本站小編為你精心準(zhǔn)備了企業(yè)信息門戶單點(diǎn)登錄方案設(shè)計(jì)參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
文章摘要:
為了改進(jìn)當(dāng)前企業(yè)門戶系統(tǒng)用戶的單點(diǎn)登錄方式過于單一的問題,根據(jù)企業(yè)需求,必須從多角度、全方位考慮,從綜合、協(xié)同和一體化法方向?qū)τ脩暨M(jìn)行多立體和動(dòng)態(tài)身份認(rèn)證,提出了一種新型企業(yè)信息門戶單點(diǎn)登錄方案。首先給出了企業(yè)信息門戶總體設(shè)計(jì)方案,然后根據(jù)企業(yè)的實(shí)際需求提出了該單點(diǎn)登錄的總體設(shè)計(jì)思路。最后重點(diǎn)分析了SharePointServerSSO、基于CA的SSO和ADSI/LDAPInterface的設(shè)計(jì)。這樣不僅對現(xiàn)有的業(yè)務(wù)系統(tǒng)可以全方位認(rèn)證,還可以為以后系統(tǒng)擴(kuò)展提供預(yù)留接口。
關(guān)鍵詞:
企業(yè)信息門戶;單點(diǎn)登錄;SharePointServer;CA;LDAP
隨著云計(jì)算和大數(shù)據(jù)的迅速發(fā)展,企業(yè)用戶應(yīng)該可以通過自己的企業(yè)信息門戶(EIP)網(wǎng)站去訪問與之相關(guān)的業(yè)務(wù)系統(tǒng)。不僅可以訪問企業(yè)內(nèi)部的系統(tǒng),還可以訪問與企業(yè)相關(guān)的客戶系統(tǒng),得到相關(guān)的業(yè)務(wù)數(shù)據(jù)[1]。但無論是企業(yè)內(nèi)部的業(yè)務(wù)系統(tǒng),還是外部客戶業(yè)務(wù)系統(tǒng),都必須進(jìn)行身份認(rèn)證。傳統(tǒng)的單點(diǎn)登錄(SSO)系統(tǒng)設(shè)計(jì)方案是針對企業(yè)內(nèi)部的相關(guān)業(yè)務(wù)系統(tǒng)進(jìn)行免登錄設(shè)計(jì)的,這種登錄模式顯然無法滿足現(xiàn)在用戶的需求。如何完善傳統(tǒng)單點(diǎn)登錄系統(tǒng),本文以某大型制造企業(yè)的信息門戶系統(tǒng)為例,提出一種新型單點(diǎn)登錄系統(tǒng)設(shè)計(jì)方案。
1企業(yè)信息門戶系統(tǒng)總體架構(gòu)設(shè)計(jì)
系統(tǒng)的總體功能概括為:(1)框架功能:建立信息統(tǒng)一訪問入口,建立用戶目錄認(rèn)證系統(tǒng),進(jìn)行個(gè)性化配置、日常管理配置、管理報(bào)表配置、安裝管理等。(2)協(xié)作功能:建立統(tǒng)一協(xié)作工作平臺(tái)、建立統(tǒng)一搜索引擎、文檔管理引擎、日程表/工作列表、討論論壇等。(3)功能:內(nèi)容架構(gòu)定義、配置內(nèi)容管理系統(tǒng)。(4)整合功能:連接ERP系統(tǒng)、資金結(jié)算系統(tǒng),進(jìn)行數(shù)據(jù)整合、集中展現(xiàn)。(5)公文流轉(zhuǎn):實(shí)現(xiàn)靈活的辦公、辦文、辦會(huì)的事務(wù)管理。根據(jù)業(yè)務(wù)需求,將項(xiàng)目任務(wù)分成四個(gè)子系統(tǒng)進(jìn)行建設(shè),各子系統(tǒng)及其建設(shè)任務(wù)如下。(1)信息門戶子系統(tǒng),實(shí)現(xiàn)各信息系統(tǒng)之間的統(tǒng)一用戶認(rèn)證,建立起統(tǒng)一訪問入口。能讓用戶根據(jù)自己的需求創(chuàng)建各自的“企業(yè)信息門戶”群。(2)協(xié)同辦公子系統(tǒng):在“企業(yè)信息門戶”群中,建立多級(jí)辦公體系、搭建項(xiàng)目團(tuán)隊(duì)工作空間、豐富各種辦公協(xié)作類應(yīng)用,形成集團(tuán)統(tǒng)一的辦公協(xié)作及知識(shí)資源管理平臺(tái)。(3)知識(shí)管理與培訓(xùn)子系統(tǒng):構(gòu)建企業(yè)知識(shí)文檔中心和企業(yè)學(xué)習(xí)中心,對分散于企業(yè)每個(gè)員工的知識(shí)資料進(jìn)行有效管理。(4)數(shù)據(jù)整合子系統(tǒng):采用各種整合手段,對ERP系統(tǒng)、資金結(jié)算系統(tǒng)、、MES系統(tǒng)等系統(tǒng)的數(shù)據(jù)進(jìn)行集成,使“企業(yè)信息門戶”真正成為集辦公信息、協(xié)作信息、業(yè)務(wù)信息、項(xiàng)目信息于一體的“統(tǒng)一信息門戶”平臺(tái)。為了確保統(tǒng)一的入口和對用戶登錄及使用的透明,集團(tuán)總部的門戶(portal)系統(tǒng)和下屬企業(yè)的portal系統(tǒng)都將使用同樣的域名,通過下屬企業(yè)用戶和集團(tuán)用戶設(shè)置不同的DNS服務(wù)器,解析成不同的IP地址來實(shí)現(xiàn)不同地區(qū)用戶訪問不同的服務(wù)器。對于OA、IDS和郵件系統(tǒng)由于是通過portal門戶的單點(diǎn)登錄進(jìn)行訪問的,所以只需一次驗(yàn)證即可跨不同業(yè)務(wù)系統(tǒng)協(xié)同完成一次任務(wù)。
2.單點(diǎn)登錄系統(tǒng)總體設(shè)計(jì)
針對當(dāng)前EIP系統(tǒng)發(fā)展的需要,在企業(yè)內(nèi)部存在大量B/S、C/S的應(yīng)用系統(tǒng),比如資金結(jié)算系統(tǒng)、ERP系統(tǒng)、MES系統(tǒng),以及各種各樣對內(nèi)對外業(yè)務(wù)系統(tǒng),每個(gè)應(yīng)用系統(tǒng)都有自己的認(rèn)證模塊與權(quán)限控制模塊,為了實(shí)現(xiàn)對這些系統(tǒng)所管理資源的訪問控制,真正做到“單點(diǎn)登錄,全網(wǎng)通行”的功能。提出一種新型單點(diǎn)登錄,使之更為實(shí)用、可靠地應(yīng)用于EIP系統(tǒng)中。單點(diǎn)登錄系統(tǒng)總體設(shè)計(jì)方案劃分為“訪問接口層”、“目錄服務(wù)層”以及“目錄接口層”三個(gè)層次,如圖1所示。接口層的訪問:為應(yīng)用程序提供集中認(rèn)證服務(wù)的驗(yàn)證接口模塊。針對不同模式的應(yīng)用系統(tǒng),分為3個(gè)功能模塊:SharePointServerSSO、基于SSLCA安全的SSO認(rèn)證中心和ADSI/LDAPInterface。目錄服務(wù)層:目錄服務(wù)層是基于微軟活動(dòng)目錄服務(wù)技術(shù)實(shí)現(xiàn)的。目錄服務(wù)層為企業(yè)統(tǒng)一驗(yàn)證和資源管理提供一個(gè)基準(zhǔn)記錄,在目錄服務(wù)器內(nèi)包含了企業(yè)內(nèi)用戶和各種資源信息以及訪問權(quán)限信息,為各種應(yīng)用系統(tǒng)的驗(yàn)證過程提供一個(gè)參考標(biāo)準(zhǔn),使企業(yè)內(nèi)部有統(tǒng)一權(quán)限的管理基礎(chǔ),是實(shí)現(xiàn)SSO功能必不可少的部分之一。輕量級(jí)目錄訪問協(xié)議的訪問:輕量級(jí)目錄訪問協(xié)議(LDAP)訪問接口是為了和其他支持LDAP的目錄服務(wù)器以及用戶管理系統(tǒng)進(jìn)行交換的接口。這是因?yàn)槠髽I(yè)在電子商務(wù)全面開展的過程中,和其他職能部門、企業(yè)和同級(jí)企業(yè)門戶網(wǎng)站之間往往有相互訪問的需要。通過標(biāo)準(zhǔn)的LDAP協(xié)議,使SSO系統(tǒng)能夠和其他職能部門的目錄服務(wù)系統(tǒng)和人力資源系統(tǒng)等可以管理用戶驗(yàn)證信息的系統(tǒng)進(jìn)行交互,使他們之間相互驗(yàn)證成為可能。
3SharePointServerSSO設(shè)計(jì)
基本思想是建立一個(gè)加密的數(shù)據(jù)庫,把用戶的認(rèn)證信息,存到這個(gè)數(shù)據(jù)庫中。當(dāng)成功地驗(yàn)證了登錄SharePointServer(SPS)網(wǎng)站的用戶身份以后,就可以從加密的數(shù)據(jù)庫中,獲得用戶的信息,從而用來訪問其他的服務(wù)器或者一些第三方的服務(wù)器[2]。在第一次訪問與企業(yè)應(yīng)用程序集成的WebPart時(shí),如果用戶的憑據(jù)還沒有存儲(chǔ)在單點(diǎn)登錄數(shù)據(jù)庫中,那么該用戶將被重定向到一個(gè)登錄表單,這個(gè)表單提示用戶輸入訪問企業(yè)應(yīng)用程序所需要的適當(dāng)憑據(jù)。登錄表單中的字段編號(hào)、順序和名稱由管理員在應(yīng)用程序定義中配置;登錄表單就是基于這些配置設(shè)置自動(dòng)生成的。還需要在WebPart中編寫代碼來檢查數(shù)據(jù)庫中是否存在憑據(jù),并在必要時(shí)將用戶重定向到登錄表單。用戶提供的憑據(jù)然后被存儲(chǔ)在憑據(jù)存儲(chǔ)區(qū)中,并被映射到與該用戶的SPS帳戶相對應(yīng)的Windows帳戶。之后該用戶將被重定向回原先的WebPart。WebPart中的代碼然后以適合應(yīng)用程序的方式從憑據(jù)存儲(chǔ)區(qū)向應(yīng)用程序提交憑據(jù),同時(shí)檢索必要的信息,隨后在WebPart中向用戶顯示這些信息。
4基于CA的SSO設(shè)計(jì)
該設(shè)計(jì)是為解決企業(yè)內(nèi)部或外部B/S架構(gòu)的網(wǎng)絡(luò)應(yīng)用系統(tǒng)中身份認(rèn)證和安全傳輸問題[3]。使基于Web的應(yīng)用程序能夠通過一個(gè)通用的接口,實(shí)現(xiàn)“單點(diǎn)登錄、即可運(yùn)行”的功能。采用SSL客戶端和SSL服務(wù)器機(jī)制,使用證書機(jī)制認(rèn)證用戶身份,將驗(yàn)證后的用戶身份信息傳遞給應(yīng)用系統(tǒng),同時(shí)在原有的B/S客戶端與服務(wù)端之間建立一條高強(qiáng)度的加密通道,實(shí)現(xiàn)數(shù)據(jù)的保密性和完整性,保證數(shù)據(jù)的安全傳輸[4]。該子系統(tǒng)主要包括客戶端用戶操作界面,客戶端登錄,CA認(rèn)證服務(wù)器,登錄憑證信息庫,LDAP目錄服務(wù)器,SSL通信,CA認(rèn)證機(jī)構(gòu)幾個(gè)部分。LDAP目錄服務(wù)器用來保存用戶的數(shù)字證書、證書注銷列表以及用戶的基本信息等。
5ADSI/LDAPInterface設(shè)計(jì)
ADSI/LDAPInterface(ActiveDirectoryServiceInterfaces/LightweightDirectoryAccessProtocolADSI/LDAP接口)是基于業(yè)界標(biāo)準(zhǔn)目錄訪問協(xié)議的接口,也是微軟活動(dòng)目錄技術(shù)提供的,讓應(yīng)用程序?qū)崿F(xiàn)SSO功能的標(biāo)準(zhǔn)接口[5]。在將來開發(fā)的應(yīng)用系統(tǒng)中,只要利用ADSI/LDAP接口訪問的SSO系統(tǒng)目錄信息,同步其驗(yàn)證信息,就可以實(shí)現(xiàn)SSO的統(tǒng)一登錄。ADSI/LDAP接口意義在于為將來的應(yīng)用開發(fā)提供了符合業(yè)界標(biāo)準(zhǔn)的標(biāo)準(zhǔn)接口,是將來新應(yīng)用程序應(yīng)當(dāng)遵循的驗(yàn)證接口,應(yīng)用系統(tǒng)不僅僅讓用戶擁有單點(diǎn)登錄功能,還使應(yīng)用系統(tǒng)之間的信息和功能交換可以較容易地實(shí)現(xiàn)。LADPSERVER用來保存和管理用戶憑證,LADPDIRBASE是設(shè)計(jì)的重要部件。LADPDIRBASE的核心部件是目錄信息樹。目錄中用來存儲(chǔ)用戶基本信息、部門信息及用戶權(quán)限角色。當(dāng)用戶第一次登錄完成后,LDAPSERVER就獲取了用戶的UID和在部門的角色信息,并將其保存在憑證信息數(shù)據(jù)庫DB中,以后此用戶就可以在規(guī)定的角色范圍內(nèi)免登錄相應(yīng)的應(yīng)用系統(tǒng)。
6結(jié)束語
本文通過以某企業(yè)信息門戶需求為例,指出了當(dāng)前企業(yè)單點(diǎn)登錄的不足之處,提出了一種新型單點(diǎn)登錄方案,該方案使用了SPSSSO、基于CA的SSO和ADSI/LDAPInterface等技術(shù)協(xié)調(diào)完成用戶登錄認(rèn)證。該設(shè)計(jì)方案已經(jīng)成功運(yùn)行在某企業(yè)的門戶平臺(tái)中,實(shí)踐證明該方案不僅對現(xiàn)有的B/S架構(gòu)、C/S架構(gòu)業(yè)務(wù)系統(tǒng)可以全方位認(rèn)證,還可以為以后的系統(tǒng)擴(kuò)展提供預(yù)留接口。但是該設(shè)計(jì)方案在用戶并發(fā)數(shù)量較大時(shí),有較長的時(shí)間滯后性。此外單點(diǎn)登錄技術(shù)還在不斷完善,網(wǎng)絡(luò)攻擊手段還在不斷發(fā)展變化,怎樣才能更有效地克服用戶數(shù)量瓶頸,克服網(wǎng)絡(luò)攻擊,是我們今后急需解決的問題。
參考文獻(xiàn):
[1]鄧緒水,宋庭新,黃必清.單點(diǎn)登錄技術(shù)在企業(yè)資源集成中的應(yīng)用[J].湖北工業(yè)大學(xué)學(xué)報(bào),2010(02).
[2]薛輝,鄧軍.一個(gè)基于SharePointPortalServer2003的單點(diǎn)登錄模型設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(05).
[3]鄧軍,葉柏龍,薛輝.基于WebAccessCA的單點(diǎn)登錄技術(shù)解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(09).
[4]鄧軍,葉柏龍.身份認(rèn)證和安全傳輸方案的分析與設(shè)計(jì)[J].科學(xué)技術(shù)與工程,2007(02).
[5]張永強(qiáng),陳偉.基于LDAP的CAS單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].軟件,2011(02)
作者:薛輝 單位:湖南涉外經(jīng)濟(jì)學(xué)院