单点登录在企业信息门户系统中的研究与实现

引言

    随着企业信息化的高速发展，案例所在的国有企业，业务发展非常迅速。在信息化建设上也不遗余力，企业内部实施了ERP、PDM、办公自动化、人力资源、业务查询、新闻、档案、企业内部外部网站等诸多应用系统。这些系统提高了企业运转效率的同时，也存在一些问题：一个用户往往需要同时使用几个应用系统提供的服务，需要记住不同系统用户名密码的同时，频繁的在各个系统之间进行切换，而每次切换时，都需要该系统独立的账户名和口令进行登陆，给用户的工作带来了不便，降低了工作的效率。同时用户为了便于记忆口令，会采用较简单的口令形式或者将多个应用系统的口令设置成相同的形式，这也给系统的安全带来了隐患。

    为了解决以上问题，企业提出了单点登录(Singlesign-on，SSo)的需求。单点登录是指在用户需要访问一个分布式环境中各个不同应用系统提供的服务时，只需要在环境中登录一次，而不需要用户在各个应用系统重新登录。单点登录的实质就是安全上下文或凭证在多个应用系统之间的传递或共享。如果在企业内部的支撑系统之间实现了单点登录，只要用户在一个系统中成功登录，当用户在多个系统间进行切换时，就不需要再进行验证，可以直接进入另外一个系统，提高了用户的工作效率和用户体验。

1 设计开发目标

    针对企业现状，本文的设计开发目标为，基于Winidows 2003+IIS平台，采用JAVA语言，建立一套“企业信息门户”平台，为企业用户提供统一的信息资源访问入口，实现不同应用系统的单点登录。结合企业实际管理需求，系统决定采用以下方案进行系统开发实施：

    (1)建立企业信息门户系统平台，创建一套统一的用户管理数据库，将各个系统的用户统一集成在企业门户系统中，规范命名，统一管理；

    (2)将每个用户在OA，ERP，PDM，业务查询、档案等需要单点登录的系统的帐户和对应的密码，高强度加密维护在系统中；

    (3)当用户成功登录企业信息门户并获得相应的授权，系统就根据该用户拥有的权限自动通过事先维护的账号和密码，自动通过门户平台单点登录(SS0)模块登录各应用系统，并根据各系统的反馈的登录信息判断是否成功登录各应用系统。

2 单点登录模型

    基于Web的单点登录主要的实现模型有：基于经纪人的单点登录；基于代理的单点登录模型和基于代理经纪人的单点登录模型。

    2．1基于经纪人的单点登录

    在此模型中，有一个集中的认证和用户帐号管理的服务器。首先，客户端访问认证服务器，与认证服务器进行双向身份认证后，获得电子身份标识；然后客户端凭借已获得的电子身份标识访问各种应用系统，从而实现单点登录。此模型中提供了一个独立的“第三方”，通过身份认证的客户端持认证服务器返回的电子身份标识去访问应用服务器，可以方便地扩展系统，但须对各个应用系统进行改造。

    2．2基于代理的单点登录

    在这种解决方案中，有一个自动地为不同的应用程序认证用户身份的代理程序。这个代理程序需要设计有不同的功能，它可以使用口令表或加密密钥来自动地将认证的负担从用户移开[4]。保证了通道的安全和单点登录，具有比较好的可实施性和灵活性，但其缺陷是用户的登录凭证要在本地存储，增加了口令泄漏的危险。

    2．3基于代理经纪人的单点登录

    基于经纪人的解决方案和基于代理的解决方案相结合。代理模型优点是能减少对应用程序的改造，经纪人模型优点就是认证集中，基于以上两点，代理经纪人模型就兼具了前者集中管理和后者无需修改应用服务程序的优点，是优点比较突出也是现今用得较多的模型。

3 单点登录在企业信息门户系统中的实现

    3．1 SSO模块设计与页面设计

    本企业门户中单点登录的设计基于代理经纪人型模型，核心思路是在用户管理模块中，用户自行将其在各应用系统中的登录账户及密码维护在自己的门户系统中，并将提交的信息加密保存到系统中。计划开发SSO．js代理模块，表1单点登录模块。

    3．2单点登录模块的开发

    当用户登录系统时，通过SS0服务模块，实现将用户权限下的账户发送至不同应用系统进行账户及密码的匹配，匹配成功时返回本系统登录状态true，登录成功，否则返回false，登录失败。单点登录设计文件sso．js，部分代码实现过程如下：

    3．2．1 OA单点登录SSO模块

    0A单点登录SSO模块：

    var xmlstrReq—new ActiveXObject()；

4 实施效果

    当用户打开门户平台输入帐号及密码后，系统首先判断门户账户合法后，请求SS0．js代理程序，到各应用服务器中去判断传递的应用系统账户是否合法，完成单点登录。实现了多套商业软件应用系统一次登录，资源尽享。该系统技术上最大的优势是不但实现对OA、ERP、PDM系统实现单点的登录，还具有很好的扩展功能，能实现对更多系统进行单点登录。既实现了单点登录，又不影响其他系统的单独登录，不需要对其他系统进行任何修改，保证了原有系统的安全机制不受影响和功能的正常使用，真正做到了方便、快捷、安全。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：单点登录在企业信息门户系统中的研究与实现

本文网址：http://www.toberp.com/html/support/1112158088.html