胡麗麗

摘要：本文設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于SSO的統(tǒng)一用戶管理系統(tǒng)，闡述了系統(tǒng)的技術(shù)路線和框架，詳細(xì)描述了系統(tǒng)的分析，并簡(jiǎn)要介紹系統(tǒng)的實(shí)現(xiàn)方法。最后介紹了統(tǒng)一用戶管理系統(tǒng)在政府用戶管理中的應(yīng)用，研究如何通過(guò)統(tǒng)一用戶管理系統(tǒng)為公眾和政府提供信息資源共享與服務(wù)。

關(guān)鍵詞：SSO；統(tǒng)一用戶管理；統(tǒng)一身份認(rèn)證；信息共享

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）10-0136-02

目前，政府信息化建設(shè)正快速發(fā)展，覆蓋政府部門(mén)業(yè)務(wù)的信息系統(tǒng)已不斷開(kāi)發(fā)成熟并使用，諸如內(nèi)部OA系統(tǒng)、項(xiàng)目管理系統(tǒng)、政務(wù)服務(wù)管理系統(tǒng)等。而這些信息系統(tǒng)功能需求不一，開(kāi)發(fā)大多是相互獨(dú)立的。這使得用戶完成某項(xiàng)工作需要進(jìn)入不同的系統(tǒng)，而每一個(gè)系統(tǒng)大都需要用戶輸入用戶名、口令等驗(yàn)證身份，這樣用戶就得面對(duì)多個(gè)系統(tǒng)的用戶名、密碼，給用戶訪問(wèn)業(yè)務(wù)系統(tǒng)帶來(lái)了不便性。同時(shí)，用戶需要在各個(gè)應(yīng)用系統(tǒng)間頻繁切換登陸，業(yè)務(wù)操作的復(fù)雜性增加了，降低了工作效率。因此，需要設(shè)計(jì)一個(gè)能夠高度整合用戶信息的系統(tǒng)，使得用戶能夠單點(diǎn)登陸，多點(diǎn)漫游，這樣基于SSO單點(diǎn)登錄的統(tǒng)一用戶管理系統(tǒng)就應(yīng)運(yùn)而生。

1 系統(tǒng)架構(gòu)

1.1 技術(shù)路線

統(tǒng)一認(rèn)證和授權(quán)提供了對(duì)用戶的認(rèn)證、授權(quán)、加密等管理，對(duì)各接入系統(tǒng)提供SSO單點(diǎn)登錄接口，系統(tǒng)提供Web Service接口，同時(shí)支持xml和 json兩種數(shù)據(jù)格式來(lái)接入各應(yīng)用系統(tǒng)；認(rèn)證模式采用基于OAuth2.0技術(shù)的票據(jù)和令牌認(rèn)證資源。

SSO單點(diǎn)登錄就是當(dāng)用戶訪問(wèn)各子系統(tǒng)的應(yīng)用時(shí)，只需要提交一次認(rèn)證信息就可以訪問(wèn)有訪問(wèn)權(quán)限的應(yīng)用，從而簡(jiǎn)化登錄過(guò)程，提高工作效率。通過(guò)放置反向代理服務(wù)器，完成所有用戶對(duì)后臺(tái)Web資源的訪問(wèn)，可以與所有Web應(yīng)用進(jìn)行集成，與后臺(tái)的Web應(yīng)用建立連接，同時(shí)，在將用戶的登錄信息傳送給應(yīng)用的整個(gè)過(guò)程中保持著對(duì)用戶的透明性。只要用戶登陸了一次子系統(tǒng)，便可以有權(quán)訪問(wèn)所有的Web應(yīng)用，此過(guò)程由代理服務(wù)器完成。

1.2 系統(tǒng)框架

系統(tǒng)主要由兩部分組成，分別是統(tǒng)一身份管理子系統(tǒng)、統(tǒng)一認(rèn)證子系統(tǒng)。統(tǒng)一身份管理子系統(tǒng)主要完成用戶和組織機(jī)構(gòu)間關(guān)聯(lián)關(guān)系的構(gòu)建，其中，與用戶有從屬關(guān)系的組織機(jī)構(gòu)可以是縱向的，亦可是橫向的；統(tǒng)一認(rèn)證子系統(tǒng)主要實(shí)現(xiàn)單點(diǎn)登錄令牌的創(chuàng)建與驗(yàn)證。系統(tǒng)主要實(shí)現(xiàn)以下功能：

（1）組織和權(quán)限管理：統(tǒng)籌規(guī)劃省內(nèi)省直、市（縣區(qū)）所關(guān)聯(lián)的所有行政單位，包括部門(mén)和工作組管理，統(tǒng)一配置橫向及縱向部門(mén)關(guān)聯(lián)信息，方便組織結(jié)構(gòu)代碼便捷易懂，無(wú)縫推送到各電子政務(wù)系統(tǒng)。

（2）用戶管理：實(shí)現(xiàn)用戶信息的統(tǒng)一管理，其中，這些用戶信息來(lái)源于組織機(jī)構(gòu)中各部門(mén)，包括登陸用戶名、登陸密碼、真實(shí)姓名、主組織、附屬組織、所屬角色及用戶順序等基本資料的管理。

（3）權(quán)限管理：包括應(yīng)用資源、角色管理及授權(quán)管理。應(yīng)用資源為接入到統(tǒng)一用戶管理系統(tǒng)中的各類政務(wù)應(yīng)用系統(tǒng)；角色管理針對(duì)統(tǒng)一用戶管理系統(tǒng)中的用戶角色配置，非政務(wù)應(yīng)用系統(tǒng)中的角色配置；授權(quán)管理用于控制用戶能否訪問(wèn)相應(yīng)的業(yè)務(wù)系統(tǒng)，一般用戶同步給相關(guān)業(yè)務(wù)系統(tǒng)后就默認(rèn)能夠訪問(wèn)。

（4）安全認(rèn)證管理：針對(duì)電子政務(wù)有效性、機(jī)密性、完整性、不可抵賴性與審查能力五個(gè)方面的安全需求，系統(tǒng)需提供相關(guān)接口實(shí)現(xiàn)安全認(rèn)證。

2 系統(tǒng)的功能設(shè)計(jì)

根據(jù)系統(tǒng)架構(gòu)的分析設(shè)計(jì)，統(tǒng)一用戶管理系統(tǒng)主要基于SSO技術(shù)，為用戶提供訪問(wèn)各應(yīng)用系統(tǒng)相應(yīng)權(quán)限內(nèi)資源入口，實(shí)現(xiàn)信息系統(tǒng)間互聯(lián)互通。下面具體分析一下統(tǒng)一身份管理子系統(tǒng)和統(tǒng)一認(rèn)證子系統(tǒng)的功能與設(shè)計(jì)方法。

2.1 統(tǒng)一身份管理子系統(tǒng)的設(shè)計(jì)

統(tǒng)一身份管理子系統(tǒng)實(shí)現(xiàn)用戶、角色、組織、部門(mén)、組、資源（即業(yè)務(wù)系統(tǒng)）的統(tǒng)一管理。

統(tǒng)一身份管理子系統(tǒng)具有分級(jí)分權(quán)管理的功能，即由組織、部門(mén)管理員按照系統(tǒng)管理員授予的權(quán)限，管理本地、本部門(mén)的用戶信息，如下級(jí)單位的管理員可以管理本級(jí)人員和策略等。用戶則可以根據(jù)需要做自助服務(wù)，如更改自己的密碼或個(gè)人信息。如果用戶修改了密碼，則會(huì)自動(dòng)更新到各應(yīng)用系統(tǒng)中 。

新用戶需在用戶資源庫(kù)中注冊(cè)用戶身份信息，然后由統(tǒng)一用戶管理系統(tǒng)管理員分配可使用資源給用戶，由業(yè)務(wù)系統(tǒng)管理員配置用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限。系統(tǒng)監(jiān)控用戶身份信息數(shù)據(jù)庫(kù)，當(dāng)用戶身份信息或可使用資源發(fā)生變化時(shí)，自動(dòng)觸發(fā)身份管理子系統(tǒng)中預(yù)先制定的流程，將用戶信息自動(dòng)配給各應(yīng)用系統(tǒng)中。如用戶修改了密碼，將會(huì)觸發(fā)密碼更新工作流將密碼自動(dòng)更新到各應(yīng)用系統(tǒng)中。

2.2 統(tǒng)一認(rèn)證子系統(tǒng)的設(shè)計(jì)

單點(diǎn)登陸技術(shù)的實(shí)現(xiàn)包括令牌的創(chuàng)建與驗(yàn)證，該過(guò)程由統(tǒng)一認(rèn)證子系統(tǒng)完成。主要流程如下：通過(guò)底層的SSO認(rèn)證模塊，用戶通過(guò)驗(yàn)證，此時(shí)，該用戶在用戶頁(yè)面獲得認(rèn)證子系統(tǒng)創(chuàng)建的一個(gè)單點(diǎn)登陸令牌ID，令牌ID由cookie返回得到；當(dāng)該用戶訪問(wèn)其他已關(guān)聯(lián)應(yīng)用系統(tǒng)時(shí)，cookie傳遞登陸令牌ID，正被登陸的應(yīng)用系統(tǒng)令牌ID還原登錄令牌，并向SSO驗(yàn)證令牌是否有效。如果有效，則該應(yīng)用系統(tǒng)可以直接獲取用戶身份信息，而不再需要用戶進(jìn)行再次認(rèn)證。

為實(shí)現(xiàn)在復(fù)雜環(huán)境下的單點(diǎn)登錄，統(tǒng)一認(rèn)證子系統(tǒng)提供了LDAP（用戶名口令）認(rèn)證、自注冊(cè)認(rèn)證和匿名認(rèn)證等內(nèi)置的認(rèn)證方式，設(shè)計(jì)了基于SDK/Web Service/HTTP接口的動(dòng)態(tài)票據(jù)單點(diǎn)登錄、基于SDK/Web Service/HTTP接口的用戶名密碼單點(diǎn)登錄、基于Agent的單點(diǎn)登錄和基于HTTP重定向技術(shù)表單方式的單點(diǎn)登錄。圖1為統(tǒng)一認(rèn)證子系統(tǒng)體系結(jié)構(gòu)圖。

統(tǒng)一認(rèn)證子系統(tǒng)提供了兩種用戶認(rèn)證界面，可以是基于C/S客戶端的，也可以是基于WEB的 。用戶認(rèn)證界面動(dòng)態(tài)生成，不同用戶登陸將顯示不同的系統(tǒng)列表，其中，列表由單點(diǎn)登陸系統(tǒng)根據(jù)不同的用戶、組織和客戶端特色化生成，搜集了用戶認(rèn)證信息。用戶界面向最終用戶顯示登陸表單，并將用戶認(rèn)證信息傳回服務(wù)器端。服務(wù)器端調(diào)用平臺(tái)的接口API進(jìn)行認(rèn)證。endprint

統(tǒng)一認(rèn)證子系統(tǒng)提供認(rèn)證接口，以便實(shí)現(xiàn)其他的業(yè)務(wù)系統(tǒng)與其集成，實(shí)現(xiàn)用戶認(rèn)證信息的共享。一旦新的應(yīng)用系統(tǒng)通過(guò)接口完成集成，只要用戶通過(guò)一次認(rèn)證，用戶信息即可被被集成系統(tǒng)認(rèn)可。其中，新的接入系統(tǒng)無(wú)需建立用戶數(shù)據(jù)庫(kù)，只在LDAP中擁有一套用戶身份信息（用戶名和密碼，或數(shù)字證書(shū)標(biāo)識(shí)）即可。

統(tǒng)一認(rèn)證子系統(tǒng)提供Web Service/Http接口，與應(yīng)用系統(tǒng)的開(kāi)發(fā)語(yǔ)言無(wú)關(guān)的需求。為了保證認(rèn)證過(guò)程的安全可靠，可以通過(guò)使用https對(duì)對(duì)會(huì)過(guò)程進(jìn)行加密。

3 系統(tǒng)的實(shí)現(xiàn)

根據(jù)系統(tǒng)的模塊分析和設(shè)計(jì)，通過(guò)采用開(kāi)發(fā)工具M(jìn)yEclipse8.5，Web服務(wù)器Tomcat7， 存儲(chǔ)管理數(shù)據(jù)庫(kù)Oracle，實(shí)現(xiàn)統(tǒng)一用戶管理系統(tǒng)的開(kāi)發(fā)?；贘2EE標(biāo)準(zhǔn)框架，系統(tǒng)通過(guò)Bean層、Dao層、Service層和Action層的大量代碼的實(shí)現(xiàn)，并以大量Jsp頁(yè)面展示，通過(guò)Struts、Spring、Hibernate及web服務(wù)文件配置，實(shí)現(xiàn)了統(tǒng)一用戶管理系統(tǒng)的功能開(kāi)發(fā)[1]。其中，系統(tǒng)提供基于Web Service和HTTP的兩種API認(rèn)證接口，API接口認(rèn)證方式和接入系統(tǒng)采用的平臺(tái)和語(yǔ)言無(wú)關(guān)。系統(tǒng)通過(guò)commnetAuth和easyAuth兩套認(rèn)證流程，保障用戶的信息安全，控制保障數(shù)據(jù)的隱私性。

4 思考

統(tǒng)一用戶的管理應(yīng)用于多個(gè)方面，存在的問(wèn)題不少，如何有效實(shí)現(xiàn)用戶信息整合，全網(wǎng)互聯(lián)互通，保障用戶信息安全，必須做好各項(xiàng)標(biāo)準(zhǔn)規(guī)范的研究和制定，安全管理認(rèn)證流程。各級(jí)政府、各部門(mén)的信息化水平程度不一，在系統(tǒng)的設(shè)計(jì)和實(shí)施上要充分考慮到他們的差異性，盡可能多地提供認(rèn)證方式、接口技術(shù)，保障系統(tǒng)的順利建設(shè)。

目前，全國(guó)各級(jí)政府都在建設(shè)統(tǒng)一用戶管理系統(tǒng)（平臺(tái)），如何利用本系統(tǒng)實(shí)現(xiàn)省、市級(jí)用戶管理系統(tǒng)共建共享，這不僅節(jié)約財(cái)政投資，還可以實(shí)現(xiàn)用戶數(shù)據(jù)的共享與交換，能切實(shí)為公眾和政府提供信息資源共享與服務(wù)[2]。

5 結(jié)語(yǔ)

立足于政府業(yè)務(wù)系統(tǒng)用戶管理的需要，統(tǒng)一用戶管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，提供組織和用戶管理、統(tǒng)一認(rèn)證、單點(diǎn)登錄、登錄入口等服務(wù)，提高政府處理業(yè)務(wù)的協(xié)同能力，降低用戶使用業(yè)務(wù)系統(tǒng)的門(mén)檻。

參考文獻(xiàn)

[1]杜聚賓.搞定J2EE：Struts+Spring+Hibernate整合詳解與典型案例[M].北京：電子工業(yè)出版社，2012.

[2]陳海倫.基于SSH框架的信用信息管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2015，（4X）：74-75.endprint