基于企業門戶統一認證系統的設計研究

許燕梅

摘要：文章分析了企業門戶采取統一身份認證的必要性，以及統一身份認證的設計目標和設計方案，最后提出如何實現統一用戶管理，為企業進行門戶網站的運行提供參考。

關鍵詞：企業門戶；統一身份認證；必要性；設計；實現

1 引言

隨著信息技術的不斷發展，各個企業都建立了比較健全的信息化系統，且建立了自己的門戶網站。這些信息化技術的應用，極大地提高了企業的運行和工作效率，但隨著企業規模的不斷擴大，門戶網站的運行增加，使企業的信息化系統管理面臨巨大的挑戰。因此需要建立統一的身份認證系統，涵蓋企業的各個部門、區域和涉及領域、網站，為員工和領導使用提供便利。

2企業門戶采用統一身份認證的必要性

隨著企業的規模逐漸擴大，人員增多，給信息化管理帶來一定難題，尤其是各個信息系統之間的身份驗證問題。因為系統之間的關聯性不大，所以在登錄每個系統前都要進行驗證，而且有時身份信息的注冊標準和模式還不統一，這就意味著同一位員工或領導者需要準備不同的驗證信息來登陸不同的管理系統，這就大大浪費了時間和精力。因此建立一個統一的內部工作門戶，使企業內部所有用戶都通過統一的入口集成資源和應用，進行系統的登陸和身份驗證。這樣一來用戶只需要登錄一次就能訪問門戶上的所有系統，避免了多次重復認證的麻煩，實現不同資源和信息的獲取，使之可以從中獲取需求的不同信息。該門戶能夠為用戶提供一站式的全面信息服務，為用戶解決多個弊端，比如用戶需要記憶多個賬戶和密碼；無法進行統一授權；管理成本增加等。

3企業門戶采用統一身份認證系統的設計目標

企業門戶采取統一身份認證系統的設計目標是為了給用戶提供一站式、全面的服務，以及為不同職位或身份類別用戶提供給新年規劃服務；實現統一的用戶管理、認證、安全控制；門戶的管理員可以實現對用戶的單點管理；還有就是實現信息集成，將企業內部管理所涉及的信息集中到一個門戶中，設立不同的類目進行區分，方便用戶查詢不同信息。

4企業門戶采用統一身份認證系統的設計方案

4.1門戶系統功能設計

企業的門戶系統面向的是所有員工，用于辦公和管理的信息集成平臺。因此系統功能主要是對內部管理信息的整合和組織管理，并借助內部數據資源的重組和利用，實現內部資源信息的共享和溝通。這樣一來門戶系統需要包括門戶平臺、信息發布、知識庫、數據展現、人員管理、統一認證和綜合辦公等類目，這個具體由不同的企業根據企業發展實際來安排。在門戶中需要為用戶提供文檔、數據報表、搜索、協同工作過等服務器，還建立財務、培訓、遠程管理、人事管理、保衛等系統；數據庫包括人員、業務、數據查詢等。通過這個門戶系統的功能架構，實現計算機系統的決策支持作用。

4.2用戶管理和單點登錄設計

同一用戶管理就是在門戶系統的基礎上，由企業管理人員提供基于LDAP的用戶目錄，將所有的用戶信息進行錄入、存儲、認證和管理。管理人員還能實現用戶的批量創建、刪除和管理，實現高效統一的用戶管理。門戶系統還提供集中的和策略的用戶身份認證和權限授予，為不同層次和崗位的用戶提供不同的權限設置。另外門戶系統管理方還可以實現某一位用戶的單點管理，比如該用戶違紀、辭職等時，可以由管理人員進行標記或刪除。以企業門戶Portal為例，如圖1所示。

4.3統一認證設計

對于門戶系統的統一認證設計，一般是以TAM作為單點登錄的基礎，一個TAM的結構由訪問者、策略執行者和目標組成。在TAM中，主要有兩個功能組件，一是安全維護主授權數據庫，處理出現訪問受限、認證和授權請求；還有一個是你想代理安全服務器，處理所有的內部請求。在實際操作中，要想借助TAM實現單點登錄，一般都需要結合本企業門戶系統的特點對系統進行一定的改變。因此為了減少這個改變，節約系統運行的時間和成本，門戶系統將進行統一認證設計成兩步實施的過程。

首先是Portal用戶身份認證，該功能是借助TAM實現的，TAM對訪問的用戶進行論證，根據存儲的用戶身份信息，設置一定的認證方式，比如問題回答、圖片認證等，對用戶進行認證之后，TAM會根據配置產生相應的記錄，對該用戶進行權限記錄，在隨之而來的時間內用戶對門戶各個平臺進行訪問時，就不需要用戶再次認證，這樣就實現了與TAM的集成。

其次是集成系統用戶的身份認證，用戶經過認證進入門戶平臺后，需要經歷集成系統的再次身份認證才能繼續訪問應用系統。為了減少對集成系統的改造，節約系統運行時間和成本，集成系統用戶進行身份認證時是通過建立Portal系統用戶與后臺信息系統用戶的映射關系實現的，主要是借助門戶的“用戶數據庫”實現多項信息服務的統一登錄管理，而用戶訪問集成系統時的權限由具體的應用系統管理。

最后是Portal系統與集成系統的賬號關聯，對于這個問題是通過待登錄方式實現的，也就是借助一種安全的密碼管理方式，存放用戶在各個系統中的用戶憑證，和總的用戶數據庫建立映射關系，在某個用戶登錄門戶之后，進行應用系統之前，由門戶根據這個存放記錄幫助用戶實現一次登錄操作，用戶無需在輸入賬號、密碼等憑證信息。這個問題比較麻煩的一點是用戶在不同系統中憑證出現變更的管理，因此實施起來有一定難度。

4.4數據結構設計

通過對系統的分析，收集應用類型，形成應用目錄結構，做成一個系統的目錄樹，這里邊包括所有的應用和用戶節點。前者包含集成系統的名稱、用戶標識、用戶口令標識、登錄地址或窗口四部分；后者包括應用系統名稱、門戶用戶標識、集成系統用戶名和用戶口令四部分。在統一身份認證平臺匯總，借助目錄服務技術實現對用戶身份信息和應用系統信息的存儲和管理。

4.5授權服務系統

完成用戶身份認證設計后，重點是對于用戶登陸到門戶后的權限限制問題。對于用戶權限的授權，分為兩種：一是由門戶資源和集成系統進行授權管理，前者使用基于角色的授權管理模式，先定義角色對資源的訪問權限，再定義用戶或用戶組對應的角色。二是由各個應用系統自己進行授權管理，安排給用戶的權限或限制行為。

5統一用戶管理的實現

統一用戶管理的關鍵是在身份認證的基礎上實現應用系統和各個服務器用戶信息的同步，因此需要定期對用戶信息進行重新掃描，對于人員流動性小的企業，時間可以安排一個月或一年以上，而對于流動性較大的企業，比如說銀行，可以安排一個周更新一次。有管理員收集人員變動信息之后，登錄到門戶的管理界面進行人員信息的增、刪、查、改操作，然后同步到TIM和身份認證等系統中。對用戶信息進行同步之后，借助上述系統設計實現用戶的身份認證，以及權限授予，最終對訪問用戶進行統一管理。

6結語

在企業內部實施統一的用戶身份認證工作，可以提高管理效率和便捷性。統一身份認證系統經設計以來得到了很好的實施反饋，但也存在一些問題需要改進。

參考文獻：

[1]趙菁.基于企業門戶統一認證系統的設計與實現[J].信息安全與技術，2012，（7）：27-29.

[2]趙華，王海闊，楊蘭娟，申麗君.統一身份認證在信息化企業中的應用研究[J].電腦知識與技術，2011，7（24）：5916-5917.

[3]黃飛飛.基于SOA架構的企業統一用戶身份認證平臺研究[J].中國管理信息化，2016，19（19）：56-58.

[4]高超.企業統一認證及權限管理系統的設計與實現[D].南開大學，2015.