曾喻

摘? ?要：隨著核電信息化程度越來越高，經(jīng)過近幾年持續(xù)建設(shè)，已基本建立了覆蓋公司主要業(yè)務(wù)領(lǐng)域的信息系統(tǒng)，給企業(yè)的業(yè)務(wù)開展提供了大力支持。但與此同時，由于各業(yè)務(wù)系統(tǒng)分步實施，系統(tǒng)功能又相對獨立，由于缺少基礎(chǔ)技術(shù)組件的支撐，各系統(tǒng)平臺都建立了單獨的用戶認證機制。隨著系統(tǒng)越來越多，最終用戶在訪問不同系統(tǒng)時，都需要重新進行身份認證，需要輸入不同的帳號和口令，不僅不方便，容易遺忘，還存在安全隱患。因此要建立統(tǒng)一認證平臺，將各個系統(tǒng)的認證方式進行統(tǒng)一，使得員工通過統(tǒng)一的入口，訪問各個系統(tǒng)，大大提高員工的工作效率。

關(guān)鍵詞：CAS? SAP PORTAL? 統(tǒng)一認證

中圖分類號：TP315? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）05（b）-0008-02

近年來，江蘇核電有限公司高度重視信息化建設(shè)，經(jīng)過近幾年持續(xù)建設(shè)，已基本建立了覆蓋公司主要業(yè)務(wù)領(lǐng)域的信息系統(tǒng)，給公司業(yè)務(wù)開展提供了大力支持。但與此同時，由于各業(yè)務(wù)系統(tǒng)分步實施，系統(tǒng)功能又相對獨立，由于缺少基礎(chǔ)技術(shù)組件的支撐，各系統(tǒng)平臺都需要單獨的用戶認證，認證的機制也存在差異。用戶在訪問不同系統(tǒng)時，都需要重新進行身份認證，需要輸入不同的帳號和口令，不僅不方便，容易遺忘，還存在安全隱患。因此要建立統(tǒng)一認證平臺，將各個系統(tǒng)的認證方式進行統(tǒng)一，使得員工通過統(tǒng)一的入口，訪問各個系統(tǒng)，大大提高員工的工作效率。

1? 項目選型、設(shè)計及實現(xiàn)

1.1 建設(shè)目標

建立基于公司AD域的統(tǒng)一認證平臺，使用登錄票（Logon Ticket）或用戶映射（User Mapping）方式為多個信息系統(tǒng)實現(xiàn)統(tǒng)一身份認證，主要包括：

單點登陸：用戶以統(tǒng)一門戶作為單一的登錄入口，訪問其它應(yīng)用系統(tǒng)平臺或業(yè)務(wù)功能。

單點注銷：通過單一的退出操作，自動關(guān)閉已建立與后端多個應(yīng)用系統(tǒng)服務(wù)器的會話連接，提高用戶訪問應(yīng)系統(tǒng)的安全性。

會話管理：定義登陸后用戶瀏覽器與身份認證服務(wù)之間連接的有效時長，可以配置相關(guān)管理規(guī)則，對“被保護資源”的使用進行強制重新認證。

帳號審計：根據(jù)審計需要，提供審計報表查詢功能。操作日志：賬號管理、賬號映射管理和賬號同步管理的所有操作，都需寫入操作日志，并提供日志監(jiān)控功能。

1.2 項目需求及現(xiàn)狀分析

1.2.1 系統(tǒng)認證現(xiàn)狀分析

分析江蘇核電有限公司系統(tǒng)用戶認證的現(xiàn)狀，江蘇核電認證方式主要有基于CAS的認證、基于SAP PORTAL的認證、系統(tǒng)自開發(fā)的認證。認證用戶源主要包括AD域用戶源、SAP ECC用戶源、內(nèi)部網(wǎng)員工薪資系統(tǒng)用戶源及系統(tǒng)自開發(fā)的用戶源。

1.3 統(tǒng)一認證平臺選型分析

通過現(xiàn)狀分析可以看出可選用的統(tǒng)一認證平臺的實現(xiàn)方式分為兩種：（1）基于SAP PORTAL登錄票的單點登錄;（2）基于認證系統(tǒng)（CAS）的單點登錄。因為單點登錄（SSO）的安全性問題比普通應(yīng)用的安全性還要嚴重，所以首先從兩種登錄方式的安全性角度入手進行分析。

基于SAP PORTAL登錄票的單點登錄安全性分析。

（1）當(dāng)web工程使用SAP登錄票進行身份認證時，用戶的登錄票以非永久性cookie的方式存儲在用戶的web瀏覽器中，因此，在使用SSL（https）協(xié)議進行傳輸過程中，開發(fā)時需要保護登錄票不被破壞或竊取。

（2）需標記登錄票為安全的cookie，只有在在ssl（https）協(xié)議下，客戶端瀏覽器才發(fā)送cookie，可以通過設(shè)置UME參數(shù)ume.logon.security.enforce_secure_cookie=true來實現(xiàn)。

（3）為了減少惡意用戶使用登錄票重復(fù)攻擊，建議減少登錄票的有效期，系統(tǒng)默認為8h，可以通過設(shè)置參數(shù)ume.admin.login.ticket_lifetime進行調(diào)整，這個調(diào)整需要重啟服務(wù)，所以在更改此參數(shù)前，應(yīng)做好規(guī)劃。

基于認證系統(tǒng)（CAS）的單點登錄的安全性分析。

（1）CAS認證包含兩部分：CAS Server和CAS Client。CAS Server負責(zé)完成對用戶的認證工作，CAS Client負責(zé)部署在客戶端，當(dāng)有對本地 Web 應(yīng)用的受保護資源的訪問請求，并且需要對請求方進行身份認證，Web應(yīng)用不再接受任何的用戶名密碼等類似的 Credentials，而是重定向到CAS Server進行認證。

（2）TGC（cookie）的安全性：CAS通過SSL協(xié)議發(fā)送到客戶端，信息被竊取難度非常大，確保CAS的安全性;指定TGC的有效期。

（3）CAS的Service Ticket只能使用一次，CAS協(xié)議規(guī)定，無論Service Ticket驗證是否成功，CAS Server都會將服務(wù)端的緩存中清除該Ticket，從而可以確保一個Service Ticket 被使用兩次。

（4）Service Ticket隨機生成，且在一段時間內(nèi)失效， 相關(guān)參數(shù)可以通過在web.xml中進行配置。

所以就兩種登錄方式的安全性而言，基于認證系統(tǒng)（CAS）的單點登錄安全性要高于基于SAP PORTAL登錄票的單點登錄，項目決定使用CAS作為統(tǒng)一認證平臺。

1.4 統(tǒng)一認證的技術(shù)實現(xiàn)及難點

整個設(shè)計思路分為4部分，CAS與SAP PORTAL的集成，CAS與JAVA類系統(tǒng)的集成，CAS與.net類系統(tǒng)的集成，CAS與MDM及ECM等平臺系統(tǒng)集成，用戶源方面則選用最大用戶源AD域作為用戶源，以員工號做為唯一的ID號。

基于CAS與JAVA類系統(tǒng)的集成，CAS與.net類系統(tǒng)的集成均有標準的接口規(guī)范，CAS與 ECM及主數(shù)據(jù)系統(tǒng)已經(jīng)實現(xiàn)了集成，而SAP PORTAL使用自己的認證方式，如何實現(xiàn)SAP PORTAL與CAS兩種認證方式之間的互信成為整個項目技術(shù)難點。

首先要解決SAP Portal的CAS認證。為了保證SAP Portal的版本的統(tǒng)一，我們不能直接在SAP Portal中部署CAS Client（需要修改標準組件），所以，我們增加一個CAS認證組件來部署CAS Client，用于實現(xiàn)CAS Server的認證，獲取CAS當(dāng)前登錄賬號信息。如何讓SAP Portal信任CAS認證組件獲取的CAS登錄賬號，需要在SAP Portal的認證組件中增加一個CAS登錄模塊，用于認證CAS認證組件獲取的CAS登錄賬號。通過CAS登錄模塊登陸到SAP Portal后，需要一個頁面重定向到SAP PORTAL。我們在KM中增加了一個重定向到SAP PORTAL的html（KM內(nèi)容默認支持SAP Portal認證）。

關(guān)于單點登出的實現(xiàn)：用戶點擊登出，注銷SAP Portal會話，重定向到CAS認證組件的登出頁面，CAS認證組件的登出頁面，清除CAS Session，并重定向到CAS Server的登出頁面。

綜上所述，通過在SAP Portal新增CAS Login Module組件及KM中增加了一個重定向到SAP PORTAL的html方式，實現(xiàn)了SAP Portal與CAS之前的互信。

2? 結(jié)語

借助CAS認證系統(tǒng)作為統(tǒng)一認證平臺，以AD作為唯一的用戶源，統(tǒng)一了各個系統(tǒng)用戶認證方式，大大減輕了用戶運維的難度和新系統(tǒng)的接入成本。對用戶而言，用戶可以通過單一的登錄頁面訪問各個系統(tǒng)處理工作任務(wù)，有效地促進應(yīng)用系統(tǒng)內(nèi)部資源有機的協(xié)同與統(tǒng)一，滿足公司精細化管理的需要。

參考文獻

[1] 張建偉.基于統(tǒng)一身份認證平臺的局域網(wǎng)安全設(shè)計[J].計算機技術(shù)與發(fā)展，2019，29（1）：124-129.

[2] 王強.文獻共享平臺中統(tǒng)一認證技術(shù)研究與實現(xiàn)[J].軟件，2018，39（11）：202-206.

[3] 陳興伯，林宗祥，張云雯.基于數(shù)字化校園的統(tǒng)一認證平臺需求分析設(shè)計[J].信息通信，2018（9）：133-134.