统一身份认证在信息化企业中的应用研究

统一身份认证在信息化企业中的应用研究

随着企业规模的不断扩大，这些各自为政所实施的局部应用使得各系统之间彼此独立，成为一个个“信息孤岛”。企业的用户就不得不在各个应用系统之间来回穿梭，频繁登录，用户信息混乱，企业的信息资源面临巨大威胁。因此。急需在现有的应用系统的基础上建立一个覆盖各区域、各部门，涵盖企业各个方面的企业信息门户。建立一个高安全性和可靠性的统一身份认证系统是建立该信息门户首要解决的问题。

随着企业不断建立健全公司信息化系统，建设包括财务管理、营销管理、生产管理、人力资源管理、物资管理、项目管理等应用系统，这些信息化资源的大量投入使用，极大提高了企业的工作效率。但是随着企业规模的不断扩大，这些各自为政所实施的局部应用使得各系统之间彼此独立，成为一个个“信息孤岛”。企业的用户就不得不在各个应用系统之间来回穿梭，频繁登录，用户信息混乱，企业的信息资源面临巨大威胁。因此，急需在现有的应用系统的基础上建立一个覆盖各区域、各部门，涵盖企业各个方面的企业信息门户。建立一个高安全性和可靠性的统一身份认证系统是建立该信息门户首要解决的问题。

1企业统一身份认证系统的目标

统一身份认证系统的建设目标是为跨区域企业的各种网络服务和应用系统提供统一的用户管理平台和身份认证服务。企业用户只需要使用同一用户名、同一密码就可以登录所有允许他登录的系统；并且，用户只需登陆一次，就能在允许他登陆的多个系统间游走。另外，从管理角度出发，管理人员可以在同一认证系统中集中对各个应用系统的用户进行管理，有效提高整个企业的管理和运行效率。总之，统一身份认证平台功能重点包括三个方面：用户资料集中存储和管理，用户身份集中验证，用户单点登录。

2企业统一身份认证系统的设计

2.1LDAP目录系统设计

与一般的关系型数据库不同，LDAP(LightDirectoryAccessProtocol)是一种特殊的数据库。它的主要任务不是数据的存储和操作，因此并不像传统的数据库一样支持复杂的事务或者回滚技术，它对查询进行了优化，与写性能相比LDAP的读性能要强很多。LDAP还是一个安全的协议，它使用SASL(SimpleAuthenticationSecurityLayer)协议，提供访问控制。LDAP通过SSL/TLS(SecureSocketsLayer/TransportLayerSecurity)认证机制来保护数据的完整性和私密性。基于LDAP的应用开发有标准的规范，可以在任何计算机平台上访问LDAP目录，因此利用LDAP服务可以设计出跨平台和应用的统一身份认证系统。

本文设计的系统采用LDAP目录服务作为统一身份认证的基础，针对跨区域企业的机构地理分布、应用系统部署、网络状况等实际需求，企业的目录系统采用企业总部，分公司两级架构设计，如图l所示。各分公司在本地身份认证目录中存放和管理着本公司范围内的用户身份信息，身份认证管理系统会将这些目录自动实时同步到企业总部的身份认证目录中。因此，用户在公司总部认证目录和分公司认证目录中都具有用户身份，通过Mail属性关联，将Mail属性作为标识用户身份的关键信息。

点击图片查看大图



2.2统一身份认证系统的管理架构设计

企业的统一身份认证系统采用自由联盟项目(LibertyAllianceProject)创建的开放及联合的网络身份认证管理框架，如图2所示。系统由两大组件构成：访问网关和身份认证管理服务器。访问网关作为用户的统一访问人口，来提升企业门户与应用的访问安全：身份认证管理服务器管理用户相关的访问控制策略，并负责与访问网关通讯。

点击图片查看大图



访问网关基于反向代理技术对后端的身份认证管理系统、应用系统等提供访问保护、审计监控等服务。身份认证管理系统利用PORTLET集成到企业门户中。企业的统一身份认证系统在访问网关中建立企业门户的代理EIPProxy，代理对外的lP地址与企业门户的IP地址不同，不允许用户直接访问企业门户服务器。DNS域名系统中企业门户的域名将指向访问网关中企业门户代理EIPProxy的lP地址，这样，用户在浏览器中输入企业门户的域名时，实际访问的是访问网关中企业门户的代理。

访问网关可以根据用户请求资源的保护策略，决定是否对用户身份进行认证，如果用户请求企业门户中受保护的资源，则访问网关将用户重定向到身份认证管理系统，身份认证管理系统认证用户身份，若用户通过认证，身份认证管理系统将用户的身份信息传送给企业门户，企业门户将用户请求的相关应用系统中的资源返回给访同同关，再由访问网关将响应返回给用户。

2.3单点登录的设计

用户的单点登录主要是实现身份认证管理系统将经过鉴定的用户信息以安全的方式传递给应用系统，应用www.huisheliren.com系统利用身份认证系统传递的用户信息确认用户身份，完成登录，并将请求的资源返回给企业门户。单点登录涉及两种情况：一种是用户访问本地的应用系统，一种是用户访问其它地域的子公司或总公司的应用系统。系统在设计时将同一个子公司的各个系统作为一个信任域，每个信任域内都设有独立的身份认证管理系统：企业本部的身份认证管理系统与分公司的身份认证管理系统将建立级联认证关系。

当用户访问本地的应用系统时，先从身份认证管理系统登录认证，如果通过验证，用户就可以自由访问该信任域内的应用系统。如果用户跨域访问其它地域的子公司或总公司受保护的应用系统，分公司身份认证管理系统将公司总部身份认证管理系统作为“身份提供者IP(IdentityProvider)”，公司总部身份认证管理系统将分公司身份认证管理系统作为“服务提供者SP(ServiceProvider)”，双方基于SAML/Liberty协议进行协商，确认用户是否已被认证，如果已被认证，则允许用户访问相关受保护的应用系统。另外，如果要实现企业总部到分公司的跨域单点登录，可以通过身份认证管理系统将企业总部有权跟访问分公司系统的用户身份同步到分公司的认证目录中，身份认证管理服务器再通过SAML/Liberty协商，实现公司总部到分公司的跨域级联认证。

3企业统一身份认证系统的实现

基于如上的设计思想实现了某跨区域大集团公司的统一身份认证入口，该集团公司各分公司的员工以及外部人员均采用如下门户网站统一登录，如图3所示。

点击图片查看大图



4结束语建立一个高安全性和可靠性的统一身份认证系统是企业集成各应用系统建立企业信息门户首要解决的问题。笔者综合考虑了跨区域企业机构地理分布、应用系统部署情况，采用了LDAP目录系统。设计了企业总部/分公司两级目录架构存储用户身份信息。基于Liberty的网络身份认证管理框架，设计了两大组件：访问网关和身份认证管理服务器。访问网关作为用户的统一访问入口，基于反向代理技术对后端的企业门户提供访问保护服务；身份认证管理服务器对各应用系统的用户身份集中认证。设计了企业的级联认证架构，各域的身份认证管理服务器基于级联认证架构，通过SAML/Liberty协议协商，支持用户的单点登录。基于该设计实现的统一身份认证管理系统实现了跨区域信息化企业多个应用系统用户的集中管理、统一身份认证和用户的单点登录问题，目前系统运行良好。