隨著企業(yè)不斷建立健全公司信息化系統(tǒng)，建設(shè)包括財(cái)務(wù)管理、營(yíng)銷管理、生產(chǎn)管理、人力資源管理、物資管理、項(xiàng)目管理等應(yīng)用系統(tǒng)，這些信息化資源的大量投入使用，極大提高了企業(yè)的工作效率。但是隨著企業(yè)規(guī)模的不斷擴(kuò)大，這些各自為政所實(shí)施的局部應(yīng)用使得各系統(tǒng)之間彼此獨(dú)立，成為一個(gè)個(gè)“信息孤島”。企業(yè)的用戶就不得不在各個(gè)應(yīng)用系統(tǒng)之間來回穿梭，頻繁登錄，用戶信息混亂，企業(yè)的信息資源面臨巨大威脅。因此，急需在現(xiàn)有的應(yīng)用系統(tǒng)的基礎(chǔ)上建立一個(gè)覆蓋各區(qū)域、各部門，涵蓋企業(yè)各個(gè)方面的企業(yè)信息門戶。建立一個(gè)高安全性和可靠性的統(tǒng)一身份認(rèn)證系統(tǒng)是建立該信息門戶首要解決的問題。

1 企業(yè)統(tǒng)一身份認(rèn)證系統(tǒng)的目標(biāo)

　　統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)目標(biāo)是為跨區(qū)域企業(yè)的各種網(wǎng)絡(luò)服務(wù)和應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理平臺(tái)和身份認(rèn)證服務(wù)。企業(yè)用戶只需要使用同一用戶名、同一密碼就可以登錄所有允許他登錄的系統(tǒng)；并且，用戶只需登陸一次，就能在允許他登陸的多個(gè)系統(tǒng)間游走。另外，從管理角度出發(fā)，管理人員可以在同一認(rèn)證系統(tǒng)中集中對(duì)各個(gè)應(yīng)用系統(tǒng)的用戶進(jìn)行管理，有效提高整個(gè)企業(yè)的管理和運(yùn)行效率�？傊�，統(tǒng)一身份認(rèn)證平臺(tái)功能重點(diǎn)包括三個(gè)方面：用戶資料集中存儲(chǔ)和管理，用戶身份集中驗(yàn)證，用戶單點(diǎn)登錄。

2 企業(yè)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)

　　2.1 LDAP目錄系統(tǒng)設(shè)計(jì)

　　與一般的關(guān)系型數(shù)據(jù)庫(kù)不同，LDAP(Light Directory Access Protocol)是一種特殊的數(shù)據(jù)庫(kù)。它的主要任務(wù)不是數(shù)據(jù)的存儲(chǔ)和操作，因此并不像傳統(tǒng)的數(shù)據(jù)庫(kù)一樣支持復(fù)雜的事務(wù)或者回滾技術(shù)，它對(duì)查詢進(jìn)行了優(yōu)化，與寫性能相比LDAP的讀性能要強(qiáng)很多。LDAP還是一個(gè)安全的協(xié)議，它使用SASL(Simple Authentication Security Layer)協(xié)議，提供訪問控制。LDAP通過SSL/TLS(Secure Sockets Layer/Transport Layer Security)認(rèn)證機(jī)制來保護(hù)數(shù)據(jù)的完整性和私密性�；�于LDAP的應(yīng)用開發(fā)有標(biāo)準(zhǔn)的規(guī)范，可以在任何計(jì)算機(jī)平臺(tái)上訪問LDAP目錄，因此利用LDAP服務(wù)可以設(shè)計(jì)出跨平臺(tái)和應(yīng)用的統(tǒng)一身份認(rèn)證系統(tǒng)。

　　本文設(shè)計(jì)的系統(tǒng)采用LDAP目錄服務(wù)作為統(tǒng)一身份認(rèn)證的基礎(chǔ)，針對(duì)跨區(qū)域企業(yè)的機(jī)構(gòu)地理分布、應(yīng)用系統(tǒng)部署、網(wǎng)絡(luò)狀況等實(shí)際需求，企業(yè)的目錄系統(tǒng)采用企業(yè)總部，分公司兩級(jí)架構(gòu)設(shè)計(jì)，如圖l所示。各分公司在本地身份認(rèn)證目錄中存放和管理著本公司范圍內(nèi)的用戶身份信息，身份認(rèn)證管理系統(tǒng)會(huì)將這些目錄自動(dòng)實(shí)時(shí)同步到企業(yè)總部的身份認(rèn)證目錄中。因此，用戶在公司總部認(rèn)證目錄和分公司認(rèn)證目錄中都具有用戶身份，通過Mail屬性關(guān)聯(lián)，將Mail屬性作為標(biāo)識(shí)用戶身份的關(guān)鍵信息。

　　2.2 統(tǒng)一身份認(rèn)證系統(tǒng)的管理架構(gòu)設(shè)計(jì)

　　企業(yè)的統(tǒng)一身份認(rèn)證系統(tǒng)采用自由聯(lián)盟項(xiàng)目(Liberty Alliance Project)創(chuàng)建的開放及聯(lián)合的網(wǎng)絡(luò)身份認(rèn)證管理框架，如圖2所示。系統(tǒng)由兩大組件構(gòu)成：訪問網(wǎng)關(guān)和身份認(rèn)證管理服務(wù)器。訪問網(wǎng)關(guān)作為用戶的統(tǒng)一訪問人口，來提升企業(yè)門戶與應(yīng)用的訪問安全：身份認(rèn)證管理服務(wù)器管理用戶相關(guān)的訪問控制策略，并負(fù)責(zé)與訪問網(wǎng)關(guān)通訊。

　　訪問網(wǎng)關(guān)基于反向代理技術(shù)對(duì)后端的身份認(rèn)證管理系統(tǒng)、應(yīng)用系統(tǒng)等提供訪問保護(hù)、審計(jì)監(jiān)控等服務(wù)。身份認(rèn)證管理系統(tǒng)利用PORTLET集成到企業(yè)門戶中。企業(yè)的統(tǒng)一身份認(rèn)證系統(tǒng)在訪問網(wǎng)關(guān)中建立企業(yè)門戶的代理EIPProxy，代理對(duì)外的lP地址與企業(yè)門戶的IP地址不同，不允許用戶直接訪問企業(yè)門戶服務(wù)器。DNS域名系統(tǒng)中企業(yè)門戶的域名將指向訪問網(wǎng)關(guān)中企業(yè)門戶代理EIPProxy的lP地址，這樣，用戶在瀏覽器中輸入企業(yè)門戶的域名時(shí)，實(shí)際訪問的是訪問網(wǎng)關(guān)中企業(yè)門戶的代理。

　　訪問網(wǎng)關(guān)可以根據(jù)用戶請(qǐng)求資源的保護(hù)策略，決定是否對(duì)用戶身份進(jìn)行認(rèn)證，如果用戶請(qǐng)求企業(yè)門戶中受保護(hù)的資源，則訪問網(wǎng)關(guān)將用戶重定向到身份認(rèn)證管理系統(tǒng)，身份認(rèn)證管理系統(tǒng)認(rèn)證用戶身份，若用戶通過認(rèn)證，身份認(rèn)證管理系統(tǒng)將用戶的身份信息傳送給企業(yè)門戶，企業(yè)門戶將用戶請(qǐng)求的相關(guān)應(yīng)用系統(tǒng)中的資源返回給訪同同關(guān)，再由訪問網(wǎng)關(guān)將響應(yīng)返回給用戶。

　　2.3 單點(diǎn)登錄的設(shè)計(jì)

　　用戶的單點(diǎn)登錄主要是實(shí)現(xiàn)身份認(rèn)證管理系統(tǒng)將經(jīng)過鑒定的用戶信息以安全的方式傳遞給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)利用身份認(rèn)證系統(tǒng)傳遞的用戶信息確認(rèn)用戶身份，完成登錄，并將請(qǐng)求的資源返回給企業(yè)門戶。單點(diǎn)登錄涉及兩種情況：一種是用戶訪問本地的應(yīng)用系統(tǒng)，一種是用戶訪問其它地域的子公司或總公司的應(yīng)用系統(tǒng)。系統(tǒng)在設(shè)計(jì)時(shí)將同一個(gè)子公司的各個(gè)系統(tǒng)作為一個(gè)信任域，每個(gè)信任域內(nèi)都設(shè)有獨(dú)立的身份認(rèn)證管理系統(tǒng)：企業(yè)本部的身份認(rèn)證管理系統(tǒng)與分公司的身份認(rèn)證管理系統(tǒng)將建立級(jí)聯(lián)認(rèn)證關(guān)系。

　　當(dāng)用戶訪問本地的應(yīng)用系統(tǒng)時(shí)，先從身份認(rèn)證管理系統(tǒng)登錄認(rèn)證，如果通過驗(yàn)證，用戶就可以自由訪問該信任域內(nèi)的應(yīng)用系統(tǒng)。如果用戶跨域訪問其它地域的子公司或總公司受保護(hù)的應(yīng)用系統(tǒng)，分公司身份認(rèn)證管理系統(tǒng)將公司總部身份認(rèn)證管理系統(tǒng)作為“身份提供者IP(Identity Provider)”，公司總部身份認(rèn)證管理系統(tǒng)將分公司身份認(rèn)證管理系統(tǒng)作為“服務(wù)提供者SP(Service Provider)”，雙方基于SAML/Liberty協(xié)議進(jìn)行協(xié)商，確認(rèn)用戶是否已被認(rèn)證，如果已被認(rèn)證，則允許用戶訪問相關(guān)受保護(hù)的應(yīng)用系統(tǒng)。另外，如果要實(shí)現(xiàn)企業(yè)總部到分公司的跨域單點(diǎn)登錄，可以通過身份認(rèn)證管理系統(tǒng)將企業(yè)總部有權(quán)跟訪問分公司系統(tǒng)的用戶身份同步到分公司的認(rèn)證目錄中，身份認(rèn)證管理服務(wù)器再通過SAML/Liberty協(xié)商，實(shí)現(xiàn)公司總部到分公司的跨域級(jí)聯(lián)認(rèn)證。

3 企業(yè)統(tǒng)一身份認(rèn)證系統(tǒng)的實(shí)現(xiàn)

　　基于如上的設(shè)計(jì)思想實(shí)現(xiàn)了某跨區(qū)域大集團(tuán)公司的統(tǒng)一身份認(rèn)證入口，該集團(tuán)公司各分公司的員工以及外部人員均采用如下門戶網(wǎng)站統(tǒng)一登錄，如圖3所示。

4 結(jié)束語(yǔ)

　　建立一個(gè)高安全性和可靠性的統(tǒng)一身份認(rèn)證系統(tǒng)是企業(yè)集成各應(yīng)用系統(tǒng)建立企業(yè)信息門戶首要解決的問題。筆者綜合考慮了跨區(qū)域企業(yè)機(jī)構(gòu)地理分布、應(yīng)用系統(tǒng)部署情況，采用了LDAP目錄系統(tǒng)。設(shè)計(jì)了企業(yè)總部/分公司兩級(jí)目錄架構(gòu)存儲(chǔ)用戶身份信息�；�于Liberty的網(wǎng)絡(luò)身份認(rèn)證管理框架，設(shè)計(jì)了兩大組件：訪問網(wǎng)關(guān)和身份認(rèn)證管理服務(wù)器。訪問網(wǎng)關(guān)作為用戶的統(tǒng)一訪問入口，基于反向代理技術(shù)對(duì)后端的企業(yè)門戶提供訪問保護(hù)服務(wù)；身份認(rèn)證管理服務(wù)器對(duì)各應(yīng)用系統(tǒng)的用戶身份集中認(rèn)證。設(shè)計(jì)了企業(yè)的級(jí)聯(lián)認(rèn)證架構(gòu)，各域的身份認(rèn)證管理服務(wù)器基于級(jí)聯(lián)認(rèn)證架構(gòu)，通過SAML/Liberty協(xié)議協(xié)商，支持用戶的單點(diǎn)登錄�；�于該設(shè)計(jì)實(shí)現(xiàn)的統(tǒng)一身份認(rèn)證管理系統(tǒng)實(shí)現(xiàn)了跨區(qū)域信息化企業(yè)多個(gè)應(yīng)用系統(tǒng)用戶的集中管理、統(tǒng)一身份認(rèn)證和用戶的單點(diǎn)登錄問題，目前系統(tǒng)運(yùn)行良好。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：統(tǒng)一身份認(rèn)證在信息化企業(yè)中的應(yīng)用研究

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083953859.html