基于SOA架構的企業統一用戶身份認證平臺研究

黃飛飛

（中石油西南油氣田分公司 通信與信息技術中心，成都 610051）

基于SOA架構的企業統一用戶身份認證平臺研究

黃飛飛

（中石油西南油氣田分公司 通信與信息技術中心，成都 610051）

為了解決企業多個自建信息系統資源目錄不統一的問題，西南油氣田引入了SOA架構，從而實現將“煙囪式”部署的各類信息系統所提供的服務逐步進行集成與整合的目的。文中基于SOA框架，構建了一個包括單點登錄、統一身份與認證管理以及業務角色分級授權等模塊的統一用戶身份認證平臺。通過該平臺將身份認證功能進行服務化，對于新建系統而言可以復用該功能組件，從而節省部分軟件模塊的開發成本。

面向服務體系架構；企業服務總線；統一身份認證；分級授權；角色

0　引言

隨著西南油氣田公司信息化建設的持續推進，軟件應用系統日益增多、應用模式趨于復雜，這些應用系統一方面促進了企業在生產組織方式上的轉變，極大地提高了生產效率、降低了管理成本；另一方面在信息資源目錄的統一、用戶身份認證的管理以及操作權限的角色定級上暴露出諸多問題，直接影響著系統自身的安全性和可控性。

為了集成現有的軟件應用系統，實現信息資源優化配置，西南油氣田公司引入了SOA技術架構，并通過相關組件搭建了SOA基礎軟件平臺。在此基礎上，進行統一用戶身份認證管理的研究并構建一個統一的平臺，不僅可以解決信息系統資源目錄分散，授權認證復雜的現狀，還能夠節省后續新建系統用戶管理功能模塊的開發成本。

1　SOA軟件系統架構

數據孤島是最普遍的形式，存在于所有需要進行數據共享和交換的系統之間［1］。隨著企業計算機技術運用的不斷深入，不同軟件之間，尤其是不同部門之間的數據信息不能共享，即產生孤島效應［2］。比如勘探業務和開發業務的銜接部分相當薄弱，大部分時間需要人工進行處理，這就是系統孤島。人們為了解決上述問題，設計出了一種面向應用服務的軟件系統架構（SOA），遵循SOA觀點的系統必須要有服務，這些服務是可互操作的、獨立的、模塊化的、位置明確的、松耦合的，并且可以通過網絡查找其地址［3］。

2　西南油氣田SOA總體技術架構

如圖1所示，目前西南油氣田正在建設以IBM SOA基礎軟件為核心的數據整合與應用集成平臺，該平臺總體分為三層：底層通過ETL工具以EPDM數據模型為標準進行業務的集成和統一發布；中間層通過企業服務總線（ESB）和業務流程管理（BPM）工具實現數據應用和業務應用的拆分、重組和注冊發

圖1　西南油氣田SOA總體技術架構

3　西南油氣田統一用戶身份認證平臺總體技術架構設計

西南油氣田采用了IBM SOA基礎軟件平臺實現應用系統的整合，而用戶身份認證則是應用系統整合的一個基本平臺。考慮到西南油氣田公司的現狀和未來信息系統建設的需要，在設計總體架構時，充分考慮了統一身份認證和應用系統授權功能的緊密結合，同時考慮了西南油氣田現有信息化資產和未來新建信息化資產的有機整合，提出了多種認證方式相結合，業務系統權限統一管理的統一用戶身份認證平臺體系。

如圖2所示，設計了用于前端管理的統一身份認證平臺與用戶角色權限管理平臺。前端通過統一管理組織機構、用戶、角色、權限、應用系統等頁面，結合認證服務和單點登錄功能，實現統一身份認證；后端通過提供接口，暴露服務的方式，為應用系統提供模塊、權限管理功能。

圖2　西南油氣田統一身份認證平臺架構

3.1單點登錄技術架構

單點登錄是整個統一身份認證管理的第一道門戶，單點登錄可以分為真實單點登錄和偽單點登錄兩種大類。本文在單點登錄模式的選取上，考慮采用真實單點登錄和偽單點登錄相結合的方式。一方面，由于集團統建系統絕大多數情況下無法改造其登錄界面，因此無法直接實現真實單點認證功能；另一方面，單獨采用偽單點登錄方式也存在諸多問題，例如：URL方式明文傳輸非常不安全；門戶憑證數據庫方式涉及一定的改造并且由于AD域管理上的限制，無法獲取全部用戶名和賬號等。那么對于集團統建和無法改造的系統最直接的辦法就是采用瀏覽器緩存的方法進行表單代填。

對于新建的自建系統以及可以改造的系統，通過認證中心發布令牌的方式實現。系統自身的登錄認證模塊需要進行一定的改造，能夠解密令牌，同時與認證中心進行交互，采用此項技術是風險較低，安全性可以得到保障。

3.2統一用戶管理技術架構

在解決了單點登錄問題之后，就要解決統一用戶管理的問題。每個應用系統都擁有獨立的用戶信息管理功能，用戶信息的格式、命名與存儲方式也多種多樣［4］。當用戶需要使用多個應用系統時就會帶來用戶信息同步問題［5］。用戶信息同步會增加系統的復雜性，增加管理的成本。

日志管理等功能（如圖3）。由于西南油氣田在統一用戶管理上，還有一套主數據管理系統，因此用戶信息和組織機構信息的維護可以完全在主數據系統中統一進行維護，但是用戶管理平臺在主數據基礎上應該有一些擴展功能，如版本管理等，基礎數據全部由主數據管理系統進行維護。

圖3　統一用戶管理平臺功能設計

3.3業務系統權限管理技術架構

建立統一的業務系統權限管理平臺，可以對權限管理功能進行復用，統一開發規范和管理規范，節約開發成本，對后期維護也更加方便。從總體功能上來說，業務系統權限管理技術架構和一般業務系統權限管理模塊的功能是基本相同的，最大的區別在于業務系統權限管理的架構不僅要實現權限管理的功能，還要能夠通過API、WebService等多種方式把這些功能共享給其他系統使用，并且在統一管理上還需要多種設置。

4　結語

通過完成上述三個平臺的搭建，實現了用戶通過統一認證平臺對企業內部各類不同信息資源的訪問，同時也確保了系統自身運行的安全可控。認證平臺通過統一用戶管理平臺及相關認證技術獲取用戶的信息，再到統一業務系統權限管理平臺上獲取相應的業務系統權限，最終返回的結果是用戶所有的用戶信息、組織機構信息、業務系統角色權限信息這樣一個全局的參數［7］。這個全局的參數可以用于整個應用系統集成的功能當中，無論是前端P ortal的顯示，還是后臺BPM的流程管理，對于日后油氣田大量應用系統的集成具有基礎性作用。

主要參考文獻

［1］馮建軍.企業信息孤島現象剖析［J］.中共山西省委黨校學報，2007 （6）：82－83.

［2］王明陽.信息孤島問題介紹［J］.新課程學習：社會綜合，2012（3）：9－ 10.

［3］李華.面向服務的教育信息系統體系結構的研究［J］.煤炭技術，2010 （4）：180－182.

［4］李海山.Web單點登錄技術的應用研究［D］.阜新：遼寧工程技術大學，2009：34.

［5］林巧，王蘭.基于JAAS的單點登錄系統設計及實現［J］.伊犁師范學院學報：自然科學版，2010（2）：57－59.

［6］張晞，魏勝能.單點登錄在學校門戶中的實現［J］.職大學報，2008 （2）：83－85.

［7］孫月洪.統一身份認證在數字化校園中的作用與實踐［J］.廊坊師范學院學報：自然科學版，2009（2）：37－39.

10.3969/j.issn.1673-0194.2016.19.033

F270.7

A

1673-0194（2016）19-0056-03

2016-07-14

黃飛飛（1982-），男，四川成都人，工程師，碩士，主要研究方向：網絡規劃信息安全、數字化油氣田。布；頂層通過門戶應用管理，實現應用界面的整合和集成。