隨著企業(yè)不斷建立健全公司信息化系統(tǒng)，建設(shè)包括財務(wù)管理、營銷管理、生產(chǎn)管理、人力資源管理、物資管理、項目管理等應(yīng)用系統(tǒng)，這些信息化資源的大量投入使用，極大提高了企業(yè)的工作效率。但是隨著企業(yè)規(guī)模的不斷擴大，這些各自為政所實施的局部應(yīng)用使得各系統(tǒng)之間彼此獨立，成為一個個“信息孤島”。企業(yè)的用戶就不得不在各個應(yīng)用系統(tǒng)之間來回穿梭，頻繁登錄，用戶信息混亂，企業(yè)的信息資源面臨巨大威脅。因此，急需在現(xiàn)有的應(yīng)用系統(tǒng)的基礎(chǔ)上建立一個覆蓋各區(qū)域、各部門，涵蓋企業(yè)各個方面的企業(yè)信息門戶。建立一個高安全性和可靠性的統(tǒng)一身份認證系統(tǒng)是建立該信息門戶首要解決的問題。

1 企業(yè)統(tǒng)一身份認證系統(tǒng)的目標

　　統(tǒng)一身份認證系統(tǒng)的建設(shè)目標是為跨區(qū)域企業(yè)的各種網(wǎng)絡(luò)服務(wù)和應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理平臺和身份認證服務(wù)。企業(yè)用戶只需要使用同一用戶名、同一密碼就可以登錄所有允許他登錄的系統(tǒng)；并且，用戶只需登陸一次，就能在允許他登陸的多個系統(tǒng)間游走。另外，從管理角度出發(fā)，管理人員可以在同一認證系統(tǒng)中集中對各個應(yīng)用系統(tǒng)的用戶進行管理，有效提高整個企業(yè)的管理和運行效率。總之，統(tǒng)一身份認證平臺功能重點包括三個方面：用戶資料集中存儲和管理，用戶身份集中驗證，用戶單點登錄。

2 企業(yè)統(tǒng)一身份認證系統(tǒng)的設(shè)計

　　2.1 LDAP目錄系統(tǒng)設(shè)計

　　與一般的關(guān)系型數(shù)據(jù)庫不同，LDAP(Light Directory Access Protocol)是一種特殊的數(shù)據(jù)庫。它的主要任務(wù)不是數(shù)據(jù)的存儲和操作，因此并不像傳統(tǒng)的數(shù)據(jù)庫一樣支持復(fù)雜的事務(wù)或者回滾技術(shù)，它對查詢進行了優(yōu)化，與寫性能相比LDAP的讀性能要強很多。LDAP還是一個安全的協(xié)議，它使用SASL(Simple Authentication Security Layer)協(xié)議，提供訪問控制。LDAP通過SSL/TLS(Secure Sockets Layer/Transport Layer Security)認證機制來保護數(shù)據(jù)的完整性和私密性。基于LDAP的應(yīng)用開發(fā)有標準的規(guī)范，可以在任何計算機平臺上訪問LDAP目錄，因此利用LDAP服務(wù)可以設(shè)計出跨平臺和應(yīng)用的統(tǒng)一身份認證系統(tǒng)。

　　本文設(shè)計的系統(tǒng)采用LDAP目錄服務(wù)作為統(tǒng)一身份認證的基礎(chǔ)，針對跨區(qū)域企業(yè)的機構(gòu)地理分布、應(yīng)用系統(tǒng)部署、網(wǎng)絡(luò)狀況等實際需求，企業(yè)的目錄系統(tǒng)采用企業(yè)總部，分公司兩級架構(gòu)設(shè)計，如圖l所示。各分公司在本地身份認證目錄中存放和管理著本公司范圍內(nèi)的用戶身份信息，身份認證管理系統(tǒng)會將這些目錄自動實時同步到企業(yè)總部的身份認證目錄中。因此，用戶在公司總部認證目錄和分公司認證目錄中都具有用戶身份，通過Mail屬性關(guān)聯(lián)，將Mail屬性作為標識用戶身份的關(guān)鍵信息。

　　2.2 統(tǒng)一身份認證系統(tǒng)的管理架構(gòu)設(shè)計

　　企業(yè)的統(tǒng)一身份認證系統(tǒng)采用自由聯(lián)盟項目(Liberty Alliance Project)創(chuàng)建的開放及聯(lián)合的網(wǎng)絡(luò)身份認證管理框架，如圖2所示。系統(tǒng)由兩大組件構(gòu)成：訪問網(wǎng)關(guān)和身份認證管理服務(wù)器。訪問網(wǎng)關(guān)作為用戶的統(tǒng)一訪問人口，來提升企業(yè)門戶與應(yīng)用的訪問安全：身份認證管理服務(wù)器管理用戶相關(guān)的訪問控制策略，并負責與訪問網(wǎng)關(guān)通訊。

　　訪問網(wǎng)關(guān)基于反向代理技術(shù)對后端的身份認證管理系統(tǒng)、應(yīng)用系統(tǒng)等提供訪問保護、審計監(jiān)控等服務(wù)。身份認證管理系統(tǒng)利用PORTLET集成到企業(yè)門戶中。企業(yè)的統(tǒng)一身份認證系統(tǒng)在訪問網(wǎng)關(guān)中建立企業(yè)門戶的代理EIPProxy，代理對外的lP地址與企業(yè)門戶的IP地址不同，不允許用戶直接訪問企業(yè)門戶服務(wù)器。DNS域名系統(tǒng)中企業(yè)門戶的域名將指向訪問網(wǎng)關(guān)中企業(yè)門戶代理EIPProxy的lP地址，這樣，用戶在瀏覽器中輸入企業(yè)門戶的域名時，實際訪問的是訪問網(wǎng)關(guān)中企業(yè)門戶的代理。

　　訪問網(wǎng)關(guān)可以根據(jù)用戶請求資源的保護策略，決定是否對用戶身份進行認證，如果用戶請求企業(yè)門戶中受保護的資源，則訪問網(wǎng)關(guān)將用戶重定向到身份認證管理系統(tǒng)，身份認證管理系統(tǒng)認證用戶身份，若用戶通過認證，身份認證管理系統(tǒng)將用戶的身份信息傳送給企業(yè)門戶，企業(yè)門戶將用戶請求的相關(guān)應(yīng)用系統(tǒng)中的資源返回給訪同同關(guān)，再由訪問網(wǎng)關(guān)將響應(yīng)返回給用戶。

　　2.3 單點登錄的設(shè)計

　　用戶的單點登錄主要是實現(xiàn)身份認證管理系統(tǒng)將經(jīng)過鑒定的用戶信息以安全的方式傳遞給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)利用身份認證系統(tǒng)傳遞的用戶信息確認用戶身份，完成登錄，并將請求的資源返回給企業(yè)門戶。單點登錄涉及兩種情況：一種是用戶訪問本地的應(yīng)用系統(tǒng)，一種是用戶訪問其它地域的子公司或總公司的應(yīng)用系統(tǒng)。系統(tǒng)在設(shè)計時將同一個子公司的各個系統(tǒng)作為一個信任域，每個信任域內(nèi)都設(shè)有獨立的身份認證管理系統(tǒng)：企業(yè)本部的身份認證管理系統(tǒng)與分公司的身份認證管理系統(tǒng)將建立級聯(lián)認證關(guān)系。

　　當用戶訪問本地的應(yīng)用系統(tǒng)時，先從身份認證管理系統(tǒng)登錄認證，如果通過驗證，用戶就可以自由訪問該信任域內(nèi)的應(yīng)用系統(tǒng)。如果用戶跨域訪問其它地域的子公司或總公司受保護的應(yīng)用系統(tǒng)，分公司身份認證管理系統(tǒng)將公司總部身份認證管理系統(tǒng)作為“身份提供者IP(Identity Provider)”，公司總部身份認證管理系統(tǒng)將分公司身份認證管理系統(tǒng)作為“服務(wù)提供者SP(Service Provider)”，雙方基于SAML/Liberty協(xié)議進行協(xié)商，確認用戶是否已被認證，如果已被認證，則允許用戶訪問相關(guān)受保護的應(yīng)用系統(tǒng)。另外，如果要實現(xiàn)企業(yè)總部到分公司的跨域單點登錄，可以通過身份認證管理系統(tǒng)將企業(yè)總部有權(quán)跟訪問分公司系統(tǒng)的用戶身份同步到分公司的認證目錄中，身份認證管理服務(wù)器再通過SAML/Liberty協(xié)商，實現(xiàn)公司總部到分公司的跨域級聯(lián)認證。

3 企業(yè)統(tǒng)一身份認證系統(tǒng)的實現(xiàn)

　　基于如上的設(shè)計思想實現(xiàn)了某跨區(qū)域大集團公司的統(tǒng)一身份認證入口，該集團公司各分公司的員工以及外部人員均采用如下門戶網(wǎng)站統(tǒng)一登錄，如圖3所示。

4 結(jié)束語

　　建立一個高安全性和可靠性的統(tǒng)一身份認證系統(tǒng)是企業(yè)集成各應(yīng)用系統(tǒng)建立企業(yè)信息門戶首要解決的問題。筆者綜合考慮了跨區(qū)域企業(yè)機構(gòu)地理分布、應(yīng)用系統(tǒng)部署情況，采用了LDAP目錄系統(tǒng)。設(shè)計了企業(yè)總部/分公司兩級目錄架構(gòu)存儲用戶身份信息。基于Liberty的網(wǎng)絡(luò)身份認證管理框架，設(shè)計了兩大組件：訪問網(wǎng)關(guān)和身份認證管理服務(wù)器。訪問網(wǎng)關(guān)作為用戶的統(tǒng)一訪問入口，基于反向代理技術(shù)對后端的企業(yè)門戶提供訪問保護服務(wù)；身份認證管理服務(wù)器對各應(yīng)用系統(tǒng)的用戶身份集中認證。設(shè)計了企業(yè)的級聯(lián)認證架構(gòu)，各域的身份認證管理服務(wù)器基于級聯(lián)認證架構(gòu)，通過SAML/Liberty協(xié)議協(xié)商，支持用戶的單點登錄。基于該設(shè)計實現(xiàn)的統(tǒng)一身份認證管理系統(tǒng)實現(xiàn)了跨區(qū)域信息化企業(yè)多個應(yīng)用系統(tǒng)用戶的集中管理、統(tǒng)一身份認證和用戶的單點登錄問題，目前系統(tǒng)運行良好。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.nttd-wave.com.cn/

本文標題：統(tǒng)一身份認證在信息化企業(yè)中的應(yīng)用研究

本文網(wǎng)址：http://m.nttd-wave.com.cn/html/consultation/1083953859.html