《企业信息门户与统一的用户安全认证体系.docx》由会员分享,可在线阅读,更多相关《企业信息门户与统一的用户安全认证体系.docx(7页珍藏版)》请在第一文库网上搜索。
1、企业信息门户与统一的用户平安认证体系。引言我国电网公司信息化“SG186”工程的建设规划和一体化平台的总体架构设计,其中一个重点是:要建立一个信息共享、平安牢靠的企业门户;同时在我国电网公司全网建设统一名目管理系统,为八大业务应用及其他应用系统供应用户认证、账号供应、单点登录等基础支撑服务。因电力企业信息化建设起步较早,原来大都以部门业务为条线进行建设,没有采纳统一的技术架构,限制了系统之间的信息共享和信息交换,形成企业的信息孤岛。同时,不同的应用系统拥有相对独立的用户管理体系,缺乏一种有效的资源访问管理机制,导致用户管理比较混乱。在此状况下,可建:企业信息门户和用户平安认证体系,供应统一的信
2、息访问渠道。企业信息门户(以下简称企业门户),是访问各种信息和应用系统的统一人口,用于访问分布在企业内各种格式,各种来源的内容,集成各种现有业务应用系统(财务管理、营销管理、0A等),用户可通过企业门户与其他人共享信息、通信和协同工作。河南省电力公司已经通过对信息资源的整合,建立了公司统一的企业门户和用户平安认证体系,为各业务应用系统供应了一个便利、快捷的数据交换平台,并为每一位员工供应了可共性化定制的个人工作平台。1电力企业门户的组成电力企业门户总体架构可分为3个层次:用户接人层、门户系统和企业应用系统。如图1所示。1.1用户接人层企业门户支持各种有线、无线的网络接人方式,用户既可以用PC机
3、、也可通过PDA手机等移动终端访问企业门户。1.2门户系统供应用户访问的平安掌握手段、共性化定制、内容管理、协同力、公和门户相关服务功能等应用,详细包括:(1)用户管理:供应企业门户用户信息的管理手段,建立电力企业统一的名目系统,为实现通过门户访问企业内资源的单一登录机制供应人员信息基础。(2)认证管理:支持多种认证方式,包括静态密码、动态密码、数字证书等,对用户访问进行身份认证。同时可以直接采用已有系统中的用户帐户信息进行身份认证。(3)系统与平安管理:企业门户所承载的应用与内容大多数都是企业的敏感信息,系统平安是需要首先考虑的问题。通过认证、加密、授权等3个方面确保接入企业门户的业务应用系
4、统的平安;同时,采纳负载均衡、容灾、备份等措施保证企业门户自身的高效和平安牢靠。(4)访问策略管理:为用户访问企业门户供应信息访问权限掌握、访问渠道管理等多种功能,少1定义共性化服务的访问策略。如员上对内部的各种应用和信息是否在其门户桌面上可见,是否允许其访问等,就是通过策略管理来实现的。策略管理是门户其他功能(平安、共性化展现、定制等)的基础。(5)共性化服务:在系统统一掌握管理的基础上,为员工供应共性化的管理平台。访问者可以依据自身工作性质和对企业资源的访问需求,设置共性化的访问界面,并通过这种共性化的服务查阅、管理相关信息。(6)内容管理:企业门户可以对各种结构化和非结构化的数据(如业务
5、数据、网站新闻等)进行处理,识别各种关系型和OLAP类型的数据库。(7协同办公:供应在线人员感知、即时消息、网络会议室等功能和信息。(8)搜寻服务:企业门户不但可以整合Tnternet上的各种搜寻引擎,也可对门户中的信息进行综合搜寻。(9)虚拟门户:企业门户供应在一个物理实体上建立多个虚拟门户的功能,使公司各部门、卜.属单位都可以建M自己的门户。举例来讲,假如在某个网省公司。已经实现了大多数业务应用系统数据的大集中,并且在省公司也建立了规模相对较大的企业门户,在这种状况下,其下属单位就不必再建设自己单独的门户,而是直接采用省公司门户的物理设施,采纳虚拟门户的方式来访问相关信息。采用虚拟门户将明
6、显削减建设资金的投入。1.3企业应用系统企业应用系统包括电力企业内部原有的各应用系统,它们主要通过单点登录和应用集成来实现门户内容的整合。2统一的用户平安认证体系1. 1统一用户名目统一用户日录是用户平安认证体系的基础。它是个独立的名目系统,可扩展、可纵向连接。为保证全都性,使日录信息能在公司系统内进行同步,应进行名目树结构和名目schema的统一规划设计。2. 2身份认证身份认证是指通过多种方式对用户身份进行验证,确保个人身份的真实性。用户平安认证方式分为基本认证、表单认证、Kerberos认证、客户证书认证、HTTP头认证、工P认证等。其中基本认证、表单认证、Kerberos认证、客户证书
7、认证主要为最终用户供应;HTTP头和IP地址认证主要用于计算机已经处于平安级别比较高的位置,简化认证流程。(1)基本认证(BasicAuthenticate):是依据rfc2616(超文本传输合同HTTP/1. 1)法律规范要求,由认证服务器向客户端发送“WNW-Authenticate”头,客户端将用户名和密码供应应认证机制的标准方法。由于传输的密码没有加密,通常需要和HTTPS协作使用.以提高平安性。(2)表单认证:由于大多数B/S系统都采纳了表单的方式来提交用户身份的认证恳求,所以这种用法最多。这种方法可从认证服务器产生定制的HTML登录表单,而不是在基本认证期间产生标准的登录提示。(3
8、)Kerberos认证:几乎全部的LDAP服务器都支持Kerberos认证,采纳Kerberos认证的好处是用户密码不会在网络上传送,防止密码泄露。如NindowsActivcDircctory支持Kerbcrosv5认证合同,采纳Kerberos认证主要是解决Windows域用户自动认证问题。登录Windows的用户可以将Kerberos票据发送到认证服务器,认证服务器再联系ActiveDirectory,实现用户自动认证。(4)客户证书认证:是采用SSL合同,由客户出示客户证书来达到识别用户身份的目的。客户证书可以导入IE扫瞄器。为了加强平安性,客户证书还可存放在U盘或智能片中以防止被盗用
9、。客户证书中包含有客户所处名目服务器(LDAY)的位置信息,名目服务器也可以存放有客户证朽,当认证胜利时,认证服务器可以猎取一个用于表明用户身份的凭证,依据凭证授予该用户的许可权和权限。由于客户证书采纳公私钥机制,用户不需要记忆自己的密码,身份识别信息不简洁被盗用,平安性较高。在河南电力0A系统中,有一部分重要用户拥有数字证书,采纳的就足这种认证方式。(5)HTTP头认证:客户机供应的信息通过定制的HTTP头传递给认证服务器,认证服务器信任此定制的HTTP头数据是从前认证的结果,并由认证模块来进行认证。(6) IP认证:IP认证主要用来简化认证手续或对计算机设施认证。由于IP地址简洁伪造,所以
10、IP认证主要用于企业内部等网络平安级别已经比较高的场合。认证服务器使用http-request参数确定计算机的身份。3单点登录系统的应用单点登录(SingleSignOn,简称为SSO)功能是企业门户中统一用户平安认证体系的典型应用。简洁地讲,单点登录指的是:登录1次,即可访问多个应用系统。企业门户中,统一的用户平安认证体系,包含3个重要的组成部分:统一用户管理、用户授权管理和单点登录的接入。3.1统一用户管理在整个单点登录系统中占据重要地位,而一个真工意义上的统一用户管理平台必需具备数据统一、服务统一、管理统一、同步用户数据等功能。数据统一:包含名目结构和格式的统一规划和初始化数据的清理;服
11、务统一:供应标准化服务,用于名目系统内部以及外部应用系统和名目系统之间的交互;管理统一:使用完量少的业务人口来进行用户数据的维护,以确保用户数据的唯一性;用户数据同步:包含不同业务应用系统之间用户信息的同步,以及跨域认证时不同名目树之间用户数据的同步。对于它的部署方式,般可以在公司系统内建上统一的身份名目,有选择地进行横向、纵向的用户信自、同步,为单点登录供应人员信息基础。河南省电力公司企业门户于2004年正式投入运行。对于企业门户用户的管理,刚开头以人力资源管理系统作为权威数据源,企业门户的用户来源于人力资源。也就是说,只有当人力资源系统中的用户发牛.变化时,用户变更信息、才会同步到企业门户
12、的LDAP服务器中,企业门户中的用户才会随着变化。但在实际应用中,发觉人力资源系统用户信息的变更不太准时,影响了门户用户的正常登录。而0A系统的用户信息、相对更新速度快,也比较精确,所以改将0A系统作为权威数据源,实际效果良好。3. 2用户授权管理用户授权有3种方式:规章授权、托付授权和开通服务。(1)规章授权是指基于规章的授权,系统可以依据商业规章和用户属性,动态地授权用户对门户资源的访问。(2)托付授权为Portlet、用户、授权等实现托付管理,托付授权服务推断用户是否有访问后台资源权限,是由ACL和被管理资源以及它们之间的对应关系共同来完成的。(3)开通服务是指新员工人职、职位变迁匕员工
13、离职等这些全部的变化时,都涉及到对用户在各个应用系统中的权限变化,在统一的开通服务中进行修改配置,从而可以实现用户的生命周期管理和资源的生命周期管理。3. 3接入方式目前电力企业内部各应用系统从技术架构上可以分为B/S和C/S两大类,随着信息技术的进展,基于B/S结构的Mb应用逐步成为以后应用开发的主流技术。下面,只对B/S应用系统在单点登录系统中的接入方式做分析。接人方式大致分为3种,分别对应于不同的状况:对企业内部应用,可采纳模拟应用系统登录的方式;对互联网应用,可使用用户自助的接人方式;对企业门户级联等其他有特别要求的应用,就可以采纳第3种方式,改造原有应用系统的认证方式。3. 3.1模
14、拟应用系统登录(1)自动填表登录应用系统:对大多数B/S应用系统,通常会供应一个表单页面作为系统的登录页面。在用户通过单点登录系统的身份认证后,当用户第1次访问某应用系统时,系统要求在表单中输入身份证明,假如这些信息是精确的,则会被自动存储在单点登录系统中。以后,当用户通过单点登录系统的身份认证再次访问该应用系统时,单点登录系统会自动将用户名和密码填入表单并提交页面,使用户自动登录该应用系统。在河南电力企业门户中,对企务信、财务管理、电力营销、生产MIS等大多数应用系统采纳了这种自动填表的登录方式。(2)发送HTTP头登录应用系统:在用户通过单点登录系统身份认证后,单点登录系统将包含用户身份信
15、息的HTTP头发送到应用系统,应用系统猎取HTTP头中的用户身份信息,打算是否允许用户登录。通过HTTP头,既可以采用HTTP合同中规定的基本认证方式登录应用系统,也可以使用单点登录系统与应用系统之间商定的头信息。在河南电力企业门户中,0A系统和企业门户事先商定了肯定格式的HTTP头信息,0A系统的一般用户采纳/ HTTP头的方式来接人单点登录系统。以上介绍的这2种方式,用户信息可以在内部的各业务应用系统中获得,用户可以纳入统一名目管理之中,由统一名目进行不同业务应用之间用户信息的同步。下面要介绍的用户自助方式主要适用于无法收集用户信息,且无法进行改造的系统。对互联网邮件系统,它们都具备私有的用户管理机制,而比无法对其进行改造。为了实现这些邮件系统的单点登录,可以对不同的邮件系统的Mb登录页面进行分析,开发统一的邮件系统关联模块,模拟邮件用户登录的功能。门户用户使用时.,首先需要在该模块中设置个人的用户名和密码,当用户通过邮件的单点登录功能登录该邮件系统时,登录模块得到用户预先设置的用户名和密码,随后发起登录恳求尝试登录邮件系统。当然,每次用户修改夸录密码,需要在该登录模块中再次修改登录密码。通过用户自助的方式,河南省电力公司胜利整合了网易、新浪、雅虎、HotMai