|
1 引言 在企业信息应用上不同的服务由不同的系统提供,但是这些服务仍提供给某些特定系统的特定用户,并且出于应用系统安全上的需要,每一个系统都需要对用户的身份进行认证和对其用户所访问的系统功能进行授权,应用系统在用户管理上基本上都自成体系,以保证合法用户的权益,拒统要求提供不同的用户名和口令,这样给用户带来了极大的不便;同时,口令存储环节的增加,也增加了口令泄露的可能性。 同时,在推进企业单位信息化建设的进程中,也普遍存在多个系统信息资源目录的统一问题,普遍存在统一认证和统一授权管理问题,普遍存在统一认证和统一授权机制、分级分类认证和授权操作问题。这些问题的解决直接影响整个信息资源系统的可控性和安全性。这是当前各企业单位信息化建设中的一个关键问题。 用户认证和授权管理正是基于上述需求,而设计开发的认证和授权管理类安全控制系统,提供与当前企业单位实际组织体系和业务模式相适应的分级分类认证和授权机制。 向用户和应用系统提供整合的认证和授权控制管理服务,提供用户身份认证到应用授权的映射功能。提供用户控制的基于多种业务属性组合条件下灵活的授权和访问控制机制,简化具体应用系统的开发维护。
下面对用户统一授权管理的实现进行重点介绍,由于统一用户认证发展的较早,且已普遍应用在企业信息系统中,这里只做概要介绍。 2 统一用户认证 为了解决多系统中存在的多重账号/口令管理而提出的解决方案,它应有统一用户管理、统一身份认证和接口服务等三大主要部分组成。 2.1统一用户管理 建立权威的、适合各应用系统使用的统一账号数据库,账号数据库可基于活动目录或关系型数据库建立。统一用户管理模块,可供系统管理人员和各单位内部管理员使用,可以分级维护所有的组织单位和人员信息,包括:用户添加、用户管理、组织单位管理、角色管理、用户角色关系配置。 2.2统一身份认证 作为电子政务应用系统的统一认证模块,是实现单点登录的基础,可根据不同的认证需要选择不同的认证方式,为不同类型的用户提供了安全认证服务。常见的认证方式有:Windows域集成认证、表单用户口令认证、数字证书认证。所有的用户均可通过访问统一身份认证的入口来完成政务系统的单点登录。
3 用户统一授权 统一认证只是第一步,而要做到统一授权那么难度就将大大加大,因为各个系统的权限管理是不一样,有些比较简单,只需要控制访问权限便可,而有些除了要控制访问权限,还要控制数据操作权限,因此要使统一用户管理系统能实现对各用户在不同系统的权限进行统一管理,授权是一件很不容易的事情。 下面我们简单的介绍一下统一用户授权的两种方法: 方法一: 只在统一用户管理系统中建立用户和各系统角色的对应关系,这种方式就只能告诉统一用户管理人员,该用户在各系统有什么权限,但真正的赋权还是在各系统进行,各系统在新增角色或者为用户更改角色时只需要通过相关的同步接口通知统一用户管理系统就行,注意只是提供角色的描述,或者数据操作权限的简单描述,因为这样对统一用户管理系统的权限模型要求不高,只要能提供可对角色和操作进行描述的模型就行。 因此统一用户管理系统并不能真正依赖这些信息来获取用户的正确的权限信息,统一用户认证接口并不把相关的角色或操作权限通过接口传送给各个应用系统,用户登陆后再在各系统权限模型中获取相关的操作权限和数据操作权限。 这种方式是不能实现统一授权,只能为管理人员提供统一的用户权限视图,但实现方式相对简单,只能作为一种过渡的方法,本文不作更深的研究。 方法二: 这是一个终极目标的做法,这个方法是将所有系统的权限控制部分都建在统一用户管理系统中。首先,统一用户管理系统在设计时就要能建立一个能适应各种系统权限管理要求的权限模型。 对于己建立的老系统,各系统将自己的用户角色管理,角色一权限管理等部分抽离出来,统一放在统一用户管理系统中,而对于新建立的系统,各系统在建设的初期就要把自己权限设计的要求提交给统一用户管理系统,按照其需求在本身统一用户管理系统的权限模型上去构建出该系统的实例。 那么管理员就可以通过统一授权系统为各用户在不同系统的权限进行配置,在登陆时各系统就调用相关的统一认证和授权接口,获取用户相关的权限信息,进到各系统后再创建用户,将相关的权限信息赋予给用户类,然后就可以在应用系统中进行权限验证。 这种方式既能对用户进行统一的授权和认证,也能展现各用户的统一权限视图,在本文中我们主要研究此种方法。 统一用户授权管理是以资源的授权、访问决策控制集中管理为目标,以资源的访问控制为导向,以资源的安全、防扩散为前提,将各个应用系统的所有受控资源进行统一授权,不仅可以保护应用系统的信息安全、建立全面的信息保密制度,同时满足对系统文档加密和授权需求,构建安全可控的文档安全、防扩散管理系统。
|
|
|
