1引言

    在企業(yè)信息應(yīng)用上不同的服務(wù)由不同的系統(tǒng)提供，但是這些服務(wù)仍提供給某些特定系統(tǒng)的特定用戶，并且出于應(yīng)用系統(tǒng)安全上的需要，每一個系統(tǒng)都需要對用戶的身份進(jìn)行認(rèn)證和對其用戶所訪問的系統(tǒng)功能進(jìn)行授權(quán)，應(yīng)用系統(tǒng)在用戶管理上基本上都自成體系，以保證合法用戶的權(quán)益，拒統(tǒng)要求提供不同的用戶名和口令，這樣給用戶帶來了極大的不便;同時，口令存儲環(huán)節(jié)的增加，也增加了口令泄露的可能性。

    同時，在推進(jìn)企業(yè)單位信息化建設(shè)的進(jìn)程中，也普遍存在多個系統(tǒng)信息資源目錄的統(tǒng)一問題，普遍存在統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)管理問題，普遍存在統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)機(jī)制、分級分類認(rèn)證和授權(quán)操作問題。這些問題的解決直接影響整個信息資源系統(tǒng)的可控性和安全性。這是當(dāng)前各企業(yè)單位信息化建設(shè)中的一個關(guān)鍵問題。

    用戶認(rèn)證和授權(quán)管理正是基于上述需求，而設(shè)計(jì)開發(fā)的認(rèn)證和授權(quán)管理類安全控制系統(tǒng)，提供與當(dāng)前企業(yè)單位實(shí)際組織體系和業(yè)務(wù)模式相適應(yīng)的分級分類認(rèn)證和授權(quán)機(jī)制。向用戶和應(yīng)用系統(tǒng)提供整合的認(rèn)證和授權(quán)控制管理服務(wù)，提供用戶身份認(rèn)證到應(yīng)用授權(quán)的映射功能。提供用戶控制的基于多種業(yè)務(wù)屬性組合條件下靈活的授權(quán)和訪問控制機(jī)制，簡化具體應(yīng)用系統(tǒng)的開發(fā)維護(hù)。

    圖1統(tǒng)一用戶認(rèn)證和統(tǒng)一用戶授權(quán)實(shí)施前后比較圖

    下面對用戶統(tǒng)一授權(quán)管理的實(shí)現(xiàn)進(jìn)行重點(diǎn)介紹，由于統(tǒng)一用戶認(rèn)證發(fā)展的較早，且已普遍應(yīng)用在企業(yè)信息系統(tǒng)中，這里只做概要介紹。

2統(tǒng)一用戶認(rèn)證

    為了解決多系統(tǒng)中存在的多重帳號/口令管理而提出的解決方案，它應(yīng)有統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證和接口服務(wù)等三大主要部分組成。

    2.1統(tǒng)一用戶管理

    建立權(quán)威的、適合各應(yīng)用系統(tǒng)使用的統(tǒng)一帳號數(shù)據(jù)庫，帳號數(shù)據(jù)庫可基于活動目錄或關(guān)系型數(shù)據(jù)庫建立。統(tǒng)一用戶管理模塊，可供系統(tǒng)管理人員和各單位內(nèi)部管理員使用，可以分級維護(hù)所有的組織單位和人員信息，包括:用戶添加、用戶管理、組織單位管理、角色管理、用戶角色關(guān)系配置。

    2.2統(tǒng)一身份認(rèn)證

    作為電子政務(wù)應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證模塊，是實(shí)現(xiàn)單點(diǎn)登錄的基礎(chǔ)，可根據(jù)不同的認(rèn)證需要選擇不同的認(rèn)證方式，為不同類型的用戶提供了安全認(rèn)證服務(wù)。常見的認(rèn)證方式有:Windows域集成認(rèn)證、表單用戶口令認(rèn)證、數(shù)字證書認(rèn)證。所有的用戶均可通過訪問統(tǒng)一身份認(rèn)證的入口來完成政務(wù)系統(tǒng)的單點(diǎn)登錄。

    圖2統(tǒng)一用戶身份認(rèn)證模式圖

    2.3接口服務(wù)

    對外提供標(biāo)準(zhǔn)的WebService服務(wù)，允許其他應(yīng)用系統(tǒng)調(diào)用。主要接口包括:組織架構(gòu)和用戶帳號信息的下載接口;用戶登錄驗(yàn)證接口;用戶管理、組織架構(gòu)管理的接口等。

    統(tǒng)一用戶認(rèn)證我們很好的實(shí)現(xiàn)了，我們已經(jīng)開發(fā)了相關(guān)的統(tǒng)一用戶認(rèn)證系統(tǒng)，提供了基本的用戶認(rèn)證接口以及相關(guān)的用戶管理和用戶認(rèn)證，認(rèn)證接口只提供簡單的用戶和密碼認(rèn)證，并且識別該用戶是否是有登陸相關(guān)系統(tǒng)的許可(只是解決了用戶和系統(tǒng)間的對應(yīng)關(guān)系，還不涉及訪問權(quán)限與數(shù)據(jù)操作權(quán)限的認(rèn)證)，然后各系統(tǒng)按照要求驗(yàn)證用戶密碼。

3用戶統(tǒng)一授權(quán)

    統(tǒng)一認(rèn)證只是第一步，而要做到統(tǒng)一授權(quán)那么難度就將大大加大，因?yàn)楦鱾�系統(tǒng)的權(quán)限管理是不一樣，有些比較簡單，只需要控制訪問權(quán)限便可，而有些除了要控制訪問權(quán)限，還要控制數(shù)據(jù)操作權(quán)限，因此要使統(tǒng)一用戶管理系統(tǒng)能實(shí)現(xiàn)對各用戶在不同系統(tǒng)的權(quán)限進(jìn)行統(tǒng)一管理，授權(quán)是一件很不容易的事情。

    下面我們簡單的介紹一下統(tǒng)一用戶授權(quán)的兩種方法:

    方法一:只在統(tǒng)一用戶管理系統(tǒng)中建立用戶和各系統(tǒng)角色的對應(yīng)關(guān)系，這種方式就只能告訴統(tǒng)一用戶管理人員，該用戶在各系統(tǒng)有什么權(quán)限，但真正的賦權(quán)還是在各系統(tǒng)進(jìn)行，各系統(tǒng)在新增角色或者為用戶更改角色時只需要通過相關(guān)的同步接口通知統(tǒng)一用戶管理系統(tǒng)就行，注意只是提供角色的描述，或者數(shù)據(jù)操作權(quán)限的簡單描述，因?yàn)檫@樣對統(tǒng)一用戶管理系統(tǒng)的權(quán)限模型要求不高，只要能提供可對角色和操作進(jìn)行描述的模型就行。因此統(tǒng)一用戶管理系統(tǒng)并不能真正依賴這些信息來獲取用戶的正確的權(quán)限信息，統(tǒng)一用戶認(rèn)證接口并不把相關(guān)的角色或操作權(quán)限通過接口傳送給各個應(yīng)用系統(tǒng)，用戶登陸后再在各系統(tǒng)權(quán)限模型中獲取相關(guān)的操作權(quán)限和數(shù)據(jù)操作權(quán)限。

    這種方式是不能實(shí)現(xiàn)統(tǒng)一授權(quán)，只能為管理人員提供統(tǒng)一的用戶權(quán)限視圖，但實(shí)現(xiàn)方式相對簡單，只能作為一種過渡的方法，本文不作更深的研究。

    方法二:這是一個終極目標(biāo)的做法，這個方法是將所有系統(tǒng)的權(quán)限控制部分都建在統(tǒng)一用戶管理系統(tǒng)中。首先，統(tǒng)一用戶管理系統(tǒng)在設(shè)計(jì)時就要能建立一個能適應(yīng)各種系統(tǒng)權(quán)限管理要求的權(quán)限模型。對于己建立的老系統(tǒng)，各系統(tǒng)將自己的用戶角色管理，角色一權(quán)限管理等部分抽離出來，統(tǒng)一放在統(tǒng)一用戶管理系統(tǒng)中，而對于新建立的系統(tǒng)，各系統(tǒng)在建設(shè)的初期就要把自己權(quán)限設(shè)計(jì)的要求提交給統(tǒng)一用戶管理系統(tǒng)，按照其需求在本身統(tǒng)一用戶管理系統(tǒng)的權(quán)限模型上去構(gòu)建出該系統(tǒng)的實(shí)例。那么管理員就可以通過統(tǒng)一授權(quán)系統(tǒng)為各用戶在不同系統(tǒng)的權(quán)限進(jìn)行配置，在登陸時各系統(tǒng)就調(diào)用相關(guān)的統(tǒng)一認(rèn)證和授權(quán)接口，獲取用戶相關(guān)的權(quán)限信息，進(jìn)到各系統(tǒng)后再創(chuàng)建用戶，將相關(guān)的權(quán)限信息賦予給用戶類，然后就可以在應(yīng)用系統(tǒng)中進(jìn)行權(quán)限驗(yàn)證。

    這種方式既能對用戶進(jìn)行統(tǒng)一的授權(quán)和認(rèn)證，也能展現(xiàn)各用戶的統(tǒng)一權(quán)限視圖，在本文中我們主要研究此種方法。

    統(tǒng)一用戶授權(quán)管理是以資源的授權(quán)、訪問決策控制集中管理為目標(biāo)，以資源的訪問控制為導(dǎo)向，以資源的安全、防擴(kuò)散為前提，將各個應(yīng)用系統(tǒng)的所有受控資源進(jìn)行統(tǒng)一授權(quán)，不僅可以保護(hù)應(yīng)用系統(tǒng)的信息安全、建立全面的信息保密制度，同時滿足對系統(tǒng)文檔加密和授權(quán)需求，構(gòu)建安全可控的文檔安全、防擴(kuò)散管理系統(tǒng)。

    圖3企業(yè)級認(rèn)證授權(quán)中心的實(shí)現(xiàn)

    3.1用戶角色管理

    “角色”主要用來區(qū)別各類不同用戶，通過把用戶加入到某一種角色來實(shí)現(xiàn)該用戶的權(quán)限分配。管理員可以添加自定義的角色，從而實(shí)現(xiàn)靈活的系統(tǒng)配置。如建立表1的用戶角色表。

    3.2模塊管理

    為控制用戶使用系統(tǒng)各功能模塊的權(quán)限，把系統(tǒng)中所有的功能項(xiàng)添加到模塊表中，添加到表中的模塊以菜單的形式顯示在系統(tǒng)中。增加新的功能模塊時，添加模塊表，把新增的模塊納入一致的權(quán)限管理范疇。如表2的某系統(tǒng)各模塊編碼表。

    3.3模塊授權(quán)配置

    對系統(tǒng)各個模塊進(jìn)行定義，并設(shè)置對哪些角色、部門和用戶開放，從而實(shí)現(xiàn)模塊的訪問控制，確保信息安全。沒有權(quán)限的用戶將無法使用對應(yīng)模塊。有多少套系統(tǒng)就建立多少張象表3一樣的“用戶和xx系統(tǒng)各模塊授權(quán)表”。其中表3豎欄“Y1, Y2, Y3, Y4, Y5,..、Yn-1,Yn,..”為用戶;表3橫欄“Gnl, Gn2, Gn3. Gn4、..、Gng、.."為模塊;表3中間的內(nèi)容為授權(quán)結(jié)果，01”為己授權(quán)，“0”沒有授權(quán)。如用戶Y1在使用。系統(tǒng)模塊Gn2有權(quán)限，用戶Y1在使用xx系統(tǒng)模塊Gn1沒有權(quán)限，如此，用戶YZ對所有應(yīng)用系統(tǒng)中的各個模塊的權(quán)限就確定了。其他用戶仿照用戶Y1授權(quán)辦法授權(quán)，這樣就實(shí)現(xiàn)了用戶集中授權(quán)問題，如表3所示。

    表1用戶角色表

    表2 xx系統(tǒng)模塊編碼表

    表3用戶和xx系統(tǒng)各模塊授權(quán)表

4分級統(tǒng)一用戶認(rèn)證和授權(quán)管理

    建立企業(yè)級總部統(tǒng)一認(rèn)證、授權(quán)服務(wù)器和二級認(rèn)證、授權(quán)服務(wù)器群組(二級認(rèn)證、授權(quán)服務(wù)器1，二級認(rèn)證、授權(quán)服務(wù)器2,......，二級認(rèn)證、授權(quán)服務(wù)器n)。企業(yè)級總部統(tǒng)一認(rèn)證、授權(quán)服務(wù)器包含了二級認(rèn)證、授權(quán)服務(wù)器群組中的所有用戶信息和統(tǒng)一認(rèn)證、授權(quán)信息等，二級認(rèn)證、授權(quán)服務(wù)器群組中的每一組用戶信息和統(tǒng)一認(rèn)證、授權(quán)信息等是企業(yè)級總部統(tǒng)一認(rèn)證、授權(quán)服務(wù)器中用戶信息和統(tǒng)一認(rèn)證、授權(quán)信息等的子集。這樣就可以實(shí)現(xiàn)分級統(tǒng)一的用戶認(rèn)證和授權(quán)管理中心的建立，如圖4所示。

    圖4 分級統(tǒng)一用戶身份認(rèn)證和授權(quán)總體架構(gòu)圖

5結(jié)束語

    用戶集中統(tǒng)一認(rèn)證己在新祖油田信息化建設(shè)中成功應(yīng)用數(shù)年，用戶集中授權(quán)工作新祖油田還在規(guī)劃和設(shè)想當(dāng)中，本文提出的用戶集中授權(quán)方案在2005年就開始設(shè)想，只是當(dāng)時用戶集中統(tǒng)一認(rèn)證工作才剛剛正式開始實(shí)施，那個時候再開始實(shí)施用戶集中授權(quán)工作存在許多的困難，特別是工作量較大，再加上思想意思還沒有完全到位，所以就放到今天還沒有開始實(shí)施，但這個方案從理論上和實(shí)踐上都不會有問題，是一個完全行的通的技術(shù)方案.本文公開此技術(shù)方案是想和同行們共同探討和分享信息化技術(shù)成果，有不妥之處敬請批評指正。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：統(tǒng)一用戶認(rèn)證和授權(quán)管理的實(shí)現(xiàn)

本文網(wǎng)址：http://www.oesoe.com/html/support/1112157815.html