蔡芳

摘要：一個企業(yè)的信息化建設(shè)過程是循序漸進的，隨著業(yè)務(wù)需求及經(jīng)費的變化，會逐步建立起處理各種業(yè)務(wù)的應(yīng)用系統(tǒng)。為了將各種應(yīng)用系統(tǒng)和數(shù)據(jù)資源集成到一個信息管理平臺之上，并以統(tǒng)一的用戶界面提供給用戶，單點登錄是首先需要解決的問題。本文介紹了一種通過統(tǒng)一用戶管理、單點登錄技術(shù)，實現(xiàn)企業(yè)應(yīng)用系統(tǒng)集成的方法，解決了用戶一次登錄、全網(wǎng)通行的問題。該方法已經(jīng)在作者所在單位得到應(yīng)用，取得了較好的應(yīng)用效果。

關(guān)鍵詞：統(tǒng)一用戶，單點登錄，系統(tǒng)集成，門戶

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）27-0188-03

Abstract： With the development of enterprise informationization，a wide variety of application are used in the enterprise .In order to integrate the arious application systems and data resources into a single information management platform， and provide users with a unified user interface， single sign-on is the first problem to be solved. This paper describes a method through uniform user management and single sign-on technology to achieve enterprise application integration. It soved the problem of a single login， surfing on the internet or intranet freely. This method has been applied in the authors institute， an achieved good effect.

Key words： Uniform User； Single Sign-on； System Integration； Enterprise Information Portal

隨著企業(yè)信息化水平的不斷提高，越來越多的應(yīng)用系統(tǒng)投入使用，例如OA系統(tǒng)、人力資源系統(tǒng)、項目管理系統(tǒng)、PDM系統(tǒng)等。這些獨立的應(yīng)用系統(tǒng)都有自己一套完整的用戶管理與權(quán)限認(rèn)證體系。用戶如果需要訪問這些應(yīng)用系統(tǒng)，就需要記住各個系統(tǒng)中的賬號、密碼，頻繁的在不同系統(tǒng)之間登錄切換。這樣給用戶帶來了很大的不方便，同時也容易引起系統(tǒng)安全性的降低。

企業(yè)信息門戶是一種應(yīng)用集成框架，它將各種應(yīng)用系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源集成到一個信息管理平臺之上，并以統(tǒng)一的用戶界面提供給用戶。

在企業(yè)信息門戶平臺上，讓用戶僅輸入一次用戶名、密碼，通過一套安全身份認(rèn)證體系的身份鑒別，就可以分別登錄到OA系統(tǒng)、人力資源系統(tǒng)、項目管理系統(tǒng)、PDM系統(tǒng)等不同的應(yīng)用系統(tǒng)，而不需要重復(fù)登錄進行身份認(rèn)證。這是一個在企業(yè)應(yīng)用系統(tǒng)集成中迫切需要解決的問題，而解決這個問題的關(guān)鍵技術(shù)就是單點登錄技術(shù)（Single Sign-on，SSO）。

1 單點登錄技術(shù)

1.1單點登錄基本流程

單點登錄流程可以簡單描述如圖1所示。用戶訪問應(yīng)用系統(tǒng)時，先檢查其是否登錄，如果登錄則進入應(yīng)用系統(tǒng)中具體請求頁面，執(zhí)行后續(xù)操作；如果尚未登錄，則跳轉(zhuǎn)至用戶身份認(rèn)證系統(tǒng)中進行登錄認(rèn)證。認(rèn)證系統(tǒng)首先根據(jù)用戶的登錄信息進行身份校驗，如果通過校驗，則返回給用戶一個認(rèn)證的Ticket作為認(rèn)證憑據(jù)，用戶之后再訪問其他的應(yīng)用系統(tǒng)時就會帶上這個Ticket，作為認(rèn)證的憑據(jù)。應(yīng)用系統(tǒng)接收到用戶請求之后會把Ticket送到認(rèn)證系統(tǒng)中進行校驗，檢查Ticket的有效性。如果Ticket有效，則進入應(yīng)用系統(tǒng)中具體請求頁面，執(zhí)行后續(xù)操作；否則跳轉(zhuǎn)至登錄頁面，對用戶身份進行驗收。

作為用戶憑據(jù)的Ticket具有時效性和不可偽造性，以此保證用戶登錄安全可信。

單點登錄中的認(rèn)證服務(wù)器為所有用戶提供身份認(rèn)證管理，所有沒有經(jīng)過身份認(rèn)證的匿名用戶訪問應(yīng)用系統(tǒng)時都要求被重定向到登錄頁面進行身份驗證。未注冊的用戶需要先經(jīng)過注冊初始化后方可被驗證通過。

1.2 統(tǒng)一用戶管理

在單點登錄流程中，可以發(fā)現(xiàn)對用戶進行統(tǒng)一管理并認(rèn)證是最重要的環(huán)節(jié)。將所有應(yīng)用系統(tǒng)的用戶進行統(tǒng)一管理并與之前的系統(tǒng)內(nèi)部賬戶進行映射，不再需要各應(yīng)用系統(tǒng)進行獨立認(rèn)證，通過統(tǒng)一認(rèn)證服務(wù)器來實現(xiàn)統(tǒng)一認(rèn)證。

統(tǒng)一用戶就需要首先在統(tǒng)一的用戶管理系統(tǒng)中進行用戶錄入與維護，然后通過系統(tǒng)API接口或WebService服務(wù)對系統(tǒng)資源、用戶角色、用戶權(quán)限進行關(guān)系綁定，進而達到對用戶進行統(tǒng)一管理、對應(yīng)用系統(tǒng)權(quán)限進行統(tǒng)一分配。

中國飛機強度研究所內(nèi)部有HR-人力資源管理系統(tǒng)對全部員工的信息進行統(tǒng)一管理，因此HR系統(tǒng)就作為中央用戶數(shù)據(jù)源，用戶的部門、個人賬號、崗位等信息在該系統(tǒng)中進行注冊。之后，利用WebService接口將用戶信息同步至門戶（Portal）的統(tǒng)一用戶身份庫中，由門戶的統(tǒng)一用戶管理系統(tǒng)再通過接口對賬戶進行應(yīng)用系統(tǒng)的使用權(quán)限分配并將賬戶同步到相關(guān)的應(yīng)用系統(tǒng)中。

統(tǒng)一用戶管理流程如圖2所示。

目錄服務(wù)器是統(tǒng)一用戶管理與身份認(rèn)證的基礎(chǔ)平臺，對用戶信息進行統(tǒng)一管理，保證數(shù)據(jù)的一致性和完整性。本方法中通過輕量級目錄服務(wù)協(xié)議LDAP（Light weight Directory Access Protocol）將用戶及組織的信息以層次結(jié)構(gòu)、數(shù)據(jù)庫的方式進行統(tǒng)一管理。

2 基于門戶的單點登錄實現(xiàn)

本方法中，通過企業(yè)門戶平臺負(fù)責(zé)管理企業(yè)各個應(yīng)用系統(tǒng)訪問入口，將各應(yīng)用系統(tǒng)的身份認(rèn)證功能集中控制。實現(xiàn)用戶在門戶平臺認(rèn)證通過后，無需二次認(rèn)證，即可訪問其他應(yīng)用系統(tǒng)的效果。

2.1 用戶同步

1）用戶數(shù)據(jù)初始化

用戶數(shù)據(jù)初始化分為兩種：一種是已正式運行的應(yīng)用系統(tǒng)（例如OA系統(tǒng)），采用統(tǒng)一命名規(guī)則的用戶賬號，因系統(tǒng)中的部分歷史數(shù)據(jù)跟用戶信息關(guān)聯(lián)，用戶賬號命名規(guī)則改變后，為能保持歷史數(shù)據(jù)的正常查詢等操作，各業(yè)務(wù)系統(tǒng)自行在用戶數(shù)據(jù)庫中建立新、老賬號的對應(yīng)關(guān)系。一種是在建和未建的應(yīng)用系統(tǒng)，必須嚴(yán)格按照命名規(guī)則新建系統(tǒng)賬號及密碼。

2）用戶數(shù)據(jù)同步

將統(tǒng)一用戶管理系統(tǒng)中的用戶及組織機構(gòu)數(shù)據(jù)單向同步到個應(yīng)用系統(tǒng)中，可以采用即時觸發(fā)、單向、增量同步方式。當(dāng)統(tǒng)一用戶系統(tǒng)的數(shù)據(jù)發(fā)生更改后，根據(jù)之前制定的身份同步規(guī)則，即時將變更的賬號數(shù)據(jù)同步到對應(yīng)業(yè)務(wù)系統(tǒng)中。同步實現(xiàn)方式可以通過數(shù)據(jù)庫中間表的方式，也可以通過Webservice的方式。

2.2 單點登錄

單點登錄方式可以根據(jù)業(yè)務(wù)系統(tǒng)的開發(fā)需求分別采用兩種認(rèn)證方式：

（1）基于Cookie的認(rèn)證方式

Cookie方式是基于客戶端頁面中存儲的加密登錄信息，由業(yè)務(wù)系統(tǒng)提供驗證頁面，自主解析用戶名、密碼并認(rèn)證，同時跳轉(zhuǎn)至獲取的目標(biāo)URL地址，實現(xiàn)單點登錄。業(yè)務(wù)系統(tǒng)需要對登錄認(rèn)證模塊做相應(yīng)的功能改造。

在用戶通過單點登錄系統(tǒng)的認(rèn)證后，單點登錄系統(tǒng)將通過注入機制在Cookie中添加表示用戶關(guān)聯(lián)的賬號信息和請求的URL地址，并將請求轉(zhuǎn)發(fā)到業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)獲取賬號信息，確認(rèn)用戶身份后決定是否允許用戶跳轉(zhuǎn)至所請求的系統(tǒng)資源。

單點登錄系統(tǒng)在Cookie中注入的參數(shù)信息包括：

a） 系統(tǒng)編號：對應(yīng)業(yè)務(wù)系統(tǒng)賬號、密碼（加密后）信息，通過#號分割，編碼由企業(yè)門戶分配；

b） url：用戶請求的目標(biāo)地址url。

業(yè)務(wù)系統(tǒng)獲取Cookie中的參數(shù)值的Java示例代碼如圖3、圖4所示：

（2）基于header的認(rèn)證方式

http-header認(rèn)證允許將已認(rèn)證的用戶身份信息插入到聯(lián)結(jié)的第三方服務(wù)器為目的地的請求的HTTP頭，HTTP頭信息使已聯(lián)結(jié)的第三方服務(wù)器上的應(yīng)用程序基于用戶身份信息執(zhí)行特定于用戶的操作。

客戶機瀏覽器請求收保護的第三方服務(wù)器上的應(yīng)用程序，通過網(wǎng)關(guān)認(rèn)證系統(tǒng)進行身份認(rèn)證，建立新的基本認(rèn)證頭，將請求通過聯(lián)結(jié)發(fā)送到第三方服務(wù)器的應(yīng)用程序上，第三方服務(wù)器的應(yīng)用程序不需要用戶認(rèn)證，直接讀取基本認(rèn)證頭中的用戶身份信息，并進行相應(yīng)的用戶操作。

認(rèn)證頭中存儲的header信息：iv-user

第三方應(yīng)用程序獲取header信息：request.getHeader（"iv-user"）；

應(yīng)用系統(tǒng)獲取Http Header中的參數(shù)值的Java示例代碼如圖5所示：

3 應(yīng)用效果評價

在2016年初，中國飛機強度研究所對現(xiàn)有應(yīng)用系統(tǒng)進行了改造升級，將已有的和在建的應(yīng)用系統(tǒng)進行統(tǒng)一整合。整合過程中采用了本文介紹的方法，完全實現(xiàn)了一次登錄、全網(wǎng)通行的目標(biāo)。1000余個賬號登錄各應(yīng)用系統(tǒng)效率高，未發(fā)現(xiàn)重復(fù)認(rèn)證或登錄延時等問題，成功完成了對多個業(yè)務(wù)系統(tǒng)的集成整合工作。

4 結(jié)束語

本文針對企業(yè)在信息化建設(shè)過程中出現(xiàn)的各應(yīng)用系統(tǒng)用戶系統(tǒng)獨立、身份認(rèn)證系統(tǒng)獨立的現(xiàn)狀，深入分析、研究統(tǒng)一用戶管理技術(shù)、單點登錄技術(shù)，在確保各應(yīng)用系統(tǒng)正常運行不受較大干擾的前提下，實現(xiàn)了對OA系統(tǒng)、人力資源系統(tǒng)、項目管理系統(tǒng)、PDM系統(tǒng)等多個應(yīng)用系統(tǒng)的單點登錄。該方法在研究所內(nèi)部得到了高度認(rèn)可，同時也在其他行業(yè)得到了認(rèn)可，可以在行業(yè)內(nèi)部以及其他行業(yè)推廣應(yīng)用。

參考文獻：

[1] 胡建鵬. 基于Portal的統(tǒng)一身份認(rèn)證與系統(tǒng)集成研究[J].計算機工程與科學(xué)， 2010，32（12）： 30-33.

[2] 吳茂傳，郭陽，胡昌平.基于Web的單點登錄技術(shù)在企業(yè)集成中的應(yīng)用[J].淮海工學(xué)院學(xué)報（自然科學(xué)版）， 2008，17（1）：29-32.

[3] 朱才祥.基于門戶的企業(yè)應(yīng)用系統(tǒng)集成技術(shù)研究[J].科技信息， 2014，13：79-80.

[4] http：//www.baidu.com