美章网 资料文库 企业信息门户单点登录方案设计范文

企业信息门户单点登录方案设计范文

时间:2022-01-20 09:31:11

企业信息门户单点登录方案设计

文章摘要:

为了改进当前企业门户系统用户的单点登录方式过于单一的问题,根据企业需求,必须从多角度、全方位考虑,从综合、协同和一体化法方向对用户进行多立体和动态身份认证,提出了一种新型企业信息门户单点登录方案。首先给出了企业信息门户总体设计方案,然后根据企业的实际需求提出了该单点登录的总体设计思路。最后重点分析了SharePointServerSSO、基于CA的SSO和ADSI/LDAPInterface的设计。这样不仅对现有的业务系统可以全方位认证,还可以为以后系统扩展提供预留接口。

关键词:

企业信息门户;单点登录;SharePointServer;CA;LDAP

随着云计算和大数据的迅速发展,企业用户应该可以通过自己的企业信息门户(EIP)网站去访问与之相关的业务系统。不仅可以访问企业内部的系统,还可以访问与企业相关的客户系统,得到相关的业务数据[1]。但无论是企业内部的业务系统,还是外部客户业务系统,都必须进行身份认证。传统的单点登录(SSO)系统设计方案是针对企业内部的相关业务系统进行免登录设计的,这种登录模式显然无法满足现在用户的需求。如何完善传统单点登录系统,本文以某大型制造企业的信息门户系统为例,提出一种新型单点登录系统设计方案。

1企业信息门户系统总体架构设计

系统的总体功能概括为:(1)框架功能:建立信息统一访问入口,建立用户目录认证系统,进行个性化配置、日常管理配置、管理报表配置、安装管理等。(2)协作功能:建立统一协作工作平台、建立统一搜索引擎、文档管理引擎、日程表/工作列表、讨论论坛等。(3)功能:内容架构定义、配置内容管理系统。(4)整合功能:连接ERP系统、资金结算系统,进行数据整合、集中展现。(5)公文流转:实现灵活的办公、办文、办会的事务管理。根据业务需求,将项目任务分成四个子系统进行建设,各子系统及其建设任务如下。(1)信息门户子系统,实现各信息系统之间的统一用户认证,建立起统一访问入口。能让用户根据自己的需求创建各自的“企业信息门户”群。(2)协同办公子系统:在“企业信息门户”群中,建立多级办公体系、搭建项目团队工作空间、丰富各种办公协作类应用,形成集团统一的办公协作及知识资源管理平台。(3)知识管理与培训子系统:构建企业知识文档中心和企业学习中心,对分散于企业每个员工的知识资料进行有效管理。(4)数据整合子系统:采用各种整合手段,对ERP系统、资金结算系统、、MES系统等系统的数据进行集成,使“企业信息门户”真正成为集办公信息、协作信息、业务信息、项目信息于一体的“统一信息门户”平台。为了确保统一的入口和对用户登录及使用的透明,集团总部的门户(portal)系统和下属企业的portal系统都将使用同样的域名,通过下属企业用户和集团用户设置不同的DNS服务器,解析成不同的IP地址来实现不同地区用户访问不同的服务器。对于OA、IDS和邮件系统由于是通过portal门户的单点登录进行访问的,所以只需一次验证即可跨不同业务系统协同完成一次任务。

2.单点登录系统总体设计

针对当前EIP系统发展的需要,在企业内部存在大量B/S、C/S的应用系统,比如资金结算系统、ERP系统、MES系统,以及各种各样对内对外业务系统,每个应用系统都有自己的认证模块与权限控制模块,为了实现对这些系统所管理资源的访问控制,真正做到“单点登录,全网通行”的功能。提出一种新型单点登录,使之更为实用、可靠地应用于EIP系统中。单点登录系统总体设计方案划分为“访问接口层”、“目录服务层”以及“目录接口层”三个层次,如图1所示。接口层的访问:为应用程序提供集中认证服务的验证接口模块。针对不同模式的应用系统,分为3个功能模块:SharePointServerSSO、基于SSLCA安全的SSO认证中心和ADSI/LDAPInterface。目录服务层:目录服务层是基于微软活动目录服务技术实现的。目录服务层为企业统一验证和资源管理提供一个基准记录,在目录服务器内包含了企业内用户和各种资源信息以及访问权限信息,为各种应用系统的验证过程提供一个参考标准,使企业内部有统一权限的管理基础,是实现SSO功能必不可少的部分之一。轻量级目录访问协议的访问:轻量级目录访问协议(LDAP)访问接口是为了和其他支持LDAP的目录服务器以及用户管理系统进行交换的接口。这是因为企业在电子商务全面开展的过程中,和其他职能部门、企业和同级企业门户网站之间往往有相互访问的需要。通过标准的LDAP协议,使SSO系统能够和其他职能部门的目录服务系统和人力资源系统等可以管理用户验证信息的系统进行交互,使他们之间相互验证成为可能。

3SharePointServerSSO设计

基本思想是建立一个加密的数据库,把用户的认证信息,存到这个数据库中。当成功地验证了登录SharePointServer(SPS)网站的用户身份以后,就可以从加密的数据库中,获得用户的信息,从而用来访问其他的服务器或者一些第三方的服务器[2]。在第一次访问与企业应用程序集成的WebPart时,如果用户的凭据还没有存储在单点登录数据库中,那么该用户将被重定向到一个登录表单,这个表单提示用户输入访问企业应用程序所需要的适当凭据。登录表单中的字段编号、顺序和名称由管理员在应用程序定义中配置;登录表单就是基于这些配置设置自动生成的。还需要在WebPart中编写代码来检查数据库中是否存在凭据,并在必要时将用户重定向到登录表单。用户提供的凭据然后被存储在凭据存储区中,并被映射到与该用户的SPS帐户相对应的Windows帐户。之后该用户将被重定向回原先的WebPart。WebPart中的代码然后以适合应用程序的方式从凭据存储区向应用程序提交凭据,同时检索必要的信息,随后在WebPart中向用户显示这些信息。

4基于CA的SSO设计

该设计是为解决企业内部或外部B/S架构的网络应用系统中身份认证和安全传输问题[3]。使基于Web的应用程序能够通过一个通用的接口,实现“单点登录、即可运行”的功能。采用SSL客户端和SSL服务器机制,使用证书机制认证用户身份,将验证后的用户身份信息传递给应用系统,同时在原有的B/S客户端与服务端之间建立一条高强度的加密通道,实现数据的保密性和完整性,保证数据的安全传输[4]。该子系统主要包括客户端用户操作界面,客户端登录,CA认证服务器,登录凭证信息库,LDAP目录服务器,SSL通信,CA认证机构几个部分。LDAP目录服务器用来保存用户的数字证书、证书注销列表以及用户的基本信息等。

5ADSI/LDAPInterface设计

ADSI/LDAPInterface(ActiveDirectoryServiceInterfaces/LightweightDirectoryAccessProtocolADSI/LDAP接口)是基于业界标准目录访问协议的接口,也是微软活动目录技术提供的,让应用程序实现SSO功能的标准接口[5]。在将来开发的应用系统中,只要利用ADSI/LDAP接口访问的SSO系统目录信息,同步其验证信息,就可以实现SSO的统一登录。ADSI/LDAP接口意义在于为将来的应用开发提供了符合业界标准的标准接口,是将来新应用程序应当遵循的验证接口,应用系统不仅仅让用户拥有单点登录功能,还使应用系统之间的信息和功能交换可以较容易地实现。LADPSERVER用来保存和管理用户凭证,LADPDIRBASE是设计的重要部件。LADPDIRBASE的核心部件是目录信息树。目录中用来存储用户基本信息、部门信息及用户权限角色。当用户第一次登录完成后,LDAPSERVER就获取了用户的UID和在部门的角色信息,并将其保存在凭证信息数据库DB中,以后此用户就可以在规定的角色范围内免登录相应的应用系统。

6结束语

本文通过以某企业信息门户需求为例,指出了当前企业单点登录的不足之处,提出了一种新型单点登录方案,该方案使用了SPSSSO、基于CA的SSO和ADSI/LDAPInterface等技术协调完成用户登录认证。该设计方案已经成功运行在某企业的门户平台中,实践证明该方案不仅对现有的B/S架构、C/S架构业务系统可以全方位认证,还可以为以后的系统扩展提供预留接口。但是该设计方案在用户并发数量较大时,有较长的时间滞后性。此外单点登录技术还在不断完善,网络攻击手段还在不断发展变化,怎样才能更有效地克服用户数量瓶颈,克服网络攻击,是我们今后急需解决的问题。

参考文献:

[1]邓绪水,宋庭新,黄必清.单点登录技术在企业资源集成中的应用[J].湖北工业大学学报,2010(02).

[2]薛辉,邓军.一个基于SharePointPortalServer2003的单点登录模型设计与实现[J].网络安全技术与应用,2006(05).

[3]邓军,叶柏龙,薛辉.基于WebAccessCA的单点登录技术解决方案[J].网络安全技术与应用,2006(09).

[4]邓军,叶柏龙.身份认证和安全传输方案的分析与设计[J].科学技术与工程,2007(02).

[5]张永强,陈伟.基于LDAP的CAS单点登录系统的设计与实现[J].软件,2011(02)

作者:薛辉 单位:湖南涉外经济学院

被举报文档标题:企业信息门户单点登录方案设计

被举报文档地址:

https://www.meizhang.comhttps://www.meizhang.com/gllw/qyxxlw/686044.html
我确定以上信息无误

举报类型:

非法(文档涉及政治、宗教、色情或其他违反国家法律法规的内容)

侵权

其他

验证码:

点击换图

举报理由:
   (必填)