聯合認證在CALIS省級區域中心的應用

周加強

（山東大學圖書館，山東 濟南250100）

聯合認證在CALIS省級區域中心的應用

周加強

（山東大學圖書館，山東 濟南250100）

本文論述了聯合認證的基本概念和原理，并基于J2EE平臺開發實現了高校圖書館和CALIS省級區域共享域平臺的聯合認證，展望了通過該技術建立一個三級聯合認證平臺，通過網絡實現區域乃至全國圖書文獻保障體系任何時點登錄，隨時隨地享受便捷服務的遠景。

聯合認證；單點登錄；全國圖書文獻保障體系

1、聯合認證的基本概念

高等學校各個區域性的共享域中心、地區文化共享工程等如雨后竹筍般涌現在互聯網上，為學校或社會的讀者提供文獻的檢索和獲取等服務。然而用戶在使用的過程中，為了簡化管理，系統一般都采用了IP登錄方式，即只要讀者的IP地址在許可的范圍內，可以直接使用系統提供的服務。為了能在區域中更廣泛的使用，以及涉及到財務數據的系統中，需要實名用戶登錄，用戶名密碼的登錄方式成為一種不可缺少的登錄策略。

共享域中心的用戶與各個機構或者高校做統一認證和統一授權管理，需要兩種方式，一種是用戶數據同步，另外一種是聯合認證。

用戶數據同步是指把機構或者高校圖書館的用戶信息，定期同步到共享域中心的用戶庫中。這種方法實施簡單，但由于同步不會實時的進行，經常帶來用戶的信息不一致的情況發生。而聯合認證是指一個機構A信任另一個機構B，并使用機構B提供的認證服務來對登錄其機構的用戶進行認證；聯合認證使不同機構的系統能更好的進行合作，進一步提高跨機構用戶的體驗。

2、聯合認證的登錄流程場景

聯合認證的登錄流程場景如圖1所示的10個步驟來完成：需要圖書閱覽或查詢的讀者從瀏覽器發起對共享域平臺中的應用系統“館際互借讀者網關”發起訪問（第1步），館際互借讀者網關發現讀者未登錄，便重定向到區域統一認證中心SP（第2步）。SP也發現該讀者未在此登錄過，于是又重定向到該讀者所在機構的聯合認證中心IDP（第3步）。IDP向讀者瀏覽器發送登錄頁面（第4步），讀者輸入用戶名密碼后點登錄（第5步），聯合認證中心IDP驗證用戶名密碼在本機構是否合法。如果合法，則重定向到統一認證中心SP（第6步），統一認證中心根據回傳回來的令牌ID，通過第7步和第8步調用聯合認證中心的WEBService，返回該讀者的詳細信息，并保存到SP緩存中，登錄成功。然后重定向到館際互借讀者網關（第9步）告知登錄成功，然后返回登錄成功后的頁面給讀者（第10步），至此，一次聯合認證的登錄流程全部完成。

3、聯合認證的優點

通過圖書館區域中心和共享域認證中心實施聯合認證，會帶來以下優點。

（1）不再需要往共享域平臺同步和導入用戶數據了；共享域對圖書館區域的認證，完全依賴該圖書館區域提供的聯合認證接口來實現。這樣給圖書館的管理帶來了極大的靈活性，圖書館可以完全控制用戶的登錄行為。

（2）實現一個用戶名和密碼，可以登錄圖書館區域的所有應用系統，比如門戶平臺、

圖1　聯合認證登錄流程場景圖

OPAC系統、電子閱覽室系統等，而且可以實現單點登錄（SSO），在圖書館系統登錄成功后，可以直接訪問共享域平臺的所有被許可的系統資源。

4、聯合認證的數據來源

對于高校圖書館，聯合認證的最重要的數據來源之一，是各高校圖書館自動化系統中的讀者數據。這些用戶數據信息非常全面，而且由圖書館自動化系統進行增刪查改維護，只需要做個簡單接口就可以，省去了很大的工作量。

特別是目前越來越多的高校已經實施了校園一卡通的項目，因此聯合認證的另一個重要的數據來源可以直接采用校園卡數據；使用該校園卡數據可以實現一個學校校園的統一認證。但是鑒于校外讀者一般沒有校園卡，因此聯合認證接口同時必須要具備能夠維護這部分校外讀者數據的功能。

5、某試點高校圖書館聯合認證的基本環境

在某省圖書資源共享域平臺的各個成員圖書館中，我們首先以某高校為試點，開發并實現了聯合認證接口。某高校圖書館認證環境如圖2所示。

圖2　某高校圖書館認證環境

學校圖書館的本地認證中心，掛接在本地WEB服務總線LSB（Library Service Bus）上，為館內其他應用服務器（如圖書館門戶、OPAC、資源校外訪問等等）提供統一認證服務。本地認證中心的讀者數據和校園卡管理中心實現實時同步。為了用戶數據安全，用戶密碼字段不做同步，通過一卡通的API來進行用戶名和密碼的驗證。聯合認證接口服務部署在本地認證中心的服務器上。這樣，讀者通過校園卡的用戶名和密碼，可以訪問圖書館提供給讀者的各項服務。

6、聯合認證接口的實現

聯合認證接口是基于J2EE平臺進行的開發，使用Eclipse 3.6作為開發工具，采用Tomcat 6作為WEB容器，數據庫采用Oracle 10g，使用開源框架SSH（Spring Struts Hibernate）。

圖3　聯合認證接口架構圖

聯合認證服務程序分為三層。分別為處理層、頁面層、DAO層，處理層是讀者和CALIS認證中心進行交互的頁面處理層，用來處理用戶名密碼登錄以及CALIS的認證中心的Web服務回調。頁面層接收到請求后，調用服務層的CalisFederalService（圖4）服務來完成驗證。DAO層負責用戶數據的持久層的存取訪問。通過分層，帶來的最大好處是，當給其他高校或機構圖書館部署聯合認證的時候，只需要替換DAO層的組件即可，大大減少開發工作量。

在登錄頁面的IdpAction處理里，會接收3個參數：sp、goto和idp。sp是CALIS統一認證中心的URL地址，goto是應用系統的地址，idp是聯合認證中心的代碼。

IdpAction首先調用 CalisFederalService的login方法進行登錄。該方法會調用UasUserDAO提供的getUser方法返回一個用戶實體UasUser。該實體包含用戶的全部信息，用戶名密碼驗證成功后，會在聯合認證服務器上創建一個 Session項（UasSessionItem）， 其成員如圖 6所示。 然后IdpAction將請求重定向到sp參數指定的地址，另外給這個地址加上3個參數goto和idp和artifact。

圖4　CalisFederalService接口

圖5　UasUserDAO接口

圖6　UasSessionItem成員

當CALIS統一認證中心接收到這3個參數的時候，會將artifact作為參數調用聯合認證中心ArtifactAction的WEB服務，請求該artifact對應的讀者的信息。信息為XML格式的，模版如下：

圖7　ArtifactAction回應的格式

最后全部完成聯合認證接口的任務。

7、展望

在開發、調試和運行的過程中，系統遇到了一些問題，經過分析和研究，都得到了妥善解決。采用了一些網絡嗅探器，進行跟蹤HTTP請求，這樣可以很清晰的理解和調試聯合認證的整個流程，解決了所有HTTP跳轉過程怎樣跟蹤和分析的問題。聯合認證中心的artifact由聯合認證中心創建和維護，生命周期可以根據情況設置，1小時或其他時限過期，明確了權限，保證了其生命周期的管理。經過開發、部署和運行，該省級共享域平臺的聯合認證接口運行穩定。學校讀者使用自己的校園卡卡號和密碼，就可以登錄到共享域平臺，使用平臺提供的文獻服務。該技術可通過建立一個三級聯合認證的平臺，推廣到各機構或高校圖書館，使這些成員館和省共享域平臺，乃至全國的文獻保障體系網絡實現任何時點登錄，隨時隨地享受便捷的服務。

［1］王文清，陳凌.CALIS數字圖書館云服務平臺模型［J］.大學圖書館學報，2009，（04）.

［2］楊新涯，王文清，張潔，王寧.CALIS三期共享域與圖書館

系統整合的實踐研究［J］.大學圖書館學報，2012，（01）.

［3］姚曉霞，趙永超，陳凌，王文清.基于SaaS的CALIS共享服務實踐［J］.大學圖書館學報，2012，（04）.

［4］周君平，孔德新，付偉，杜佳穎.云服務中跨安全域的聯合身份認證技術分析［J］.信息安全與通信保密，2012，（11）.

編輯：馮惟榘

Application of Joint Certification in CALIS Platform Center on Provincial Level

ZHOU Jiaqiang
（Library of Shandong University，Jinan Shandong 250100）

This airticle discussed the the basic concept and principle of Joint certification.The exploration of J2EE platform have achieved the joint certification of university library and CALIS platform of Shared domain on provincial level.The airticla also look ahead the development of 3 level joint certification based on this technology，realize the convenient service in long-term prospects that login service in any place and anytime through the internet to bring about literature safeguard system in regional and even the whole country.

Joint certification；Single Sign-On；CALI

F326

A

2095-7327（2016）-01-0036-04

周加強（1971-），男，山東濟南人，山東大學圖書館高級工程師，研究方向：計算機應用。