1 企业门户采用统一身份认证的必要性
为了建立统一的内部工作平台,企业内部门户应该能够通过统一的入口集成资源和应用,为不同层次的用户提供集成化的信息服务,用户只需一次登录就能直接访问门户中的多个应用系统,从而避免多次认证,实现对不同资源与服务的获取,使读者能流畅地从各类资源与应用中获取所需信息,门户为用户提供一站式、个性化、全面的服务。而企业门户的统一身份认证,可以解决多个系统独立认证的弊端:如用户需要记忆多个账户和口令,使用极为不便:无法统一认证和授权策略;多个认证系统使管理工作成本日益增加。重复开发消耗开发成本和延缓开发进度等。建立基于Portal的统一认证系统对网络用户实行统一认证和统一授权是必要的。用户要登录系统。必须先到身份认证系统认证身份,才可以访问各个应用系统的网络资源,从而实现统一用户管理、统一安全控制,管理员对整个网络可以实现单点管理。
2 系统目标
为用户提供一站式、个性化、全面的服务;实现统一用户管理、统一安全控制、管理员对整个网络实现单点管理:实现信息集成。
3 方案设计
(1)门户系统功能架构
门户系统功能架构如图1所示。它是面向企业全体员工,用于办公和管理的企业信息集成平台。对企业内管理系统的信息进行有效的整合、组织、管理;利用和重组企业的数据资源实现内部信息共享和沟通。实现此功能架构。可有效发挥计算机系统的决策支持作用。
图1 门户系统功能架构
(2)用户管理和单点登录模块总体设计
用户管理和单点登录模块总体设计如图2所示。统一用户管理系统架构于IBM Websphere Portal门户框架的基础上,提供基于LDAP的用户目录管理,进行统一的用户信息存储、认证和管理。IBM Tivoli Identity Manager可进行用户的批量创建、删除和管理、实现系统统一、高效的用户管理。IBM Tivoli Access Managerfor e-business为系统提供集中的、基于策略的认证和授权。
图2 用户管理和单点登录模块总体设计
(3)统一认证
本系统采用IBM 的第三方产品TAM 作为实现单点登陆的基础。一个AM 的系统结构是由访问者、策略执行者和目标三部分组成。在TAM 中有两个重要的组件,分别是:TAM Policy Server,它为Access Manager安全域维护主授权数据库,该服务器处理访问控制、认证和授权请求;Web SEAL:一个Web逆向代理安全服务器。所有的内部请求都必须通过Web SEAL。要通过TAM 实现单点登录,一般需要对要集成的系统做些改造。为了减少对集成应用系统的改造,同时节约整个系统实施的时间和成本。本项目中的统一认证分两实现:门户用户身份认证和集成系统用户身份认证。
1)Portal系统用户的身份认证
门户用户的身份认证是TAM实现的。Tivoli Access Manager对用户进行论证后,将根据配置产生Websphere平台的LTPA Token。在随后用户对门户平台的访问中,门户平台将不再对该用户进行论证。实现与TAM 的集成
2)集成系统用户的身份认证
当用户通过门户的认证,进入门户平台后,需要再通过集成系统的身份认证才能访问相关的应用系统。为了减少对集成应用系统的改造,同时节约整个系统实施的时间和成本,集成系统用户的身份认证是通过建立Portal系统用户和后台信息系统用户的映射关系,实现基于门户“用户数据库”的多项服务统一登录管理。用户通过门户平台访问集成系统时的权限由应用系统管理。
3)Portal系统与集成系统的账号关联
本系统使用待登录方式实现SSO(Single Sign On),其基本思想是:使用一种安全的密码管理机制来存放用户在各个系统中的密码等用户凭证,并与主用户库建立映射关系。用户登录门户以后,进入应用系统前,由门户帮用户做一次登录的操作。这种密码管理机制可以通过Websphere Portal提供的凭证保险库,或者TAM eb的GSO来实现。这种方案比较麻烦的是用户在各个系统中凭证变更的管理,IBM 也提供IDI (IBM Directory integrator)、TIM(Tivoli identity manager)这些产品,可以解决这些问题,不过实施起来也是有点难度的。
本系统中企业自行开发的内部管理系统就是基于这种思想进行单点登录,这里通过编程实现。若不想对集成的系统做任何改动,可采用这种方式简单实现。要建立员工存Portal系统中的用户名和其他系统中的用户名之间的对应关系并保存。可保存在表中或LDAP中或文件系统中。当员工注册集成系统信息后,即可通过Portal系统中的用户名和密码登录门户,然后直接访问所有注册的集成系统,而不需要进行二次登录。
(4)数据结构设计
根据对系统的分析,笔者设计了LDAP中的应用集成目录结构。在系统的目录树中,包含应用系统节点和用户节点。应用系统节点由集成系统名称、用户标识参数、用户口令标识参数和应用系统登陆窗口地址4个属性组成。用户节点由应用系统名称、门户用户标识、集成系统用户名和用户口令4个属性组成。基于LDAP服务器的特点和优势,在统一身份认证平台中,使用目录服务技术来完成用户身份信息和应用系统信息的存储管理功能。
统一身份认证系统的用户认证目录树结构设计,是应用集成目录结构的子集,主要从访问效率与性能方面考虑。DN为:O=xxx.com代表银行的根域。目录信息大体由三部分组成:“Ou=北京”用来管理区支行、分行机关、县支行的用户和账号信息;Cn=users,是一些系统管理员用户,如WPS系统管理员、DB2系统管理员等;Cn=groups用来管理组信息,可分为管理员组、栏目编写组等。目录服务器是整个统一用户认证平台的基础。保证了数据一致性和完整性。
(5)授权服务系统
在完成用户身份认证设计后,面临的问题是当用户登陆门户后的权限控制问题。本系统中的授权分为两种情况:一是授权管理的对象可以分为门户资源(包括页面、Portlet、页面组和用户组)和集成系统。对于门户资源的管理使用RBAC(基于角色)的授权模式.即首先定义角色对资源的访问权限,然后再定义用户或用户组所对应的角色;另外是对于集成系统的授权是由各应用系统自己管理的。
4 统一用户管理的实现
统一用户管理的关键是实现以LDAP (IDS)为中心,并保证IDS、DOMINO、TIM 服务器用户信息的同步。相关准备工作包括:将用户数据从现有的Domino服务器导入TIM,IDS服务器;在TIM 服务器中对用户组织机构信息进行调整,并把所有的用户信息重新进行归类;人员同步:鉴于银行人员调整的特点,初步把人员同步的频率定为每周作一次。每周末,管理员从Domino的管理员那里得到一份人员变动的清单。登录到TIM管理界面,对照清单和TIM 中的人员信息,确定要做的增、删、改的操作。TIM与IDS的人员同步是按照配置好的同步策略自动实现的。
1)门户用户身份认证-SSO实现
要实现门户用户身份认证,需要配置门户平台与WEBSEAL的SSO。它是通过共享LTPA令牌原理实现的。基于商业套件Domino/Notes的单点登录解决方案。银行目前日常办公系统包括文档管理(Domino Document Manager)、即时通信(Sametime)以及邮件系统。
实施该方案,必须满足以下条件。
所有的服务器必须配置成同一个DNS域的一部分,那么SSO将在所有WebSphere服务器之间起作用。所有服务器必须共享用户注册表。用户注册表可以是LDAP数据库,也还可以是用户自己实现的用户注册表。
所有的用户定义必须要在一个单一的LDAP目录中。
用户的游览器必须支持Cookie,因为服务器生成的信息将通过Cookies传递到客户端,然后提交给用户访问的其他服务器进行论证。
所有的服务必须共享LTPA密锁。
2)集成系统用户身份认证
当用户通过门户的认证。还需要再通过集成系统的身份认证才能访问相关的应用系统。这部分是通过自行开发实现的。当用户登录门户后,在管理员配置好的集成系统列表中,选择想进入的系统。如果用户还没有注册此应用系统,选择注册即可。系统集成软件结构可以分为管理员操作和用户操作两部分。管理用户可以增加、删除、修改能够提供给用户使用的应用系统。用户可以在管理用户配置提供的多个应用系统中,选择使用某一个应用系统.通过添加、删除、修改等方式动态的管理自己的应用系统列表。
5 总结与展望
本文设计了针对企业内网门户的统一用户管理、统一认证和授权管理的系统。使用待登录方式编码实现了集成系统的身份认证,并通过配置LTPA 密钥实现Portal系统用户的身份认证。对开发完的系统进行了部署。开发的统一身份认证系统在企业内网平台上得到了很好地实践和应用,目前运行良好。系统所使用的认证用户数据库来自于企业邮件系统,当在邮件系统中编辑了用户时,在IDS中也应做相应的变动,目前是手工实现的这是后期有待解决的问题。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:基于企业门户统一认证系统的设计与实现
本文网址:http://www.toberp.com/html/consultation/1083939232.html
相关文章
