統(tǒng)一信息門戶建設(shè)方案探討

王 平

（中國石油大學(xué)〈華東〉網(wǎng)絡(luò)及教育技術(shù)中心，山東 青島 266580）

0 前言

近幾年，學(xué)校的信息系統(tǒng)建設(shè)已基本完成，但是因?yàn)闆]有統(tǒng)一的信息門戶，所以各個信息系統(tǒng)都各自擁有一套賬號和密碼，使得用戶在使用這些信息系統(tǒng)的時候需要記憶多個賬號和密碼，為了解決這種“多賬號密碼”的問題，需要通過建設(shè)一個統(tǒng)一的信息門戶為用戶提供一個統(tǒng)一的認(rèn)證和訪問入口，同時還可以提供一個信息展示窗口，整合現(xiàn)有分散的信息系統(tǒng)，為信息有效共享提供一個支撐平臺。

整合現(xiàn)有分散的信息系統(tǒng)的難點(diǎn)是對各個異構(gòu)應(yīng)用系統(tǒng)的整合，其關(guān)鍵是通過信息門戶解決用戶認(rèn)證、單點(diǎn)登錄、授權(quán)問題。用戶認(rèn)證是信息門戶對使用系統(tǒng)的用戶身份進(jìn)行合法性判斷；單點(diǎn)登錄是當(dāng)合法用戶登錄信息門戶后，可以直接點(diǎn)擊信息門戶中集成的各個應(yīng)用系統(tǒng)進(jìn)入使用其資源，而不需要在使用這些應(yīng)用系統(tǒng)的時候再次輸入賬號密碼進(jìn)行登錄；授權(quán)是信息門戶為了保證集成的各個應(yīng)用系統(tǒng)的安全，對合法用戶在各應(yīng)用系統(tǒng)中的資源使用進(jìn)行權(quán)限設(shè)置并管理，確保合法用戶只能在各個應(yīng)用系統(tǒng)授權(quán)的范圍內(nèi)進(jìn)行操作[1-3]。

1 用戶認(rèn)證

傳統(tǒng)的用戶身份認(rèn)證方式是每個應(yīng)用系統(tǒng)都自己建立并維護(hù)，其用戶身份的管理與認(rèn)證是相互獨(dú)立的，這種方式簡便易行，但弊端也非常明顯，用戶身份信息需要多次重復(fù)建立，并且要各自獨(dú)立進(jìn)行更新和管理，有時甚至?xí)霈F(xiàn)不同的應(yīng)用系統(tǒng)中的用戶身份信息不一致的問題，而且在訪問各個應(yīng)用系統(tǒng)的時候還需要多次輸入賬號密碼進(jìn)行不同的認(rèn)證，使用戶既要記憶多個賬號密碼又要重復(fù)輸入，增加了記憶的困難度和操作的重復(fù)性。為了解決這些問題，本文將通過信息門戶整合應(yīng)用系統(tǒng)的認(rèn)證流程，為用戶提供單點(diǎn)登錄[4]。

用戶想要通過認(rèn)證請求受保護(hù)資源時，首先是通過瀏覽器訪問CAS（Central Authentication Service，中央認(rèn)證服務(wù)）客戶端，檢查是否有session（會話），如果沒有，則返回瀏覽器，重定向到CAS服務(wù)器端，發(fā)送認(rèn)證請求，然后彈出登錄頁面，由用戶輸入用戶名和密碼請求認(rèn)證，如果認(rèn)證成功，則返回ST參數(shù)給瀏覽器，然后瀏覽器將ST參數(shù)傳給CAS客戶端，CAS客戶端請求CAS服務(wù)器端進(jìn)行驗(yàn)證，并給CAS客戶端返回確認(rèn)信息，此時，CAS客戶端會創(chuàng)建session，重定向到瀏覽器登錄成功，用戶可以訪問受保護(hù)資源了。對于用戶來說，上述認(rèn)證過程體驗(yàn)如圖1所示，用戶信息存放在統(tǒng)一部署的LDAP中，當(dāng)用戶登錄信息門戶時，門戶將用戶身份信息通過LDAP進(jìn)行認(rèn)證，如果認(rèn)證通過，則允許登錄；否則拒絕用戶登錄。

圖1 用戶體驗(yàn)的認(rèn)證過程

2 單點(diǎn)登錄

單點(diǎn)登錄實(shí)現(xiàn)的前提是首先有一個統(tǒng)一的訪問入口，即統(tǒng)一信息門戶。該信息門戶能夠?qū)⒓傻母鲬?yīng)用的信息進(jìn)行重新整理，將所有的信息匯總到一個界面上為用戶發(fā)布統(tǒng)一的信息，以便用戶更高效地得到和使用這些信息，解決了用戶一個一個的訪問應(yīng)用系統(tǒng)查看信息的繁雜問題。用戶在瀏覽所需要的信息或者進(jìn)行業(yè)務(wù)操作的時候，不再需要重復(fù)多次輸入賬號密碼登陸業(yè)務(wù)系統(tǒng)，而是直接通過統(tǒng)一信息門戶單點(diǎn)登錄進(jìn)入不同的應(yīng)用系統(tǒng)來完成用戶的工作，獲得用戶所需的資源。其單點(diǎn)登錄的工作原理[5]如下圖所示：

圖2 單點(diǎn)登錄工作原理圖

用戶在登錄門戶時，首先檢查是否是初次登錄，如果用戶初次登錄門戶，則進(jìn)行用戶身份認(rèn)證，認(rèn)證成功地完成后，用戶會得到服務(wù)器給用戶發(fā)出的登錄證據(jù)，該登錄證據(jù)會存儲在客戶端的Cookie中；如果用戶不是初次登錄門戶時，門戶服務(wù)器會把客戶端的請求以及存儲的登錄證據(jù)一起發(fā)送出去；被請求登錄的應(yīng)用系統(tǒng)對登錄證據(jù)進(jìn)行驗(yàn)證，以便檢查該登錄證據(jù)是否有效，如果登錄證據(jù)有效，則無需用戶重新登錄直接進(jìn)入應(yīng)用系統(tǒng)，即用戶就完成了系統(tǒng)間的身份認(rèn)證，實(shí)現(xiàn)了通過信息門戶進(jìn)行單點(diǎn)登錄集成的應(yīng)用系統(tǒng)；如果登錄證據(jù)無效則退出。

3 集中授權(quán)

授權(quán)是確定認(rèn)證通過后的用戶是否有權(quán)對系統(tǒng)資源進(jìn)行訪問或操作，集中授權(quán)是通過集中的授權(quán)中心，采用統(tǒng)一的策略管理進(jìn)行用戶授權(quán)，這種方式總管理成本小，安全性較高，通常采用基于角色的方式來實(shí)現(xiàn)。在基于角色的授權(quán)中，角色和權(quán)限相關(guān)，用戶被指定為不同的角色，通過角色來獲得對象或?qū)ο蠼M的訪問權(quán)限。根據(jù)功能性屬性的不同將用戶組織定義為不同的角色，如從屬關(guān)系、訪問模式或等級標(biāo)志等。在制定訪問控制規(guī)則時，可采用訪問控制列表（ACL）。ACL是由所有訪問允許規(guī)則組成的集合，應(yīng)用于單一對象。

4 結(jié)束語

本系統(tǒng)所設(shè)計的系統(tǒng)集成的方案是建立一個門戶平臺，它可以實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，該認(rèn)證機(jī)制具有安全靈活性，能夠?qū)崿F(xiàn)與其他系統(tǒng)之間便捷的單點(diǎn)登錄，并且還可以對其進(jìn)行權(quán)限管理，保證使用各個應(yīng)用系統(tǒng)資源的用戶都是在權(quán)限范圍內(nèi)，這種集成方案使各個應(yīng)用系統(tǒng)無縫集成，使用戶在跨系統(tǒng)使用資源和處理業(yè)務(wù)時感覺是在一個系統(tǒng)上進(jìn)行操作，同時將很多系統(tǒng)的信息集中展示在一個窗口中，大大地提升了用戶的體驗(yàn)。

［1］張永旺.IT新技術(shù)在電力企業(yè)中的應(yīng)用——基于MOSS2007解決“信息孤島”方案[C]//2009年全國電力企業(yè)信息大會論文集，2009：576-580.

［2］張喜榮.淺談企業(yè)門戶系統(tǒng)在發(fā)電企業(yè)的應(yīng)用[J].電力信息化，2008.6(9):24-26.

［3］林華治，虞銘輝.基于ODI的高校數(shù)據(jù)中心研究與實(shí)踐[J].中國教育信息化，2015(11):86-89.

［4］劉鑫.門戶技術(shù)在勘探開發(fā)信息管理中的應(yīng)用[J].計算機(jī)工程應(yīng)用技術(shù)，2009.5(11):3012-3013.

［5］汪榮輝，劉志軍，王衛(wèi)理，何怡.企業(yè)門戶中應(yīng)用系統(tǒng)集成的分析與實(shí)現(xiàn)[J].電信技術(shù)，2008（5）：77-81.