統一用戶與單點登錄實現應用系統集成方法研究

蔡芳

摘要：一個企業的信息化建設過程是循序漸進的，隨著業務需求及經費的變化，會逐步建立起處理各種業務的應用系統。為了將各種應用系統和數據資源集成到一個信息管理平臺之上，并以統一的用戶界面提供給用戶，單點登錄是首先需要解決的問題。本文介紹了一種通過統一用戶管理、單點登錄技術，實現企業應用系統集成的方法，解決了用戶一次登錄、全網通行的問題。該方法已經在作者所在單位得到應用，取得了較好的應用效果。

關鍵詞：統一用戶，單點登錄，系統集成，門戶

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）27-0188-03

Abstract： With the development of enterprise informationization，a wide variety of application are used in the enterprise .In order to integrate the arious application systems and data resources into a single information management platform， and provide users with a unified user interface， single sign-on is the first problem to be solved. This paper describes a method through uniform user management and single sign-on technology to achieve enterprise application integration. It soved the problem of a single login， surfing on the internet or intranet freely. This method has been applied in the authors institute， an achieved good effect.

Key words： Uniform User； Single Sign-on； System Integration； Enterprise Information Portal

隨著企業信息化水平的不斷提高，越來越多的應用系統投入使用，例如OA系統、人力資源系統、項目管理系統、PDM系統等。這些獨立的應用系統都有自己一套完整的用戶管理與權限認證體系。用戶如果需要訪問這些應用系統，就需要記住各個系統中的賬號、密碼，頻繁的在不同系統之間登錄切換。這樣給用戶帶來了很大的不方便，同時也容易引起系統安全性的降低。

企業信息門戶是一種應用集成框架，它將各種應用系統、數據資源和互聯網資源集成到一個信息管理平臺之上，并以統一的用戶界面提供給用戶。

在企業信息門戶平臺上，讓用戶僅輸入一次用戶名、密碼，通過一套安全身份認證體系的身份鑒別，就可以分別登錄到OA系統、人力資源系統、項目管理系統、PDM系統等不同的應用系統，而不需要重復登錄進行身份認證。這是一個在企業應用系統集成中迫切需要解決的問題，而解決這個問題的關鍵技術就是單點登錄技術（Single Sign-on，SSO）。

1 單點登錄技術

1.1單點登錄基本流程

單點登錄流程可以簡單描述如圖1所示。用戶訪問應用系統時，先檢查其是否登錄，如果登錄則進入應用系統中具體請求頁面，執行后續操作；如果尚未登錄，則跳轉至用戶身份認證系統中進行登錄認證。認證系統首先根據用戶的登錄信息進行身份校驗，如果通過校驗，則返回給用戶一個認證的Ticket作為認證憑據，用戶之后再訪問其他的應用系統時就會帶上這個Ticket，作為認證的憑據。應用系統接收到用戶請求之后會把Ticket送到認證系統中進行校驗，檢查Ticket的有效性。如果Ticket有效，則進入應用系統中具體請求頁面，執行后續操作；否則跳轉至登錄頁面，對用戶身份進行驗收。

作為用戶憑據的Ticket具有時效性和不可偽造性，以此保證用戶登錄安全可信。

單點登錄中的認證服務器為所有用戶提供身份認證管理，所有沒有經過身份認證的匿名用戶訪問應用系統時都要求被重定向到登錄頁面進行身份驗證。未注冊的用戶需要先經過注冊初始化后方可被驗證通過。

1.2 統一用戶管理

在單點登錄流程中，可以發現對用戶進行統一管理并認證是最重要的環節。將所有應用系統的用戶進行統一管理并與之前的系統內部賬戶進行映射，不再需要各應用系統進行獨立認證，通過統一認證服務器來實現統一認證。

統一用戶就需要首先在統一的用戶管理系統中進行用戶錄入與維護，然后通過系統API接口或WebService服務對系統資源、用戶角色、用戶權限進行關系綁定，進而達到對用戶進行統一管理、對應用系統權限進行統一分配。

中國飛機強度研究所內部有HR-人力資源管理系統對全部員工的信息進行統一管理，因此HR系統就作為中央用戶數據源，用戶的部門、個人賬號、崗位等信息在該系統中進行注冊。之后，利用WebService接口將用戶信息同步至門戶（Portal）的統一用戶身份庫中，由門戶的統一用戶管理系統再通過接口對賬戶進行應用系統的使用權限分配并將賬戶同步到相關的應用系統中。

統一用戶管理流程如圖2所示。

目錄服務器是統一用戶管理與身份認證的基礎平臺，對用戶信息進行統一管理，保證數據的一致性和完整性。本方法中通過輕量級目錄服務協議LDAP（Light weight Directory Access Protocol）將用戶及組織的信息以層次結構、數據庫的方式進行統一管理。

2 基于門戶的單點登錄實現

本方法中，通過企業門戶平臺負責管理企業各個應用系統訪問入口，將各應用系統的身份認證功能集中控制。實現用戶在門戶平臺認證通過后，無需二次認證，即可訪問其他應用系統的效果。

2.1 用戶同步

1）用戶數據初始化

用戶數據初始化分為兩種：一種是已正式運行的應用系統（例如OA系統），采用統一命名規則的用戶賬號，因系統中的部分歷史數據跟用戶信息關聯，用戶賬號命名規則改變后，為能保持歷史數據的正常查詢等操作，各業務系統自行在用戶數據庫中建立新、老賬號的對應關系。一種是在建和未建的應用系統，必須嚴格按照命名規則新建系統賬號及密碼。

2）用戶數據同步

將統一用戶管理系統中的用戶及組織機構數據單向同步到個應用系統中，可以采用即時觸發、單向、增量同步方式。當統一用戶系統的數據發生更改后，根據之前制定的身份同步規則，即時將變更的賬號數據同步到對應業務系統中。同步實現方式可以通過數據庫中間表的方式，也可以通過Webservice的方式。

2.2 單點登錄

單點登錄方式可以根據業務系統的開發需求分別采用兩種認證方式：

（1）基于Cookie的認證方式

Cookie方式是基于客戶端頁面中存儲的加密登錄信息，由業務系統提供驗證頁面，自主解析用戶名、密碼并認證，同時跳轉至獲取的目標URL地址，實現單點登錄。業務系統需要對登錄認證模塊做相應的功能改造。

在用戶通過單點登錄系統的認證后，單點登錄系統將通過注入機制在Cookie中添加表示用戶關聯的賬號信息和請求的URL地址，并將請求轉發到業務系統，業務系統獲取賬號信息，確認用戶身份后決定是否允許用戶跳轉至所請求的系統資源。

單點登錄系統在Cookie中注入的參數信息包括：

a） 系統編號：對應業務系統賬號、密碼（加密后）信息，通過#號分割，編碼由企業門戶分配；

b） url：用戶請求的目標地址url。

業務系統獲取Cookie中的參數值的Java示例代碼如圖3、圖4所示：

（2）基于header的認證方式

http-header認證允許將已認證的用戶身份信息插入到聯結的第三方服務器為目的地的請求的HTTP頭，HTTP頭信息使已聯結的第三方服務器上的應用程序基于用戶身份信息執行特定于用戶的操作。

客戶機瀏覽器請求收保護的第三方服務器上的應用程序，通過網關認證系統進行身份認證，建立新的基本認證頭，將請求通過聯結發送到第三方服務器的應用程序上，第三方服務器的應用程序不需要用戶認證，直接讀取基本認證頭中的用戶身份信息，并進行相應的用戶操作。

認證頭中存儲的header信息：iv-user

第三方應用程序獲取header信息：request.getHeader（"iv-user"）；

應用系統獲取Http Header中的參數值的Java示例代碼如圖5所示：

3 應用效果評價

在2016年初，中國飛機強度研究所對現有應用系統進行了改造升級，將已有的和在建的應用系統進行統一整合。整合過程中采用了本文介紹的方法，完全實現了一次登錄、全網通行的目標。1000余個賬號登錄各應用系統效率高，未發現重復認證或登錄延時等問題，成功完成了對多個業務系統的集成整合工作。

4 結束語

本文針對企業在信息化建設過程中出現的各應用系統用戶系統獨立、身份認證系統獨立的現狀，深入分析、研究統一用戶管理技術、單點登錄技術，在確保各應用系統正常運行不受較大干擾的前提下，實現了對OA系統、人力資源系統、項目管理系統、PDM系統等多個應用系統的單點登錄。該方法在研究所內部得到了高度認可，同時也在其他行業得到了認可，可以在行業內部以及其他行業推廣應用。

參考文獻：

[1] 胡建鵬. 基于Portal的統一身份認證與系統集成研究[J].計算機工程與科學， 2010，32（12）： 30-33.

[2] 吳茂傳，郭陽，胡昌平.基于Web的單點登錄技術在企業集成中的應用[J].淮海工學院學報（自然科學版）， 2008，17（1）：29-32.

[3] 朱才祥.基于門戶的企業應用系統集成技術研究[J].科技信息， 2014，13：79-80.

[4] http：//www.baidu.com