蔡芳

摘要：一個企業(yè)的信息化建設過程是循序漸進的，隨著業(yè)務需求及經(jīng)費的變化，會逐步建立起處理各種業(yè)務的應用系統(tǒng)。為了將各種應用系統(tǒng)和數(shù)據(jù)資源集成到一個信息管理平臺之上，并以統(tǒng)一的用戶界面提供給用戶，單點登錄是首先需要解決的問題。本文介紹了一種通過統(tǒng)一用戶管理、單點登錄技術，實現(xiàn)企業(yè)應用系統(tǒng)集成的方法，解決了用戶一次登錄、全網(wǎng)通行的問題。該方法已經(jīng)在作者所在單位得到應用，取得了較好的應用效果。

關鍵詞：統(tǒng)一用戶，單點登錄，系統(tǒng)集成，門戶

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）27-0188-03

Abstract： With the development of enterprise informationization，a wide variety of application are used in the enterprise .In order to integrate the arious application systems and data resources into a single information management platform， and provide users with a unified user interface， single sign-on is the first problem to be solved. This paper describes a method through uniform user management and single sign-on technology to achieve enterprise application integration. It soved the problem of a single login， surfing on the internet or intranet freely. This method has been applied in the authors institute， an achieved good effect.

Key words： Uniform User； Single Sign-on； System Integration； Enterprise Information Portal

隨著企業(yè)信息化水平的不斷提高，越來越多的應用系統(tǒng)投入使用，例如OA系統(tǒng)、人力資源系統(tǒng)、項目管理系統(tǒng)、PDM系統(tǒng)等。這些獨立的應用系統(tǒng)都有自己一套完整的用戶管理與權限認證體系。用戶如果需要訪問這些應用系統(tǒng)，就需要記住各個系統(tǒng)中的賬號、密碼，頻繁的在不同系統(tǒng)之間登錄切換。這樣給用戶帶來了很大的不方便，同時也容易引起系統(tǒng)安全性的降低。

企業(yè)信息門戶是一種應用集成框架，它將各種應用系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源集成到一個信息管理平臺之上，并以統(tǒng)一的用戶界面提供給用戶。

在企業(yè)信息門戶平臺上，讓用戶僅輸入一次用戶名、密碼，通過一套安全身份認證體系的身份鑒別，就可以分別登錄到OA系統(tǒng)、人力資源系統(tǒng)、項目管理系統(tǒng)、PDM系統(tǒng)等不同的應用系統(tǒng)，而不需要重復登錄進行身份認證。這是一個在企業(yè)應用系統(tǒng)集成中迫切需要解決的問題，而解決這個問題的關鍵技術就是單點登錄技術（Single Sign-on，SSO）。

1 單點登錄技術

1.1單點登錄基本流程

單點登錄流程可以簡單描述如圖1所示。用戶訪問應用系統(tǒng)時，先檢查其是否登錄，如果登錄則進入應用系統(tǒng)中具體請求頁面，執(zhí)行后續(xù)操作；如果尚未登錄，則跳轉(zhuǎn)至用戶身份認證系統(tǒng)中進行登錄認證。認證系統(tǒng)首先根據(jù)用戶的登錄信息進行身份校驗，如果通過校驗，則返回給用戶一個認證的Ticket作為認證憑據(jù)，用戶之后再訪問其他的應用系統(tǒng)時就會帶上這個Ticket，作為認證的憑據(jù)。應用系統(tǒng)接收到用戶請求之后會把Ticket送到認證系統(tǒng)中進行校驗，檢查Ticket的有效性。如果Ticket有效，則進入應用系統(tǒng)中具體請求頁面，執(zhí)行后續(xù)操作；否則跳轉(zhuǎn)至登錄頁面，對用戶身份進行驗收。

作為用戶憑據(jù)的Ticket具有時效性和不可偽造性，以此保證用戶登錄安全可信。

單點登錄中的認證服務器為所有用戶提供身份認證管理，所有沒有經(jīng)過身份認證的匿名用戶訪問應用系統(tǒng)時都要求被重定向到登錄頁面進行身份驗證。未注冊的用戶需要先經(jīng)過注冊初始化后方可被驗證通過。

1.2 統(tǒng)一用戶管理

在單點登錄流程中，可以發(fā)現(xiàn)對用戶進行統(tǒng)一管理并認證是最重要的環(huán)節(jié)。將所有應用系統(tǒng)的用戶進行統(tǒng)一管理并與之前的系統(tǒng)內(nèi)部賬戶進行映射，不再需要各應用系統(tǒng)進行獨立認證，通過統(tǒng)一認證服務器來實現(xiàn)統(tǒng)一認證。

統(tǒng)一用戶就需要首先在統(tǒng)一的用戶管理系統(tǒng)中進行用戶錄入與維護，然后通過系統(tǒng)API接口或WebService服務對系統(tǒng)資源、用戶角色、用戶權限進行關系綁定，進而達到對用戶進行統(tǒng)一管理、對應用系統(tǒng)權限進行統(tǒng)一分配。

中國飛機強度研究所內(nèi)部有HR-人力資源管理系統(tǒng)對全部員工的信息進行統(tǒng)一管理，因此HR系統(tǒng)就作為中央用戶數(shù)據(jù)源，用戶的部門、個人賬號、崗位等信息在該系統(tǒng)中進行注冊。之后，利用WebService接口將用戶信息同步至門戶（Portal）的統(tǒng)一用戶身份庫中，由門戶的統(tǒng)一用戶管理系統(tǒng)再通過接口對賬戶進行應用系統(tǒng)的使用權限分配并將賬戶同步到相關的應用系統(tǒng)中。

統(tǒng)一用戶管理流程如圖2所示。

目錄服務器是統(tǒng)一用戶管理與身份認證的基礎平臺，對用戶信息進行統(tǒng)一管理，保證數(shù)據(jù)的一致性和完整性。本方法中通過輕量級目錄服務協(xié)議LDAP（Light weight Directory Access Protocol）將用戶及組織的信息以層次結(jié)構、數(shù)據(jù)庫的方式進行統(tǒng)一管理。

2 基于門戶的單點登錄實現(xiàn)

本方法中，通過企業(yè)門戶平臺負責管理企業(yè)各個應用系統(tǒng)訪問入口，將各應用系統(tǒng)的身份認證功能集中控制。實現(xiàn)用戶在門戶平臺認證通過后，無需二次認證，即可訪問其他應用系統(tǒng)的效果。

2.1 用戶同步

1）用戶數(shù)據(jù)初始化

用戶數(shù)據(jù)初始化分為兩種：一種是已正式運行的應用系統(tǒng)（例如OA系統(tǒng)），采用統(tǒng)一命名規(guī)則的用戶賬號，因系統(tǒng)中的部分歷史數(shù)據(jù)跟用戶信息關聯(lián)，用戶賬號命名規(guī)則改變后，為能保持歷史數(shù)據(jù)的正常查詢等操作，各業(yè)務系統(tǒng)自行在用戶數(shù)據(jù)庫中建立新、老賬號的對應關系。一種是在建和未建的應用系統(tǒng)，必須嚴格按照命名規(guī)則新建系統(tǒng)賬號及密碼。

2）用戶數(shù)據(jù)同步

將統(tǒng)一用戶管理系統(tǒng)中的用戶及組織機構數(shù)據(jù)單向同步到個應用系統(tǒng)中，可以采用即時觸發(fā)、單向、增量同步方式。當統(tǒng)一用戶系統(tǒng)的數(shù)據(jù)發(fā)生更改后，根據(jù)之前制定的身份同步規(guī)則，即時將變更的賬號數(shù)據(jù)同步到對應業(yè)務系統(tǒng)中。同步實現(xiàn)方式可以通過數(shù)據(jù)庫中間表的方式，也可以通過Webservice的方式。

2.2 單點登錄

單點登錄方式可以根據(jù)業(yè)務系統(tǒng)的開發(fā)需求分別采用兩種認證方式：

（1）基于Cookie的認證方式

Cookie方式是基于客戶端頁面中存儲的加密登錄信息，由業(yè)務系統(tǒng)提供驗證頁面，自主解析用戶名、密碼并認證，同時跳轉(zhuǎn)至獲取的目標URL地址，實現(xiàn)單點登錄。業(yè)務系統(tǒng)需要對登錄認證模塊做相應的功能改造。

在用戶通過單點登錄系統(tǒng)的認證后，單點登錄系統(tǒng)將通過注入機制在Cookie中添加表示用戶關聯(lián)的賬號信息和請求的URL地址，并將請求轉(zhuǎn)發(fā)到業(yè)務系統(tǒng)，業(yè)務系統(tǒng)獲取賬號信息，確認用戶身份后決定是否允許用戶跳轉(zhuǎn)至所請求的系統(tǒng)資源。

單點登錄系統(tǒng)在Cookie中注入的參數(shù)信息包括：

a） 系統(tǒng)編號：對應業(yè)務系統(tǒng)賬號、密碼（加密后）信息，通過#號分割，編碼由企業(yè)門戶分配；

b） url：用戶請求的目標地址url。

業(yè)務系統(tǒng)獲取Cookie中的參數(shù)值的Java示例代碼如圖3、圖4所示：

（2）基于header的認證方式

http-header認證允許將已認證的用戶身份信息插入到聯(lián)結(jié)的第三方服務器為目的地的請求的HTTP頭，HTTP頭信息使已聯(lián)結(jié)的第三方服務器上的應用程序基于用戶身份信息執(zhí)行特定于用戶的操作。

客戶機瀏覽器請求收保護的第三方服務器上的應用程序，通過網(wǎng)關認證系統(tǒng)進行身份認證，建立新的基本認證頭，將請求通過聯(lián)結(jié)發(fā)送到第三方服務器的應用程序上，第三方服務器的應用程序不需要用戶認證，直接讀取基本認證頭中的用戶身份信息，并進行相應的用戶操作。

認證頭中存儲的header信息：iv-user

第三方應用程序獲取header信息：request.getHeader（"iv-user"）；

應用系統(tǒng)獲取Http Header中的參數(shù)值的Java示例代碼如圖5所示：

3 應用效果評價

在2016年初，中國飛機強度研究所對現(xiàn)有應用系統(tǒng)進行了改造升級，將已有的和在建的應用系統(tǒng)進行統(tǒng)一整合。整合過程中采用了本文介紹的方法，完全實現(xiàn)了一次登錄、全網(wǎng)通行的目標。1000余個賬號登錄各應用系統(tǒng)效率高，未發(fā)現(xiàn)重復認證或登錄延時等問題，成功完成了對多個業(yè)務系統(tǒng)的集成整合工作。

4 結(jié)束語

本文針對企業(yè)在信息化建設過程中出現(xiàn)的各應用系統(tǒng)用戶系統(tǒng)獨立、身份認證系統(tǒng)獨立的現(xiàn)狀，深入分析、研究統(tǒng)一用戶管理技術、單點登錄技術，在確保各應用系統(tǒng)正常運行不受較大干擾的前提下，實現(xiàn)了對OA系統(tǒng)、人力資源系統(tǒng)、項目管理系統(tǒng)、PDM系統(tǒng)等多個應用系統(tǒng)的單點登錄。該方法在研究所內(nèi)部得到了高度認可，同時也在其他行業(yè)得到了認可，可以在行業(yè)內(nèi)部以及其他行業(yè)推廣應用。

參考文獻：

[1] 胡建鵬. 基于Portal的統(tǒng)一身份認證與系統(tǒng)集成研究[J].計算機工程與科學， 2010，32（12）： 30-33.

[2] 吳茂傳，郭陽，胡昌平.基于Web的單點登錄技術在企業(yè)集成中的應用[J].淮海工學院學報（自然科學版）， 2008，17（1）：29-32.

[3] 朱才祥.基于門戶的企業(yè)應用系統(tǒng)集成技術研究[J].科技信息， 2014，13：79-80.

[4] http：//www.baidu.com