認證平臺中，使用目錄服務技術(shù)來完成用戶身份信息和應用系統(tǒng)信息的存儲管理功能。

    統(tǒng)一身份認證系統(tǒng)的用戶認證目錄樹結(jié)構(gòu)設(shè)計，是應用集成目錄結(jié)構(gòu)的子集，主要從訪問效率與性能方面考慮。DN為：O=xxx.com代表銀行的根域。目錄信息大體由三部分組成：“Ou=北京”用來管理區(qū)支行、分行機關(guān)、縣支行的用戶和賬號信息；Cn=users，是一些系統(tǒng)管理員用戶，如WPS系統(tǒng)管理員、DB2系統(tǒng)管理員等；Cn=groups用來管理組信息，可分為管理員組、欄目編寫組等。目錄服務器是整個統(tǒng)一用戶認證平臺的基礎(chǔ)。保證了數(shù)據(jù)一致性和完整性。

    (5)授權(quán)服務系統(tǒng)

    在完成用戶身份認證設(shè)計后，面臨的問題是當用戶登陸門戶后的權(quán)限控制問題。本系統(tǒng)中的授權(quán)分為兩種情況：一是授權(quán)管理的對象可以分為門戶資源(包括頁面、Portlet、頁面組和用戶組)和集成系統(tǒng)。對于門戶資源的管理使用RBAC(基于角色)的授權(quán)模式．即首先定義角色對資源的訪問權(quán)限，然后再定義用戶或用戶組所對應的角色；另外是對于集成系統(tǒng)的授權(quán)是由各應用系統(tǒng)自己管理的。

4 統(tǒng)一用戶管理的實現(xiàn)

    統(tǒng)一用戶管理的關(guān)鍵是實現(xiàn)以LDAP (IDS)為中心，并保證IDS、DOMINO、TIM 服務器用戶信息的同步。相關(guān)準備工作包括：將用戶數(shù)據(jù)從現(xiàn)有的Domino服務器導入TIM，IDS服務器；在TIM 服務器中對用戶組織機構(gòu)信息進行調(diào)整，并把所有的用戶信息重新進行歸類；人員同步：鑒于銀行人員調(diào)整的特點，初步把人員同步的頻率定為每周作一次。每周末，管理員從Domino的管理員那里得到一份人員變動的清單。登錄到TIM管理界面，對照清單和TIM 中的人員信息，確定要做的增、刪、改的操作。TIM與IDS的人員同步是按照配置好的同步策略自動實現(xiàn)的。

    1)門戶用戶身份認證-SSO實現(xiàn)

    要實現(xiàn)門戶用戶身份認證，需要配置門戶平臺與WEBSEAL的SSO。它是通過共享LTPA令牌原理實現(xiàn)的�；�于商業(yè)套件Domino/Notes的單點登錄解決方案。銀行目前日常辦公系統(tǒng)包括文檔管理(Domino Document Manager)、即時通信(Sametime)以及郵件系統(tǒng)。

    實施該方案，必須滿足以下條件。

    所有的服務器必須配置成同一個DNS域的一部分，那么SSO將在所有WebSphere服務器之間起作用。所有服務器必須共享用戶注冊表。用戶注冊表可以是LDAP數(shù)據(jù)庫，也還可以是用戶自己實現(xiàn)的用戶注冊表。

    所有的用戶定義必須要在一個單一的LDAP目錄中。

    用戶的游覽器必須支持Cookie，因為服務器生成的信息將通過Cookies傳遞到客戶端，然后提交給用戶訪問的其他服務器進行論證。

    所有的服務必須共享LTPA密鎖。

    2)集成系統(tǒng)用戶身份認證

    當用戶通過門戶的認證。還需要再通過集成系統(tǒng)的身份認證才能訪問相關(guān)的應用系統(tǒng)。這部分是通過自行開發(fā)實現(xiàn)的。當用戶登錄門戶后，在管理員配置好的集成系統(tǒng)列表中，選擇想進入的系統(tǒng)。如果用戶還沒有注冊此應用系統(tǒng)，選擇注冊即可。系統(tǒng)集成軟件結(jié)構(gòu)可以分為管理員操作和用戶操作兩部分。管理用戶可以增加、刪除、修改能夠提供給用戶使用的應用系統(tǒng)。用戶可以在管理用戶配置提供的多個應用系統(tǒng)中，選擇使用某一個應用系統(tǒng)．通過添加、刪除、修改等方式動態(tài)的管理自己的應用系統(tǒng)列表。

5 總結(jié)與展望

    本文設(shè)計了針對企業(yè)內(nèi)網(wǎng)門戶的統(tǒng)一用戶管理、統(tǒng)一認證和授權(quán)管理的系統(tǒng)。使用待登錄方式編碼實現(xiàn)了集成系統(tǒng)的身份認證，并通過配置LTPA 密鑰實現(xiàn)Portal系統(tǒng)用戶的身份認證。對開發(fā)完的系統(tǒng)進行了部署。開發(fā)的統(tǒng)一身份認證系統(tǒng)在企業(yè)內(nèi)網(wǎng)平臺上得到了很好地實踐和應用，目前運行良好。系統(tǒng)所使用的認證用戶數(shù)據(jù)庫來自于企業(yè)郵件系統(tǒng)，當在郵件系統(tǒng)中編輯了用戶時，在IDS中也應做相應的變動，目前是手工實現(xiàn)的這是后期有待解決的問題。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：基于企業(yè)門戶統(tǒng)一認證系統(tǒng)的設(shè)計與實現(xiàn)

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083939232.html