企业信息门户与统一的用户安全认证体系.docx

《企业信息门户与统一的用户安全认证体系.docx》由会员分享，可在线阅读，更多相关《企业信息门户与统一的用户安全认证体系.docx（7页珍藏版）》请在第一文库网上搜索。

1、企业信息门户与统一的用户平安认证体系。引言我国电网公司信息化“SG186”工程的建设规划和一体化平台的总体架构设计，其中一个重点是：要建立一个信息共享、平安牢靠的企业门户；同时在我国电网公司全网建设统一名目管理系统，为八大业务应用及其他应用系统供应用户认证、账号供应、单点登录等基础支撑服务。因电力企业信息化建设起步较早，原来大都以部门业务为条线进行建设，没有采纳统一的技术架构，限制了系统之间的信息共享和信息交换，形成企业的信息孤岛。同时，不同的应用系统拥有相对独立的用户管理体系，缺乏一种有效的资源访问管理机制，导致用户管理比较混乱。在此状况下，可建:企业信息门户和用户平安认证体系，供应统一的信

2、息访问渠道。企业信息门户（以下简称企业门户），是访问各种信息和应用系统的统一人口，用于访问分布在企业内各种格式，各种来源的内容，集成各种现有业务应用系统（财务管理、营销管理、0A等），用户可通过企业门户与其他人共享信息、通信和协同工作。河南省电力公司已经通过对信息资源的整合，建立了公司统一的企业门户和用户平安认证体系，为各业务应用系统供应了一个便利、快捷的数据交换平台，并为每一位员工供应了可共性化定制的个人工作平台。1电力企业门户的组成电力企业门户总体架构可分为3个层次：用户接人层、门户系统和企业应用系统。如图1所示。1.1用户接人层企业门户支持各种有线、无线的网络接人方式，用户既可以用PC机

3、、也可通过PDA手机等移动终端访问企业门户。1.2门户系统供应用户访问的平安掌握手段、共性化定制、内容管理、协同力、公和门户相关服务功能等应用，详细包括：(1)用户管理：供应企业门户用户信息的管理手段，建立电力企业统一的名目系统，为实现通过门户访问企业内资源的单一登录机制供应人员信息基础。(2)认证管理：支持多种认证方式，包括静态密码、动态密码、数字证书等，对用户访问进行身份认证。同时可以直接采用已有系统中的用户帐户信息进行身份认证。(3)系统与平安管理：企业门户所承载的应用与内容大多数都是企业的敏感信息，系统平安是需要首先考虑的问题。通过认证、加密、授权等3个方面确保接入企业门户的业务应用系

4、统的平安；同时，采纳负载均衡、容灾、备份等措施保证企业门户自身的高效和平安牢靠。(4)访问策略管理：为用户访问企业门户供应信息访问权限掌握、访问渠道管理等多种功能，少1定义共性化服务的访问策略。如员上对内部的各种应用和信息是否在其门户桌面上可见，是否允许其访问等，就是通过策略管理来实现的。策略管理是门户其他功能(平安、共性化展现、定制等)的基础。(5)共性化服务：在系统统一掌握管理的基础上，为员工供应共性化的管理平台。访问者可以依据自身工作性质和对企业资源的访问需求，设置共性化的访问界面，并通过这种共性化的服务查阅、管理相关信息。(6)内容管理：企业门户可以对各种结构化和非结构化的数据(如业务

5、数据、网站新闻等)进行处理，识别各种关系型和OLAP类型的数据库。(7协同办公：供应在线人员感知、即时消息、网络会议室等功能和信息。(8)搜寻服务：企业门户不但可以整合Tnternet上的各种搜寻引擎，也可对门户中的信息进行综合搜寻。(9)虚拟门户：企业门户供应在一个物理实体上建立多个虚拟门户的功能，使公司各部门、卜.属单位都可以建M自己的门户。举例来讲，假如在某个网省公司。已经实现了大多数业务应用系统数据的大集中，并且在省公司也建立了规模相对较大的企业门户，在这种状况下，其下属单位就不必再建设自己单独的门户，而是直接采用省公司门户的物理设施，采纳虚拟门户的方式来访问相关信息。采用虚拟门户将明

6、显削减建设资金的投入。1.3企业应用系统企业应用系统包括电力企业内部原有的各应用系统，它们主要通过单点登录和应用集成来实现门户内容的整合。2统一的用户平安认证体系1. 1统一用户名目统一用户日录是用户平安认证体系的基础。它是个独立的名目系统，可扩展、可纵向连接。为保证全都性，使日录信息能在公司系统内进行同步，应进行名目树结构和名目schema的统一规划设计。2. 2身份认证身份认证是指通过多种方式对用户身份进行验证，确保个人身份的真实性。用户平安认证方式分为基本认证、表单认证、Kerberos认证、客户证书认证、HTTP头认证、工P认证等。其中基本认证、表单认证、Kerberos认证、客户证书

7、认证主要为最终用户供应；HTTP头和IP地址认证主要用于计算机已经处于平安级别比较高的位置，简化认证流程。(1)基本认证(BasicAuthenticate):是依据rfc2616(超文本传输合同HTTP/1. 1)法律规范要求，由认证服务器向客户端发送“WNW-Authenticate”头，客户端将用户名和密码供应应认证机制的标准方法。由于传输的密码没有加密，通常需要和HTTPS协作使用.以提高平安性。(2)表单认证：由于大多数B/S系统都采纳了表单的方式来提交用户身份的认证恳求，所以这种用法最多。这种方法可从认证服务器产生定制的HTML登录表单，而不是在基本认证期间产生标准的登录提示。(3

8、)Kerberos认证：几乎全部的LDAP服务器都支持Kerberos认证，采纳Kerberos认证的好处是用户密码不会在网络上传送，防止密码泄露。如NindowsActivcDircctory支持Kerbcrosv5认证合同，采纳Kerberos认证主要是解决Windows域用户自动认证问题。登录Windows的用户可以将Kerberos票据发送到认证服务器，认证服务器再联系ActiveDirectory,实现用户自动认证。(4)客户证书认证:是采用SSL合同，由客户出示客户证书来达到识别用户身份的目的。客户证书可以导入IE扫瞄器。为了加强平安性，客户证书还可存放在U盘或智能片中以防止被盗用

9、。客户证书中包含有客户所处名目服务器(LDAY)的位置信息，名目服务器也可以存放有客户证朽，当认证胜利时，认证服务器可以猎取一个用于表明用户身份的凭证，依据凭证授予该用户的许可权和权限。由于客户证书采纳公私钥机制，用户不需要记忆自己的密码，身份识别信息不简洁被盗用，平安性较高。在河南电力0A系统中，有一部分重要用户拥有数字证书，采纳的就足这种认证方式。(5)HTTP头认证:客户机供应的信息通过定制的HTTP头传递给认证服务器，认证服务器信任此定制的HTTP头数据是从前认证的结果，并由认证模块来进行认证。(6) IP认证：IP认证主要用来简化认证手续或对计算机设施认证。由于IP地址简洁伪造，所以

10、IP认证主要用于企业内部等网络平安级别已经比较高的场合。认证服务器使用http-request参数确定计算机的身份。3单点登录系统的应用单点登录(SingleSignOn,简称为SSO)功能是企业门户中统一用户平安认证体系的典型应用。简洁地讲，单点登录指的是:登录1次，即可访问多个应用系统。企业门户中，统一的用户平安认证体系，包含3个重要的组成部分:统一用户管理、用户授权管理和单点登录的接入。3.1统一用户管理在整个单点登录系统中占据重要地位，而一个真工意义上的统一用户管理平台必需具备数据统一、服务统一、管理统一、同步用户数据等功能。数据统一：包含名目结构和格式的统一规划和初始化数据的清理；服

11、务统一:供应标准化服务，用于名目系统内部以及外部应用系统和名目系统之间的交互；管理统一:使用完量少的业务人口来进行用户数据的维护，以确保用户数据的唯一性；用户数据同步:包含不同业务应用系统之间用户信息的同步，以及跨域认证时不同名目树之间用户数据的同步。对于它的部署方式，般可以在公司系统内建上统一的身份名目，有选择地进行横向、纵向的用户信自、同步，为单点登录供应人员信息基础。河南省电力公司企业门户于2004年正式投入运行。对于企业门户用户的管理，刚开头以人力资源管理系统作为权威数据源，企业门户的用户来源于人力资源。也就是说，只有当人力资源系统中的用户发牛.变化时，用户变更信息、才会同步到企业门户

12、的LDAP服务器中，企业门户中的用户才会随着变化。但在实际应用中，发觉人力资源系统用户信息的变更不太准时，影响了门户用户的正常登录。而0A系统的用户信息、相对更新速度快，也比较精确，所以改将0A系统作为权威数据源，实际效果良好。3. 2用户授权管理用户授权有3种方式:规章授权、托付授权和开通服务。(1)规章授权是指基于规章的授权，系统可以依据商业规章和用户属性，动态地授权用户对门户资源的访问。(2)托付授权为Portlet、用户、授权等实现托付管理，托付授权服务推断用户是否有访问后台资源权限，是由ACL和被管理资源以及它们之间的对应关系共同来完成的。(3)开通服务是指新员工人职、职位变迁匕员工

13、离职等这些全部的变化时，都涉及到对用户在各个应用系统中的权限变化，在统一的开通服务中进行修改配置，从而可以实现用户的生命周期管理和资源的生命周期管理。3. 3接入方式目前电力企业内部各应用系统从技术架构上可以分为B/S和C/S两大类，随着信息技术的进展，基于B/S结构的Mb应用逐步成为以后应用开发的主流技术。下面，只对B/S应用系统在单点登录系统中的接入方式做分析。接人方式大致分为3种，分别对应于不同的状况:对企业内部应用，可采纳模拟应用系统登录的方式；对互联网应用，可使用用户自助的接人方式；对企业门户级联等其他有特别要求的应用，就可以采纳第3种方式，改造原有应用系统的认证方式。3. 3.1模

14、拟应用系统登录(1)自动填表登录应用系统：对大多数B/S应用系统，通常会供应一个表单页面作为系统的登录页面。在用户通过单点登录系统的身份认证后，当用户第1次访问某应用系统时，系统要求在表单中输入身份证明，假如这些信息是精确的，则会被自动存储在单点登录系统中。以后，当用户通过单点登录系统的身份认证再次访问该应用系统时，单点登录系统会自动将用户名和密码填入表单并提交页面，使用户自动登录该应用系统。在河南电力企业门户中，对企务信、财务管理、电力营销、生产MIS等大多数应用系统采纳了这种自动填表的登录方式。(2)发送HTTP头登录应用系统:在用户通过单点登录系统身份认证后，单点登录系统将包含用户身份信

15、息的HTTP头发送到应用系统，应用系统猎取HTTP头中的用户身份信息，打算是否允许用户登录。通过HTTP头，既可以采用HTTP合同中规定的基本认证方式登录应用系统，也可以使用单点登录系统与应用系统之间商定的头信息。在河南电力企业门户中，0A系统和企业门户事先商定了肯定格式的HTTP头信息,0A系统的一般用户采纳/ HTTP头的方式来接人单点登录系统。以上介绍的这2种方式，用户信息可以在内部的各业务应用系统中获得，用户可以纳入统一名目管理之中，由统一名目进行不同业务应用之间用户信息的同步。下面要介绍的用户自助方式主要适用于无法收集用户信息，且无法进行改造的系统。对互联网邮件系统，它们都具备私有的用户管理机制，而比无法对其进行改造。为了实现这些邮件系统的单点登录，可以对不同的邮件系统的Mb登录页面进行分析，开发统一的邮件系统关联模块，模拟邮件用户登录的功能。门户用户使用时.，首先需要在该模块中设置个人的用户名和密码，当用户通过邮件的单点登录功能登录该邮件系统时，登录模块得到用户预先设置的用户名和密码，随后发起登录恳求尝试登录邮件系统。当然，每次用户修改夸录密码，需要在该登录模块中再次修改登录密码。通过用户自助的方式，河南省电力公司胜利整合了网易、新浪、雅虎、HotMai