面向Websphere的單點登錄方案實現

梁亮 辛超 李妍

摘要：針對企業Websphere應用系統的特點，提出了基于Websphere平臺的單點登陸架構實現方案。詳細介紹了方案中單點登陸的認證過程。單點登錄框架的提出能夠解決企業Websphere系統中各系統之間的統一身份認證問題，實現應用系統間的單點登陸。從而方便用戶對企業內部資源的使用、減少了企業內部賬戶信息維護的負擔。

關鍵詞：WebSphere 單點登錄 插件集成 Cookie

中圖分類號：TP393.09 文獻標識碼：A 文章編號：1007-9416（2016）08-0074-01

單點登錄（Single Sign On，簡稱SSO），是企業業務整合的解決方案之一。SSO的定義是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統[1]。為了實現更為高效、安全的網絡認證機制，企業需要一個能夠對用戶進行統一身份認證和集中授權的平臺，實現授權資源的無縫訪問，提高用戶工作效率，減少公司維護成本。

WebSphere是一個企業級的Web中間件服務器，越來越多的大型企業在WebSphere上實現多種的企業應用。面向WebSphere SSO框架的實現，對于企業的信息化上有著重要的意義。

1 原理

SSO實現原理為當用戶首次訪問一個系統時，系統判斷用戶未驗證后會跳轉至登錄頁，用戶登錄驗證通過后，瀏覽器會存儲一個key值（一般采用Cookie方式），當用戶訪問其他系統時會帶著這個key，服務器從用戶瀏覽器中讀取Cookie，對Cookie中的信息解密后，讀取用戶數據，判斷用戶uid的有效性。如果有效，再將時間戳與當前時間進行比較，判斷Cookie是否已經過期，如果Cookie仍在生命周期內，則將用戶訪問資源返回給客戶[2]。

2 方案實施

公司集團下屬一企業在內部WAS系統上部署了協同辦公系統（BPM）和文檔查詢系統（DM）。在實施SSO之前，用戶在登陸完BPM后，如要訪問DM則仍需要輸入用戶名和密碼進行登錄驗證，增加了用戶的操作復雜度。其系統部署架構如圖1所示。

SSO實施的步驟如下：首先統一管理全業務系統的用戶帳號，必須給每個用戶一個唯一的標識。用戶以統一標識登錄統一認證平臺，使用企業提供的各類業務資源[4]。之后，將所有的Websphere應用服務器統一到一個域下，并進行基于域的SSO相關設置，最后在新環境中部署并配置TAM的相關組件，主要組件為作為保存主策略數據的TAM Server和負責進行攔截用戶訪問的WebSeal[5]。

經過調整后的系統部署架構如圖2所示。

SSO架構的訪問邏輯如下：

（1）用戶發送訪問應用A的URL請求到HttpServer；

（2）此請求被WebSeal攔截，WebSeal將其重定向到它內置的一個表單并要求輸入用戶名/密碼進行認證；

（3）用戶通過form提交用戶名/密碼到WebSeal上；

（4）WebSeal首先去驗證用戶的用戶憑證；

（5）驗證通過返回驗證成功信息；

（6）WebSeal提交用戶名/密碼到LDAP Server（TDS）進行用戶鑒別；

（7）LDAP Server驗證通過返回驗證成功信息；

（8）WebSeal待認證成功后，生成一個LTPA的Token；

（9）之后將請求轉發到WAS端；

（10）WAS收到請求后，如果請求中含有與WAS平臺一致的LTPA Token信息，則WAS不再要求進行認證；

（11）WAS將請求的響應返回；

（12）用戶收到所需的頁面信息響應；

（13）用戶再次訪問應用DM，請求被WebSeal攔截，由于用戶的訪問中帶有LTPA Token相關信息，WebSeal快速檢查請求信息的LTPA Token是否來自所信任的WAS，如果是則不需要再次進行用戶信息鑒別；

（14）HttpServer將請求轉給WAS；

（15）由于WAS和WebSeal是信任的，所以也不需要再次認證；

（16）直接返回WebSeal的請求結果；

（17）用戶收到B系統頁面的信息響應。

3 結語

方案通過增加相關IBM組件實現應用之間的SSO，具有更好的用戶體驗，用戶用同一身份可以訪問所有的系統提供的服。并且，通過本方案實現的SSO架構具有良好的擴展性，后期部署在SSO框架內的其他WebSphere應用，可通過J2EE的標準規范均與現有系統實現SSO融合，減少了后期公司SSO系統擴展維護的成本。在后續的實施階段中，通過在SSO框架加入企業資源規劃系統（ERP）和企業資產及其維修管理系統（EAM）驗證了方案的可擴展性和可操作性。

參考文獻

[1]龍毅宏，唐志紅，王亞龍，謝坤軒.面向HTTP身份鑒定協議的單點登陸透明集成技術研究[J].計算機應用研究，2013（9）.

[2]楊文波，張輝，劉瑞.基于Cookie的門戶系統單點登陸模型[J].計算機應用研究，2006（8）.

[3]利用IBM Tivoli Access Manager和IBM WebSphere Portal配置單點登錄[R/OL].2010.6.http：//www.ibm.com/developerworks/cn/websphere/techjournal/0406_singh/0406_singh.html.

[4]郭玲.一種企業應用中的單點登陸系統的設計[J].計算機與數字工程，2010（7）.

[5]IBMTivoli Access Manager for e-business [R/OL]. 2008. https：//publib.boulder.ibm.com/tividd/td/ITAME/SC32-1366-01/zh_CN/HTML/am51_wls_guide02.htm#ToC_1.