王 平

（中國石油大學(xué)〈華東〉網(wǎng)絡(luò)及教育技術(shù)中心，山東 青島 266580）

0 前言

近幾年，學(xué)校的信息系統(tǒng)建設(shè)已基本完成，但是因為沒有統(tǒng)一的信息門戶，所以各個信息系統(tǒng)都各自擁有一套賬號和密碼，使得用戶在使用這些信息系統(tǒng)的時候需要記憶多個賬號和密碼，為了解決這種“多賬號密碼”的問題，需要通過建設(shè)一個統(tǒng)一的信息門戶為用戶提供一個統(tǒng)一的認證和訪問入口，同時還可以提供一個信息展示窗口，整合現(xiàn)有分散的信息系統(tǒng)，為信息有效共享提供一個支撐平臺。

整合現(xiàn)有分散的信息系統(tǒng)的難點是對各個異構(gòu)應(yīng)用系統(tǒng)的整合，其關(guān)鍵是通過信息門戶解決用戶認證、單點登錄、授權(quán)問題。用戶認證是信息門戶對使用系統(tǒng)的用戶身份進行合法性判斷；單點登錄是當(dāng)合法用戶登錄信息門戶后，可以直接點擊信息門戶中集成的各個應(yīng)用系統(tǒng)進入使用其資源，而不需要在使用這些應(yīng)用系統(tǒng)的時候再次輸入賬號密碼進行登錄；授權(quán)是信息門戶為了保證集成的各個應(yīng)用系統(tǒng)的安全，對合法用戶在各應(yīng)用系統(tǒng)中的資源使用進行權(quán)限設(shè)置并管理，確保合法用戶只能在各個應(yīng)用系統(tǒng)授權(quán)的范圍內(nèi)進行操作[1-3]。

1 用戶認證

傳統(tǒng)的用戶身份認證方式是每個應(yīng)用系統(tǒng)都自己建立并維護，其用戶身份的管理與認證是相互獨立的，這種方式簡便易行，但弊端也非常明顯，用戶身份信息需要多次重復(fù)建立，并且要各自獨立進行更新和管理，有時甚至?xí)霈F(xiàn)不同的應(yīng)用系統(tǒng)中的用戶身份信息不一致的問題，而且在訪問各個應(yīng)用系統(tǒng)的時候還需要多次輸入賬號密碼進行不同的認證，使用戶既要記憶多個賬號密碼又要重復(fù)輸入，增加了記憶的困難度和操作的重復(fù)性。為了解決這些問題，本文將通過信息門戶整合應(yīng)用系統(tǒng)的認證流程，為用戶提供單點登錄[4]。

用戶想要通過認證請求受保護資源時，首先是通過瀏覽器訪問CAS（Central Authentication Service，中央認證服務(wù)）客戶端，檢查是否有session（會話），如果沒有，則返回瀏覽器，重定向到CAS服務(wù)器端，發(fā)送認證請求，然后彈出登錄頁面，由用戶輸入用戶名和密碼請求認證，如果認證成功，則返回ST參數(shù)給瀏覽器，然后瀏覽器將ST參數(shù)傳給CAS客戶端，CAS客戶端請求CAS服務(wù)器端進行驗證，并給CAS客戶端返回確認信息，此時，CAS客戶端會創(chuàng)建session，重定向到瀏覽器登錄成功，用戶可以訪問受保護資源了。對于用戶來說，上述認證過程體驗如圖1所示，用戶信息存放在統(tǒng)一部署的LDAP中，當(dāng)用戶登錄信息門戶時，門戶將用戶身份信息通過LDAP進行認證，如果認證通過，則允許登錄；否則拒絕用戶登錄。

圖1 用戶體驗的認證過程

2 單點登錄

單點登錄實現(xiàn)的前提是首先有一個統(tǒng)一的訪問入口，即統(tǒng)一信息門戶。該信息門戶能夠?qū)⒓傻母鲬?yīng)用的信息進行重新整理，將所有的信息匯總到一個界面上為用戶發(fā)布統(tǒng)一的信息，以便用戶更高效地得到和使用這些信息，解決了用戶一個一個的訪問應(yīng)用系統(tǒng)查看信息的繁雜問題。用戶在瀏覽所需要的信息或者進行業(yè)務(wù)操作的時候，不再需要重復(fù)多次輸入賬號密碼登陸業(yè)務(wù)系統(tǒng)，而是直接通過統(tǒng)一信息門戶單點登錄進入不同的應(yīng)用系統(tǒng)來完成用戶的工作，獲得用戶所需的資源。其單點登錄的工作原理[5]如下圖所示：

圖2 單點登錄工作原理圖

用戶在登錄門戶時，首先檢查是否是初次登錄，如果用戶初次登錄門戶，則進行用戶身份認證，認證成功地完成后，用戶會得到服務(wù)器給用戶發(fā)出的登錄證據(jù)，該登錄證據(jù)會存儲在客戶端的Cookie中；如果用戶不是初次登錄門戶時，門戶服務(wù)器會把客戶端的請求以及存儲的登錄證據(jù)一起發(fā)送出去；被請求登錄的應(yīng)用系統(tǒng)對登錄證據(jù)進行驗證，以便檢查該登錄證據(jù)是否有效，如果登錄證據(jù)有效，則無需用戶重新登錄直接進入應(yīng)用系統(tǒng)，即用戶就完成了系統(tǒng)間的身份認證，實現(xiàn)了通過信息門戶進行單點登錄集成的應(yīng)用系統(tǒng)；如果登錄證據(jù)無效則退出。

3 集中授權(quán)

授權(quán)是確定認證通過后的用戶是否有權(quán)對系統(tǒng)資源進行訪問或操作，集中授權(quán)是通過集中的授權(quán)中心，采用統(tǒng)一的策略管理進行用戶授權(quán)，這種方式總管理成本小，安全性較高，通常采用基于角色的方式來實現(xiàn)。在基于角色的授權(quán)中，角色和權(quán)限相關(guān)，用戶被指定為不同的角色，通過角色來獲得對象或?qū)ο蠼M的訪問權(quán)限。根據(jù)功能性屬性的不同將用戶組織定義為不同的角色，如從屬關(guān)系、訪問模式或等級標(biāo)志等。在制定訪問控制規(guī)則時，可采用訪問控制列表（ACL）。ACL是由所有訪問允許規(guī)則組成的集合，應(yīng)用于單一對象。

4 結(jié)束語

本系統(tǒng)所設(shè)計的系統(tǒng)集成的方案是建立一個門戶平臺，它可以實現(xiàn)統(tǒng)一身份認證，該認證機制具有安全靈活性，能夠?qū)崿F(xiàn)與其他系統(tǒng)之間便捷的單點登錄，并且還可以對其進行權(quán)限管理，保證使用各個應(yīng)用系統(tǒng)資源的用戶都是在權(quán)限范圍內(nèi)，這種集成方案使各個應(yīng)用系統(tǒng)無縫集成，使用戶在跨系統(tǒng)使用資源和處理業(yè)務(wù)時感覺是在一個系統(tǒng)上進行操作，同時將很多系統(tǒng)的信息集中展示在一個窗口中，大大地提升了用戶的體驗。

［1］張永旺.IT新技術(shù)在電力企業(yè)中的應(yīng)用——基于MOSS2007解決“信息孤島”方案[C]//2009年全國電力企業(yè)信息大會論文集，2009：576-580.

［2］張喜榮.淺談企業(yè)門戶系統(tǒng)在發(fā)電企業(yè)的應(yīng)用[J].電力信息化，2008.6(9):24-26.

［3］林華治，虞銘輝.基于ODI的高校數(shù)據(jù)中心研究與實踐[J].中國教育信息化，2015(11):86-89.

［4］劉鑫.門戶技術(shù)在勘探開發(fā)信息管理中的應(yīng)用[J].計算機工程應(yīng)用技術(shù)，2009.5(11):3012-3013.

［5］汪榮輝，劉志軍，王衛(wèi)理，何怡.企業(yè)門戶中應(yīng)用系統(tǒng)集成的分析與實現(xiàn)[J].電信技術(shù)，2008（5）：77-81.