1 企業門戶采用統一身份認證的必要性
為了建立統一的內部工作平臺,企業內部門戶應該能夠通過統一的入口集成資源和應用,為不同層次的用戶提供集成化的信息服務,用戶只需一次登錄就能直接訪問門戶中的多個應用系統,從而避免多次認證,實現對不同資源與服務的獲取,使讀者能流暢地從各類資源與應用中獲取所需信息,門戶為用戶提供一站式、個性化、全面的服務。而企業門戶的統一身份認證,可以解決多個系統獨立認證的弊端:如用戶需要記憶多個賬戶和口令,使用極為不便:無法統一認證和授權策略;多個認證系統使管理工作成本日益增加。重復開發消耗開發成本和延緩開發進度等。建立基于Portal的統一認證系統對網絡用戶實行統一認證和統一授權是必要的。用戶要登錄系統。必須先到身份認證系統認證身份,才可以訪問各個應用系統的網絡資源,從而實現統一用戶管理、統一安全控制,管理員對整個網絡可以實現單點管理。
2 系統目標
為用戶提供一站式、個性化、全面的服務;實現統一用戶管理、統一安全控制、管理員對整個網絡實現單點管理:實現信息集成。
3 方案設計
(1)門戶系統功能架構
門戶系統功能架構如圖1所示。它是面向企業全體員工,用于辦公和管理的企業信息集成平臺。對企業內管理系統的信息進行有效的整合、組織、管理;利用和重組企業的數據資源實現內部信息共享和溝通。實現此功能架構。可有效發揮計算機系統的決策支持作用。
圖1 門戶系統功能架構
(2)用戶管理和單點登錄模塊總體設計
用戶管理和單點登錄模塊總體設計如圖2所示。統一用戶管理系統架構于IBM Websphere Portal門戶框架的基礎上,提供基于LDAP的用戶目錄管理,進行統一的用戶信息存儲、認證和管理。IBM Tivoli Identity Manager可進行用戶的批量創建、刪除和管理、實現系統統一、高效的用戶管理。IBM Tivoli Access Managerfor e-business為系統提供集中的、基于策略的認證和授權。
圖2 用戶管理和單點登錄模塊總體設計
(3)統一認證
本系統采用IBM 的第三方產品TAM 作為實現單點登陸的基礎。一個AM 的系統結構是由訪問者、策略執行者和目標三部分組成。在TAM 中有兩個重要的組件,分別是:TAM Policy Server,它為Access Manager安全域維護主授權數據庫,該服務器處理訪問控制、認證和授權請求;Web SEAL:一個Web逆向代理安全服務器。所有的內部請求都必須通過Web SEAL。要通過TAM 實現單點登錄,一般需要對要集成的系統做些改造。為了減少對集成應用系統的改造,同時節約整個系統實施的時間和成本。本項目中的統一認證分兩實現:門戶用戶身份認證和集成系統用戶身份認證。
1)Portal系統用戶的身份認證
門戶用戶的身份認證是TAM實現的。Tivoli Access Manager對用戶進行論證后,將根據配置產生Websphere平臺的LTPA Token。在隨后用戶對門戶平臺的訪問中,門戶平臺將不再對該用戶進行論證。實現與TAM 的集成
2)集成系統用戶的身份認證
當用戶通過門戶的認證,進入門戶平臺后,需要再通過集成系統的身份認證才能訪問相關的應用系統。為了減少對集成應用系統的改造,同時節約整個系統實施的時間和成本,集成系統用戶的身份認證是通過建立Portal系統用戶和后臺信息系統用戶的映射關系,實現基于門戶“用戶數據庫”的多項服務統一登錄管理。用戶通過門戶平臺訪問集成系統時的權限由應用系統管理。
3)Portal系統與集成系統的賬號關聯
本系統使用待登錄方式實現SSO(Single Sign On),其基本思想是:使用一種安全的密碼管理機制來存放用戶在各個系統中的密碼等用戶憑證,并與主用戶庫建立映射關系。用戶登錄門戶以后,進入應用系統前,由門戶幫用戶做一次登錄的操作。這種密碼管理機制可以通過Websphere Portal提供的憑證保險庫,或者TAM eb的GSO來實現。這種方案比較麻煩的是用戶在各個系統中憑證變更的管理,IBM 也提供IDI (IBM Directory integrator)、TIM(Tivoli identity manager)這些產品,可以解決這些問題,不過實施起來也是有點難度的。
本系統中企業自行開發的內部管理系統就是基于這種思想進行單點登錄,這里通過編程實現。若不想對集成的系統做任何改動,可采用這種方式簡單實現。要建立員工存Portal系統中的用戶名和其他系統中的用戶名之間的對應關系并保存。可保存在表中或LDAP中或文件系統中。當員工注冊集成系統信息后,即可通過Portal系統中的用戶名和密碼登錄門戶,然后直接訪問所有注冊的集成系統,而不需要進行二次登錄。
(4)數據結構設計
根據對系統的分析,筆者設計了LDAP中的應用集成目錄結構。在系統的目錄樹中,包含應用系統節點和用戶節點。應用系統節點由集成系統名稱、用戶標識參數、用戶口令標識參數和應用系統登陸窗口地址4個屬性組成。用戶節點由應用系統名稱、門戶用戶標識、集成系統用戶名和用戶口令4個屬性組成。基于LDAP服務器的特點和優勢,在統一身份認證平臺中,使用目錄服務技術來完成用戶身份信息和應用系統信息的存儲管理功能。
統一身份認證系統的用戶認證目錄樹結構設計,是應用集成目錄結構的子集,主要從訪問效率與性能方面考慮。DN為:O=xxx.com代表銀行的根域。目錄信息大體由三部分組成:“Ou=北京”用來管理區支行、分行機關、縣支行的用戶和賬號信息;Cn=users,是一些系統管理員用戶,如WPS系統管理員、DB2系統管理員等;Cn=groups用來管理組信息,可分為管理員組、欄目編寫組等。目錄服務器是整個統一用戶認證平臺的基礎。保證了數據一致性和完整性。
(5)授權服務系統
在完成用戶身份認證設計后,面臨的問題是當用戶登陸門戶后的權限控制問題。本系統中的授權分為兩種情況:一是授權管理的對象可以分為門戶資源(包括頁面、Portlet、頁面組和用戶組)和集成系統。對于門戶資源的管理使用RBAC(基于角色)的授權模式.即首先定義角色對資源的訪問權限,然后再定義用戶或用戶組所對應的角色;另外是對于集成系統的授權是由各應用系統自己管理的。
4 統一用戶管理的實現
統一用戶管理的關鍵是實現以LDAP (IDS)為中心,并保證IDS、DOMINO、TIM 服務器用戶信息的同步。相關準備工作包括:將用戶數據從現有的Domino服務器導入TIM,IDS服務器;在TIM 服務器中對用戶組織機構信息進行調整,并把所有的用戶信息重新進行歸類;人員同步:鑒于銀行人員調整的特點,初步把人員同步的頻率定為每周作一次。每周末,管理員從Domino的管理員那里得到一份人員變動的清單。登錄到TIM管理界面,對照清單和TIM 中的人員信息,確定要做的增、刪、改的操作。TIM與IDS的人員同步是按照配置好的同步策略自動實現的。
1)門戶用戶身份認證-SSO實現
要實現門戶用戶身份認證,需要配置門戶平臺與WEBSEAL的SSO。它是通過共享LTPA令牌原理實現的。基于商業套件Domino/Notes的單點登錄解決方案。銀行目前日常辦公系統包括文檔管理(Domino Document Manager)、即時通信(Sametime)以及郵件系統。
實施該方案,必須滿足以下條件。
所有的服務器必須配置成同一個DNS域的一部分,那么SSO將在所有WebSphere服務器之間起作用。所有服務器必須共享用戶注冊表。用戶注冊表可以是LDAP數據庫,也還可以是用戶自己實現的用戶注冊表。
所有的用戶定義必須要在一個單一的LDAP目錄中。
用戶的游覽器必須支持Cookie,因為服務器生成的信息將通過Cookies傳遞到客戶端,然后提交給用戶訪問的其他服務器進行論證。
所有的服務必須共享LTPA密鎖。
2)集成系統用戶身份認證
當用戶通過門戶的認證。還需要再通過集成系統的身份認證才能訪問相關的應用系統。這部分是通過自行開發實現的。當用戶登錄門戶后,在管理員配置好的集成系統列表中,選擇想進入的系統。如果用戶還沒有注冊此應用系統,選擇注冊即可。系統集成軟件結構可以分為管理員操作和用戶操作兩部分。管理用戶可以增加、刪除、修改能夠提供給用戶使用的應用系統。用戶可以在管理用戶配置提供的多個應用系統中,選擇使用某一個應用系統.通過添加、刪除、修改等方式動態的管理自己的應用系統列表。
5 總結與展望
本文設計了針對企業內網門戶的統一用戶管理、統一認證和授權管理的系統。使用待登錄方式編碼實現了集成系統的身份認證,并通過配置LTPA 密鑰實現Portal系統用戶的身份認證。對開發完的系統進行了部署。開發的統一身份認證系統在企業內網平臺上得到了很好地實踐和應用,目前運行良好。系統所使用的認證用戶數據庫來自于企業郵件系統,當在郵件系統中編輯了用戶時,在IDS中也應做相應的變動,目前是手工實現的這是后期有待解決的問題。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文標題:基于企業門戶統一認證系統的設計與實現
本文網址:http://www.lukmueng.com/html/consultation/1083939232.html
相關文章
