潘育明

(長江航道局 武漢 430010)

近年來，隨著IT應用的不斷拓展與深化，應用系統(tǒng)數(shù)量越來越多，涉及的業(yè)務范圍越來越廣，用戶對系統(tǒng)的依賴程度越來越高。有些單位的各應用系統(tǒng)均獨立管理和運行，開發(fā)商及技術(shù)平臺不完全統(tǒng)一，用戶訪問不同的系統(tǒng)需要使用多套用戶名密碼進行多次登錄認證；對于系統(tǒng)管理員而言，多個業(yè)務系統(tǒng)之間使用不同的用戶數(shù)據(jù)源，極易造成各系統(tǒng)用戶數(shù)據(jù)不一致，導致系統(tǒng)管理員工作量大，用戶身份管理和訪問管理變得越來越復雜，客觀上對實現(xiàn)統(tǒng)一用戶管理與單點登錄的需求越來越迫切。例如，長江航道局在數(shù)字航道建設的引領下，陸續(xù)開發(fā)建設了辦公自動化系統(tǒng)、經(jīng)濟活動管理系統(tǒng)、三重一大決策支持系統(tǒng)、數(shù)字航道系統(tǒng)等應用系統(tǒng)，信息化對長江航道養(yǎng)護管理與服務的支撐作用日益凸顯，但這些系統(tǒng)均獨立運行，使用和管理極其不便。據(jù)此，長江航道局在系統(tǒng)運行的內(nèi)網(wǎng)環(huán)境中設計開發(fā)了統(tǒng)一用戶管理與單點登錄系統(tǒng)，在授予用戶單點登錄訪問系統(tǒng)資源的同時，有效而精確地管理全局用戶。

1 系統(tǒng)總體架構(gòu)

由于長江航道局總局和局屬各單位都部署了各自的應用系統(tǒng)，故設計在總局和8個局屬單位分別部署統(tǒng)一用戶管理與單點登錄系統(tǒng)，使其為各局分別提供單點登錄和用戶管理服務，并將局屬單位用戶信息數(shù)據(jù)庫LDAP配置與總局中心LDAP進行數(shù)據(jù)同步，總局中心可以查看下級單位的用戶信息，形成“1+8”的分級管理結(jié)構(gòu)，實現(xiàn)長江航道局用戶的身份存儲及統(tǒng)一管理、系統(tǒng)級的訪問控制管理，為各應用系統(tǒng)提供統(tǒng)一用戶管理、統(tǒng)一身份認證與單點登錄、待辦事項集中展示和提醒等功能。系統(tǒng)總體架構(gòu)設計見圖1。

圖1 系統(tǒng)總體架構(gòu)圖

2 系統(tǒng)功能設計

長江航道局統(tǒng)一用戶管理與單點登錄系統(tǒng)分為單點登錄子系統(tǒng)(SSO子系統(tǒng))及統(tǒng)一身份認證管理子系統(tǒng)(IDM子系統(tǒng))。其中統(tǒng)一身份認證管理子系統(tǒng)下有身份認證模塊、統(tǒng)一賬號管理模塊、資源管理模塊、統(tǒng)一授權(quán)模塊及統(tǒng)一日志審計等模塊。系統(tǒng)功能結(jié)構(gòu)見圖2。

圖2 系統(tǒng)功能結(jié)構(gòu)圖

2.1 統(tǒng)一用戶管理

實現(xiàn)單點登錄的前提是將所有應用系統(tǒng)的用戶信息進行統(tǒng)一管理并與之前的賬號進行映射，通過統(tǒng)一賬號管理模塊，使用賬號同步技術(shù)，實現(xiàn)對各業(yè)務系統(tǒng)的賬號統(tǒng)一管理。長江航道局統(tǒng)一用戶管理與單點登錄系統(tǒng)對各擬整合的系統(tǒng)實現(xiàn)統(tǒng)一用戶管理，以某一系統(tǒng)中的賬號作為唯一來源，實現(xiàn)與其它系統(tǒng)實時或定時的組織機構(gòu)及賬號同步，減少系統(tǒng)管理員的重復工作[1]。以長江南京航道局為例，其用戶信息都在人力資源系統(tǒng)中，因此要求用戶信息與人力資源系統(tǒng)保持一致。通過設置每天的同步時間點、同步周期，或通過手動同步的方式，系統(tǒng)每天定期從人力資源系統(tǒng)中同步變更的組織機構(gòu)及用戶信息。

傳統(tǒng)的統(tǒng)一用戶管理僅考慮統(tǒng)一用戶管理系統(tǒng)向其他業(yè)務系統(tǒng)的賬號的單向同步，本系統(tǒng)設計時還新增了各業(yè)務系統(tǒng)向統(tǒng)一用戶管理系統(tǒng)的反向同步。任一業(yè)務系統(tǒng)管理員或用戶在修改本系統(tǒng)組織架構(gòu)、用戶信息時，統(tǒng)一用戶管理平臺均可接收到變動審核信息，由管理員審核通過后，將變動信息反向同步至統(tǒng)一用戶管理平臺，從技術(shù)層面避免了賬號多源頭維護造成錯亂，極大提高了系統(tǒng)的實用性、穩(wěn)定性。

實現(xiàn)統(tǒng)一用戶管理，各業(yè)務系統(tǒng)需要配合進行接口開發(fā)整合，一般采用2種方式來進行整合：

1) Ldap標準協(xié)議方式整合。如果這些業(yè)務系統(tǒng)能夠支持ldap協(xié)議，則這些業(yè)務系統(tǒng)可以通過ldap協(xié)議直接獲取到統(tǒng)一用戶與單點登錄系統(tǒng)的用戶，并且通過ldap直接到統(tǒng)一身份與單點登錄平臺中進行認證。

2) Webservice接口方式整合。如果這些業(yè)務系統(tǒng)不能夠支持ldap協(xié)議，則可以通過業(yè)務系統(tǒng)調(diào)用統(tǒng)一用戶與單點登錄平臺接口，或者是由統(tǒng)一用戶與單點登錄系統(tǒng)調(diào)用業(yè)務系統(tǒng)接口的方式來實現(xiàn)同步。

本系統(tǒng)采用Webservice接口方式進行系統(tǒng)整合。本系統(tǒng)向其它業(yè)務系統(tǒng)的賬號正向同步，由本系統(tǒng)提供接口，各業(yè)務系統(tǒng)調(diào)用該接口來實現(xiàn)；其它業(yè)務系統(tǒng)向本系統(tǒng)的賬號反向同步，由各業(yè)務系統(tǒng)提供接口，本系統(tǒng)調(diào)用這些接口來實現(xiàn)。

2.2 統(tǒng)一用戶認證與單點登錄

各單位對擬整合的系統(tǒng)實現(xiàn)統(tǒng)一用戶認證與單點登錄，即用戶一次登錄便可實現(xiàn)對多個應用系統(tǒng)的訪問，無需重復登錄[2]。不整合的系統(tǒng)可按用戶權(quán)限展示訪問鏈接。常用的單點登錄解決方案有2種：后置代理解決方案和即插即用解決方案。

后置代理解決方案一般包括的組件為：認證服務器、各種API(Java，Net，JSP，ASP，PHP等)、各種代理Agent。這種解決方案需要用戶改造以前的應用系統(tǒng)，采用方案提供的Agent對應用系統(tǒng)進行修改。改變原有應用系統(tǒng)的認證方式、采用統(tǒng)一身份認證服務器提供的技術(shù)進行身份認證。在修改應用的技術(shù)方案中，每個應用服務器中都需要安裝1個代理程序完成用戶的身份認證工作。當用戶訪問目標應用服務器時，代理程序向認證服務器詢問該用戶是否已經(jīng)登錄，如果是，則代理程序從認證服務器中取得該用戶的用戶信息自動登錄該應用系統(tǒng)。登錄成功后，用戶直接訪問該目標服務器。如果未曾登錄過任何應用服務器，則該應用要求用戶進行身份認證，認證結(jié)束后，代理程序?qū)⒄J證結(jié)果發(fā)送給認證服務器。

即插即用解決方案對系統(tǒng)不進行改造，以避免協(xié)調(diào)難度大，或找不到原開發(fā)商而帶來的實施周期長，成本高，或?qū)嵤┌胪径鴱U的現(xiàn)象。此方案通過對系統(tǒng)名稱、IP地址和端口、用戶信息、單點登錄信息、用戶授權(quán)等進行配置來實現(xiàn)系統(tǒng)單點登錄。通過這種簡單的配置工作，就可將一些不易改造或是不能接受后置代理方式的應用系統(tǒng)完全整合到單點登錄系統(tǒng)上，這種方案無論對于B/S還是C/S結(jié)構(gòu)的應用系統(tǒng)都適用，尤其是對于C/S結(jié)構(gòu)的應用系統(tǒng)，通過下載SSO 控件，來對用戶實現(xiàn)單點登錄。不用對C/S系統(tǒng)進行改造，避免C/S不易實施單點登錄問題。

后置代理方案和即插即用方案各有優(yōu)缺點，本項目選擇更易實施的即插即用方案。其中B/S系統(tǒng)實現(xiàn)單點登錄過程如下：

1) 用戶訪問統(tǒng)一身份和單點登錄系統(tǒng)服務器，統(tǒng)一身份和單點登錄系統(tǒng)根據(jù)為用戶定義的認證方式對用戶進行認證。

2) 認證成功后，返回此用戶有權(quán)限訪問的資源列表。

3) 用戶通過資源列表的鏈接訪問目標應用系統(tǒng)。

4) 統(tǒng)一用戶和單點登錄檢驗當前的用戶會話是否經(jīng)過認證及授權(quán)，如果會話合法，則通過認證授權(quán)服務器取得用戶在目標應用系統(tǒng)下的賬號和密碼后，把用戶當前的請求重定向到真正的目標服務器，同時把登錄應用系統(tǒng)時需要用到的賬號、密碼及應用系統(tǒng)需要的其它參數(shù)一起提交給應用系統(tǒng)，應用系統(tǒng)完成對當前請求的認證。

5) 認證通過后，用戶與應用系統(tǒng)直接進行正常通訊。

實現(xiàn)C/S系統(tǒng)的單點登錄時，需要安裝一個單點登錄客戶端插件。其主要原理就是單點登錄客戶端插件代填用戶名口令到應用系統(tǒng)客戶端，并且讓應用系統(tǒng)客戶端自動提交完成登錄，達到無需人工輸入，實現(xiàn)登錄系統(tǒng)的目的。

今后還可通過集成多種外置身份認證設備，對外提供統(tǒng)一認證界面、實現(xiàn)多種身份認證方式，如證書、USBKEY、動態(tài)口令、指紋等認證手段及這些認證手段的結(jié)合。

2.3 待辦事項抽取實現(xiàn)

用戶登錄統(tǒng)一用戶管理與單點登錄系統(tǒng)后，需要調(diào)用OA系統(tǒng)、三重一大決策支持系統(tǒng)、經(jīng)濟活動管理系統(tǒng)等提供的相關接口，集中展現(xiàn)各系統(tǒng)的待辦事項。同時，可通過右下角彈框的方式提醒各系統(tǒng)新增的待辦消息，點擊相應事項的鏈接時，可直接登錄到相應系統(tǒng)。該功能需由業(yè)務系統(tǒng)開發(fā)人員進行開發(fā)提取，在統(tǒng)一用戶管理和單點登錄系統(tǒng)的門戶上通過嵌入iframe方式進行展現(xiàn)。待辦事項抽取業(yè)務流程見圖3。

圖3 待辦事項抽取流程

待辦事項抽取業(yè)務流程如下：

1) 待辦信息產(chǎn)生時，業(yè)務系統(tǒng)向統(tǒng)一用戶管理與單點登錄系統(tǒng)發(fā)送待辦數(shù)據(jù)。

2) 統(tǒng)一用戶管理與單點登錄系統(tǒng)給用戶發(fā)送待辦提醒，并可通過點擊待辦鏈接跳轉(zhuǎn)到業(yè)務系統(tǒng)中，進行待辦處理。

3) 待辦被處理后，業(yè)務系統(tǒng)向統(tǒng)一用戶管理與單點登錄系統(tǒng)發(fā)送待辦刪除信息，統(tǒng)一用戶管理與單點登錄系統(tǒng)將刪除此待辦，不再顯示。

2.4 統(tǒng)一授權(quán)管理

統(tǒng)一認證授權(quán)平臺采用基于角色的授權(quán)機制，按照單位內(nèi)部的組織結(jié)構(gòu)劃分角色，并為用戶綁定角色，對于不同的角色分配不同應用系統(tǒng)的訪問權(quán)限。系統(tǒng)支持分級授權(quán)功能，即支持設置子單位(部門)管理員，部門管理員只可以管理本部門用戶[3]。

目前對于當前的已建系統(tǒng)采用粗粒度授權(quán)，即授權(quán)粒度只精確到應用系統(tǒng)、設備、主機。統(tǒng)一身份和單點登錄授權(quán)粒度還可以不用改造系統(tǒng)實現(xiàn)部分細粒度授權(quán)，對于B/S結(jié)構(gòu)的應用系統(tǒng)，統(tǒng)一身份和單點登錄平臺可為其提供基于URL的細粒度訪問權(quán)限。為用戶或組設置其可以訪問的Web系統(tǒng)和頁面。

2.5 集中安全審計

審計是信息系統(tǒng)安全防范措施不可缺少的一部分，它需要可靠地記錄最終用戶和管理人員的訪問過程，建立一套全面、有效的回溯和追查機制，不僅可以讓系統(tǒng)管理員實時監(jiān)測用戶對各應用系統(tǒng)的訪問狀態(tài)，及時發(fā)現(xiàn)非法訪問事件，并且對于出現(xiàn)問題的事后追溯也有著重要的意義。

安全審計子系統(tǒng)主要對系統(tǒng)管理員的管理行為和普通用戶的訪問行為進行審計，還可按用戶賬號、系統(tǒng)名稱、時間、異常事件類型等分類進行審計信息的查詢、分析統(tǒng)計，其結(jié)果以報表或圖形的方式進行展現(xiàn)，以利于安全事件的快速、直觀把握。

3 結(jié)語

本文基于長江航道局信息化發(fā)展現(xiàn)狀及整合需求，闡述了實現(xiàn)統(tǒng)一用戶管理與單點登錄系統(tǒng)的技術(shù)方案。該系統(tǒng)通過構(gòu)建統(tǒng)一的、標準的用戶管理平臺，將各分散的信息系統(tǒng)中的用戶信息整合，實現(xiàn)了用戶信息、賬戶和角色的統(tǒng)一管理，并通過提供統(tǒng)一的單點登錄入口，實現(xiàn)對所有被授權(quán)網(wǎng)絡資源的無縫訪問，不僅提高了員工的工作效率，同時也減少了系統(tǒng)管理員的管理成本和工作強度，對于推動長江航道局信息化資源整合具有重要意義。

[1] 嚴駿.單點登錄和統(tǒng)一用戶認證設計與實現(xiàn)[J].信息與電腦(理論版)，2016(12)：59-60.

[2] 蔡芳.統(tǒng)一用戶與單點登錄實現(xiàn)應用系統(tǒng)集成方法研究引證[J].電腦知識與技術(shù)，2016，12(27)：188-190.

[3] 胡娟.統(tǒng)一用戶管理與單點登錄系統(tǒng)的設計與實現(xiàn)引證[D].北京：北京郵電大學，2014.