李金蘭

（北京數(shù)起科技有限公司 北京市 100044）

1 研究背景

近年來(lái),黨中央、國(guó)務(wù)院大力推進(jìn)政務(wù)信息系統(tǒng)整合共享，先后印發(fā)了《關(guān)于政務(wù)信息系統(tǒng)整合共享實(shí)施方案的通知》（國(guó)辦發(fā)〔2017〕39 號(hào)）、《加快推進(jìn)落實(shí)〈政務(wù)信息系統(tǒng)整合共享實(shí)施方案〉工作方案的通知》（發(fā)改高技〔2017〕1529 號(hào)）、《國(guó)務(wù)院關(guān)于印發(fā)政務(wù)信息資源共享管理暫行辦法的通知》（國(guó)發(fā)〔2016〕51 號(hào)）等政策文件，為了加快推進(jìn)政務(wù)信息系統(tǒng)整合共享，實(shí)現(xiàn)“網(wǎng)絡(luò)通”、“數(shù)據(jù)通”、“業(yè)務(wù)通”，通過(guò)多個(gè)項(xiàng)目的實(shí)踐積累，本文研究提出通過(guò)統(tǒng)一用戶登錄與管理快速實(shí)現(xiàn)政務(wù)信息系統(tǒng)整合共享。

2 總體設(shè)計(jì)

統(tǒng)一用戶登錄與管理的方案如下：

（1）建立統(tǒng)一的登陸點(diǎn)。在集成門戶頁(yè)面建立統(tǒng)一登錄入口，通過(guò)此入口進(jìn)行對(duì)各應(yīng)用系統(tǒng)的統(tǒng)一登錄。

（2）建立統(tǒng)一的身份認(rèn)證。建立統(tǒng)一用戶身份認(rèn)證系統(tǒng)，對(duì)用戶提交的身份信息進(jìn)行認(rèn)證，認(rèn)證通過(guò)后將用戶的身份數(shù)據(jù)傳輸給用戶相關(guān)應(yīng)用系統(tǒng)（Token 方式），業(yè)務(wù)應(yīng)用系統(tǒng)根據(jù)身份數(shù)據(jù)識(shí)別用戶身份并進(jìn)行權(quán)限控制；傳輸?shù)挠脩羯矸輸?shù)據(jù)并不包含認(rèn)證相關(guān)數(shù)據(jù)，認(rèn)證通過(guò)統(tǒng)一用戶身份認(rèn)證系統(tǒng)處理，各業(yè)務(wù)應(yīng)用系統(tǒng)不再進(jìn)行用戶的認(rèn)證。

（3）建立統(tǒng)一的用戶認(rèn)證信息庫(kù)。建立統(tǒng)一的用戶認(rèn)證信息庫(kù)，保存統(tǒng)一登錄用戶的用戶身份數(shù)據(jù)、認(rèn)證數(shù)據(jù)。用戶認(rèn)證信息庫(kù)作為統(tǒng)一身份認(rèn)證的數(shù)據(jù)基礎(chǔ)。

（4）建立統(tǒng)一用戶身份管理。管理統(tǒng)一登錄用戶的用戶身份數(shù)據(jù)、認(rèn)證數(shù)據(jù)，用戶身份的創(chuàng)建、維護(hù)集中通過(guò)統(tǒng)一用戶身份管理進(jìn)行管理，相關(guān)業(yè)務(wù)系統(tǒng)通過(guò)消息機(jī)制獲取用戶身份信息，并進(jìn)行系統(tǒng)內(nèi)權(quán)限管理。

統(tǒng)一登錄由中心認(rèn)證服務(wù)、統(tǒng)一用戶管理兩部分有機(jī)組成一個(gè)系統(tǒng)來(lái)實(shí)現(xiàn)，其邏輯結(jié)構(gòu)如圖1所示。

3 統(tǒng)一用戶管理

3.1 統(tǒng)一用戶身份管理

在建立集中認(rèn)證的過(guò)程中，用戶身份的集中是一個(gè)必須的工作，否則就無(wú)法了解在不同應(yīng)用中用戶的對(duì)應(yīng)情況是否一致。用戶身份集中可以有多種實(shí)現(xiàn)方式，包括用戶同步、應(yīng)用對(duì)應(yīng)關(guān)系設(shè)置等多種方法，但對(duì)于政務(wù)信息系統(tǒng)這樣規(guī)模的客戶而言，用戶身份集中也就意味著需要一個(gè)集中的用戶身份管理系統(tǒng)，這個(gè)系統(tǒng)是所有應(yīng)用系統(tǒng)用戶身份數(shù)據(jù)、認(rèn)證數(shù)據(jù)的管理點(diǎn)，由它來(lái)進(jìn)行用戶身份信息的創(chuàng)建、維護(hù)工作。相關(guān)業(yè)務(wù)系統(tǒng)中將不再設(shè)置用戶身份信息的創(chuàng)建、維護(hù)等功能；通過(guò)消息機(jī)制把用戶信息同步到各業(yè)務(wù)系統(tǒng)，在需要時(shí)對(duì)用戶進(jìn)行授權(quán)。

而對(duì)于最終用戶而言，用戶管理系統(tǒng)又提供用戶口令修改等工作可以讓用戶自己來(lái)完成，并且只需在統(tǒng)一用戶身份管理中進(jìn)行維護(hù)，從而減少用戶管理所需要的技術(shù)支持工作量。

統(tǒng)一用戶管理實(shí)現(xiàn)邏輯如圖2所示。

表1：基本信息表

圖1：統(tǒng)一用戶登錄與管理實(shí)現(xiàn)邏輯

圖2：統(tǒng)一用戶管理實(shí)現(xiàn)邏輯

3.2 用戶認(rèn)證數(shù)據(jù)統(tǒng)一

為用戶認(rèn)證數(shù)據(jù)建立統(tǒng)一的用戶認(rèn)證信息庫(kù)。

用戶系統(tǒng)具有穩(wěn)定、讀操作量很大、寫的操作量比較小的特點(diǎn)，統(tǒng)一用戶管理選擇數(shù)據(jù)庫(kù)服務(wù)器作為統(tǒng)一用戶系統(tǒng)認(rèn)證信存儲(chǔ)，在統(tǒng)一用戶數(shù)據(jù)庫(kù)，可以存放用戶的基礎(chǔ)、共用的信息，基本信息如表1。

3.3 統(tǒng)一用戶管理技術(shù)要求

從上面分析知道，統(tǒng)一用戶管理有如下技術(shù)要求：

（1）建立統(tǒng)一的用戶身份數(shù)據(jù)和用戶認(rèn)證數(shù)據(jù)；

（2）各業(yè)務(wù)系統(tǒng)根據(jù)統(tǒng)一用戶身份數(shù)據(jù)對(duì)系統(tǒng)中原有的用戶數(shù)據(jù)進(jìn)行清洗、更新做到與統(tǒng)一用戶身份數(shù)據(jù)的一致；

（3）用戶身份認(rèn)證通過(guò)統(tǒng)一用戶身份認(rèn)證系統(tǒng)處理，各業(yè)務(wù)應(yīng)用系統(tǒng)不再進(jìn)行用戶的認(rèn)證；

圖3：統(tǒng)一登錄流程

圖4：某局業(yè)務(wù)系統(tǒng)與其他單位系統(tǒng)接口

（4）存儲(chǔ)用戶認(rèn)證數(shù)據(jù)由統(tǒng)一用戶系統(tǒng)認(rèn)證信息庫(kù)存儲(chǔ)，各應(yīng)用系統(tǒng)不再存儲(chǔ)用戶認(rèn)證數(shù)據(jù)；

（5）用戶身份數(shù)據(jù)、認(rèn)證數(shù)據(jù)的管理包括創(chuàng)建、維護(hù)等集中通過(guò)統(tǒng)一用戶身份管理進(jìn)行管理；

（6）相關(guān)業(yè)務(wù)系統(tǒng)中將不再設(shè)置用戶身份信息的創(chuàng)建、維護(hù)等功能，通過(guò)消息機(jī)制同步用戶信息，對(duì)用戶進(jìn)行操作權(quán)限、數(shù)據(jù)權(quán)限的應(yīng)用系統(tǒng)內(nèi)授權(quán)。

4 統(tǒng)一用戶登錄

圖5：系統(tǒng)部署

統(tǒng)一用戶登錄需要建立統(tǒng)一的登錄驗(yàn)證服務(wù)器，進(jìn)行統(tǒng)一的用戶管理，負(fù)責(zé)驗(yàn)證登錄用戶的身份，其他的應(yīng)用系統(tǒng)需要統(tǒng)一調(diào)整到該服務(wù)器來(lái)驗(yàn)證，以實(shí)現(xiàn)統(tǒng)一登錄。

（1）統(tǒng)一用戶管理。用戶認(rèn)證信息（用戶ID、用戶密碼）進(jìn)行統(tǒng)一管理，各應(yīng)用系統(tǒng)不再進(jìn)行用戶的新增、刪除等功能，并不再存儲(chǔ)用戶認(rèn)證信息。

認(rèn)證服務(wù)器新增用戶后，通過(guò)消息機(jī)制通知各業(yè)務(wù)應(yīng)用系統(tǒng)，業(yè)務(wù)應(yīng)用系統(tǒng)更新本應(yīng)用的用戶信息，并對(duì)新增用戶進(jìn)行業(yè)務(wù)授權(quán)管理。

（2）單點(diǎn)登錄認(rèn)證。應(yīng)用系統(tǒng)的訪問(wèn)認(rèn)證在認(rèn)證服務(wù)器中實(shí)現(xiàn)，各應(yīng)用系統(tǒng)不再對(duì)用戶身份進(jìn)行認(rèn)證。

根據(jù)政務(wù)信息化的技術(shù)特點(diǎn)及具體情況，建議采用基于中心認(rèn)證服務(wù)的統(tǒng)一登錄方案進(jìn)行實(shí)現(xiàn)。

4.1 基于中心認(rèn)證服務(wù)的單點(diǎn)登錄

基于中心認(rèn)證服務(wù)方式的單點(diǎn)登錄要求：

（1）業(yè)務(wù)應(yīng)用系統(tǒng)信任統(tǒng)一用戶認(rèn)證系統(tǒng)的認(rèn)證結(jié)果。

（2）訪問(wèn)控制在統(tǒng)一用戶認(rèn)證系統(tǒng)中實(shí)現(xiàn)，業(yè)務(wù)應(yīng)用系統(tǒng)不再對(duì)用戶身份進(jìn)行認(rèn)證并不再存儲(chǔ)用戶認(rèn)證數(shù)據(jù)。

（3）根據(jù)統(tǒng)一用戶管理系統(tǒng)中的用戶身份數(shù)據(jù)更新應(yīng)用系統(tǒng)中的用戶名，實(shí)現(xiàn)全局的用戶統(tǒng)一。

（4）統(tǒng)一用戶身份認(rèn)證系統(tǒng)對(duì)用戶提交的身份信息進(jìn)行認(rèn)證，認(rèn)證通過(guò)后將用戶的身份數(shù)據(jù)傳輸給用戶相關(guān)應(yīng)用系統(tǒng)（Token 方式），業(yè)務(wù)應(yīng)用系統(tǒng)根據(jù)身份數(shù)據(jù)識(shí)別用戶身份并進(jìn)行權(quán)限控制。統(tǒng)一登錄流程如圖3所示。

4.2 統(tǒng)一用戶登錄技術(shù)要求

從上面分析知道，統(tǒng)一用戶登錄有如下技術(shù)要求：

（1）在應(yīng)用系統(tǒng)注冊(cè)認(rèn)證客戶端（過(guò)濾器形式）。

（2）應(yīng)用系統(tǒng)改造獲得用戶登錄驗(yàn)證方式。

（3）業(yè)務(wù)應(yīng)用系統(tǒng)信任統(tǒng)一用戶認(rèn)證系統(tǒng)的認(rèn)證結(jié)果。

（4）訪問(wèn)控制在統(tǒng)一用戶認(rèn)證系統(tǒng)中實(shí)現(xiàn)，業(yè)務(wù)應(yīng)用系統(tǒng)不再對(duì)用戶身份進(jìn)行認(rèn)證并不再存儲(chǔ)用戶認(rèn)證數(shù)據(jù)。

（5）根據(jù)統(tǒng)一用戶管理系統(tǒng)中的用戶身份數(shù)據(jù)更新應(yīng)用系統(tǒng)中的用戶名，實(shí)現(xiàn)全局的用戶統(tǒng)一。

（6）統(tǒng)一用戶身份認(rèn)證系統(tǒng)對(duì)用戶提交的身份信息進(jìn)行認(rèn)證，認(rèn)證通過(guò)后將用戶的身份數(shù)據(jù)傳輸給用戶相關(guān)應(yīng)用系統(tǒng)（Token 方式），業(yè)務(wù)應(yīng)用系統(tǒng)根據(jù)身份數(shù)據(jù)識(shí)別用戶身份并進(jìn)行權(quán)限控制。

5 系統(tǒng)接口設(shè)計(jì)

政務(wù)信息系統(tǒng)整合后形成的業(yè)務(wù)系統(tǒng)需要和各原有系統(tǒng)建立對(duì)接，統(tǒng)一進(jìn)行身份認(rèn)證，實(shí)現(xiàn)統(tǒng)一登錄。

以某局政務(wù)信息系統(tǒng)整合共享項(xiàng)目為例，為實(shí)現(xiàn)用戶的統(tǒng)一認(rèn)證，某局業(yè)務(wù)系統(tǒng)需要和相關(guān)單位系統(tǒng)進(jìn)行用戶的同步，用戶主要由相關(guān)單位業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一管理。由于相關(guān)單位系統(tǒng)的特殊性，用戶的創(chuàng)建過(guò)程是由用戶注冊(cè)并由相關(guān)單位系統(tǒng)管理員審批通過(guò)，因此這類用戶需要相關(guān)單位系統(tǒng)主動(dòng)推送用戶信息到某局業(yè)務(wù)系統(tǒng)。

因此用戶的創(chuàng)建有兩種方式，一種是由某局業(yè)務(wù)系統(tǒng)創(chuàng)建同步給相關(guān)單位系統(tǒng)，一種由相關(guān)單位系統(tǒng)審批通過(guò)同步給某局業(yè)務(wù)系統(tǒng)，接口調(diào)用流程圖如圖4所示。

6 系統(tǒng)部署設(shè)計(jì)

通過(guò)完成多個(gè)部委政務(wù)信息整合共享項(xiàng)目的實(shí)踐積累，政務(wù)信息系統(tǒng)整合共享系統(tǒng)部署大同小異，以某局政務(wù)信息系統(tǒng)整合共享項(xiàng)目為例，闡述統(tǒng)一用戶登錄和管理的系統(tǒng)部署。

某局外網(wǎng)環(huán)境：基于某局現(xiàn)有的外網(wǎng)運(yùn)行環(huán)境，配備1 臺(tái)數(shù)據(jù)庫(kù)服務(wù)器和1 臺(tái)應(yīng)用服務(wù)器。數(shù)據(jù)庫(kù)服務(wù)器用于應(yīng)用集成系統(tǒng)數(shù)據(jù)庫(kù)和應(yīng)用門戶系統(tǒng)數(shù)據(jù)庫(kù)，應(yīng)用服務(wù)器用于應(yīng)用門戶系統(tǒng)、應(yīng)用集成系統(tǒng)和單點(diǎn)登錄服務(wù)。

電子政務(wù)外網(wǎng)環(huán)境：基于某局現(xiàn)有的電子政務(wù)外網(wǎng)運(yùn)行環(huán)境，利用已有的網(wǎng)絡(luò)設(shè)施，配備1 臺(tái)數(shù)據(jù)庫(kù)服務(wù)器和1 臺(tái)應(yīng)用服務(wù)器。數(shù)據(jù)庫(kù)服務(wù)器用于數(shù)據(jù)共享交換平臺(tái)數(shù)據(jù)庫(kù)，應(yīng)用服務(wù)器用于共享交換平臺(tái)系統(tǒng)、數(shù)據(jù)中心系統(tǒng)和交換節(jié)點(diǎn)服務(wù)。系統(tǒng)部署如圖5所示。

7 總結(jié)

國(guó)家要求各部委建設(shè)“大平臺(tái)”，對(duì)政務(wù)信息系統(tǒng)整合共享提出了具體要求和完成時(shí)間，本文提出的統(tǒng)一用戶登錄與管理 能夠快速實(shí)現(xiàn)政務(wù)信息系統(tǒng)整合，不僅能夠完成國(guó)家對(duì)建設(shè)“大平臺(tái)”的時(shí)間要求，也降低了對(duì)現(xiàn)有先用系統(tǒng)進(jìn)行重大改造的成本。