摘要：本文提出了一個(gè)基于.NET Passport 認(rèn)證機(jī)制的統(tǒng)一身份認(rèn)證系統(tǒng)，本系統(tǒng)利用Active Directory組件建立目錄服務(wù)數(shù)據(jù)庫(kù)和SQLServer數(shù)據(jù)庫(kù)，實(shí)現(xiàn)用戶信息、組織架構(gòu)和角色的統(tǒng)一管理，實(shí)現(xiàn)用戶單點(diǎn)登錄，實(shí)現(xiàn)用戶統(tǒng)一身份認(rèn)證，為數(shù)字化校園建設(shè)提供了技術(shù)參考。

關(guān)鍵詞：認(rèn)證；Active Directory；WebService

中圖分類(lèi)號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 21-0000-02

1 前言

目前，數(shù)字化校園建設(shè)中基于校園網(wǎng)的應(yīng)用系統(tǒng)越來(lái)越多，如教務(wù)管理系統(tǒng)、數(shù)字化圖書(shū)館、校園網(wǎng)BBS系統(tǒng)等，在沒(méi)有統(tǒng)一身份管理的情況下，不同的業(yè)務(wù)系統(tǒng)需要各自維護(hù)一套用戶身份信息。對(duì)于普通用戶而言，需要對(duì)每個(gè)系統(tǒng)記憶一套登錄名和密碼。隨著系統(tǒng)數(shù)量增加，用戶必將通過(guò)降低密碼復(fù)雜度等為代價(jià)記住不同系統(tǒng)的登錄信息。一套統(tǒng)一的身份管理系統(tǒng)能夠讓IT集中精力，只要完善一套身份管理系統(tǒng)的維護(hù)，就能提綱挈領(lǐng)統(tǒng)攬全局。

2 統(tǒng)一認(rèn)證框架設(shè)計(jì)

本系統(tǒng)的框架采用.NET平臺(tái)進(jìn)行設(shè)計(jì)，從邏輯角度上將系統(tǒng)框架分為：表示層、業(yè)務(wù)層、業(yè)務(wù)數(shù)據(jù)訪問(wèn)層、數(shù)據(jù)訪問(wèn)層，每層完成不同的功能：

（1）管理界面使用ASP.NET實(shí)現(xiàn)，管理員通過(guò)IE瀏覽器使用HTTP協(xié)議訪問(wèn)管理站點(diǎn)，實(shí)現(xiàn)用戶信息、部門(mén)信息和角色的統(tǒng)一管理。

（2）接口組件使用ASP.NET Web Services實(shí)現(xiàn)，應(yīng)用系統(tǒng)通過(guò)SOAP協(xié)議與接口組件進(jìn)行交互，實(shí)現(xiàn)系統(tǒng)的單點(diǎn)登錄和授權(quán)服務(wù)。

（3）所有的功能組件，包括數(shù)據(jù)庫(kù)訪問(wèn)組件和AD訪問(wèn)組件，使用.NET平臺(tái)實(shí)現(xiàn)，并作為程序集進(jìn)行發(fā)布。

（4）SQLServer數(shù)據(jù)庫(kù)存儲(chǔ)權(quán)限信息和校內(nèi)用戶信息，Windows活動(dòng)目錄采用標(biāo)準(zhǔn)的LDAP目錄服務(wù)數(shù)據(jù)庫(kù)，存儲(chǔ)校內(nèi)用戶信息和應(yīng)用系統(tǒng)信息，SQLServer數(shù)據(jù)庫(kù)和活動(dòng)目錄實(shí)現(xiàn)數(shù)據(jù)同步，為校園網(wǎng)的各類(lèi)應(yīng)用系統(tǒng)提供用戶信息的共享和使用。

（5）數(shù)據(jù)庫(kù)訪問(wèn)組件通過(guò)ADO.NET與數(shù)據(jù)庫(kù)交互。AD訪問(wèn)組件通過(guò).NET的類(lèi)庫(kù)使用LDAP協(xié)議與活動(dòng)目錄交互。

3 統(tǒng)一認(rèn)證的實(shí)現(xiàn)

統(tǒng)一身份認(rèn)證平臺(tái)包含三大邏輯組成部分：目錄服務(wù)、用戶身份管理服務(wù)和用戶身份認(rèn)證服務(wù)， 其中目錄服務(wù)實(shí)現(xiàn)用戶信息和應(yīng)用系統(tǒng)信息的集中存儲(chǔ)，用戶身份認(rèn)證服務(wù)是核心，實(shí)現(xiàn)對(duì)用戶的集中管理、統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)，以及實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的訪問(wèn)控制。

3.1 目錄服務(wù)及用戶身份管理服務(wù)的實(shí)現(xiàn)

目錄服務(wù)是一種特殊的數(shù)據(jù)庫(kù)系統(tǒng)，可以存儲(chǔ)包括個(gè)人信息、web鏈結(jié)、jpeg圖像等各種更新頻率不大的信息。通過(guò)LDAP輕型目錄訪問(wèn)協(xié)議訪問(wèn)Acitve Directory中的數(shù)據(jù)。

（1）目錄設(shè)計(jì)

一棵目錄信息樹(shù)由若干條目組成，每個(gè)條目有惟一的標(biāo)識(shí)名DN，條目可以描述用戶賬號(hào)、打印機(jī)和計(jì)算機(jī)等對(duì)象。一個(gè)條目是一個(gè)對(duì)象，每個(gè)條目由多個(gè)“屬性”組成，每個(gè)屬性由一個(gè)類(lèi)型和一個(gè)到多個(gè)值組成，每個(gè)屬性可以對(duì)應(yīng)一個(gè)或多個(gè)“值”，如聯(lián)系電話屬性可以包含有多個(gè)值。

目錄系統(tǒng)一般包括用戶目錄、組織機(jī)構(gòu)目錄、用戶權(quán)限目錄。用戶目錄存儲(chǔ)認(rèn)證系統(tǒng)用戶信息和應(yīng)用系統(tǒng)用戶信息，認(rèn)證系統(tǒng)用戶信息只存儲(chǔ)用戶的基本信息，如一卡通卡號(hào)、電話、電子郵件、學(xué)院等，應(yīng)用系統(tǒng)用戶信息則存儲(chǔ)應(yīng)用系統(tǒng)域名、IP地址等；組織結(jié)構(gòu)目錄存儲(chǔ)學(xué)院、行政機(jī)構(gòu)等各種組織機(jī)構(gòu)及下級(jí)分支機(jī)構(gòu)；用戶權(quán)限目錄存儲(chǔ)不同用戶的權(quán)限信息，在權(quán)限目錄設(shè)計(jì)中可將不同組織機(jī)構(gòu)人員的權(quán)限整體劃分為元權(quán)限，將多個(gè)元權(quán)限賦給不同應(yīng)用系統(tǒng)的角色，一個(gè)用戶可以擁有多個(gè)角色。

（2）目錄服務(wù)部署與管理

在完成系統(tǒng)的目錄設(shè)計(jì)后，就可以按照設(shè)計(jì)思想在Active Directory上創(chuàng)建目錄，并部署和管理目錄服務(wù)。Active Directory自帶有一套目錄管理系統(tǒng)，系統(tǒng)開(kāi)發(fā)人員可以使用這套系統(tǒng)來(lái)管理目錄，也可以按照目錄服務(wù)的要求自行設(shè)計(jì)一套管理系統(tǒng)，以便更好地滿足目錄管理的需求。

.Net架構(gòu)對(duì)Active Directory提供了豐富的支持功能，其命名空間 System.DirectoryServices包含的DirectoryEntry、DirectorySearcher等類(lèi)庫(kù)可與任何 Active Directory 服務(wù)提供程序一起使用.

3.2 用戶身份認(rèn)證服務(wù)的實(shí)現(xiàn)

由于所有主要的平臺(tái)均可通過(guò) Web 瀏覽器來(lái)訪問(wèn) Web，Web Services可以看成是部署在Internet上的API， 不同的平臺(tái)可以借此進(jìn)行交互，它可以方便被應(yīng)用程序甚至其它Web Services集成和調(diào)用，形成新的應(yīng)用服務(wù)。本系統(tǒng)的身份認(rèn)證子模塊基于ASP.NET Web Service實(shí)現(xiàn)，以下為部分參考代碼。