隨著企業(yè)不斷建立健全公司信息化系統(tǒng),建設包括財務管理、營銷管理、生產管理、人力資源管理、物資管理、項目管理等應用系統(tǒng),這些信息化資源的大量投入使用,極大提高了企業(yè)的工作效率。但是隨著企業(yè)規(guī)模的不斷擴大,這些各自為政所實施的局部應用使得各系統(tǒng)之間彼此獨立,成為一個個“信息孤島”。企業(yè)的用戶就不得不在各個應用系統(tǒng)之間來回穿梭,頻繁登錄,用戶信息混亂,企業(yè)的信息資源面臨巨大威脅。因此,急需在現(xiàn)有的應用系統(tǒng)的基礎上建立一個覆蓋各區(qū)域、各部門,涵蓋企業(yè)各個方面的企業(yè)信息門戶。建立一個高安全性和可靠性的統(tǒng)一身份認證系統(tǒng)是建立該信息門戶首要解決的問題。
1 企業(yè)統(tǒng)一身份認證系統(tǒng)的目標
統(tǒng)一身份認證系統(tǒng)的建設目標是為跨區(qū)域企業(yè)的各種網絡服務和應用系統(tǒng)提供統(tǒng)一的用戶管理平臺和身份認證服務。企業(yè)用戶只需要使用同一用戶名、同一密碼就可以登錄所有允許他登錄的系統(tǒng);并且,用戶只需登陸一次,就能在允許他登陸的多個系統(tǒng)間游走。另外,從管理角度出發(fā),管理人員可以在同一認證系統(tǒng)中集中對各個應用系統(tǒng)的用戶進行管理,有效提高整個企業(yè)的管理和運行效率?傊,統(tǒng)一身份認證平臺功能重點包括三個方面:用戶資料集中存儲和管理,用戶身份集中驗證,用戶單點登錄。
2 企業(yè)統(tǒng)一身份認證系統(tǒng)的設計
2.1 LDAP目錄系統(tǒng)設計
與一般的關系型數(shù)據(jù)庫不同,LDAP(Light Directory Access Protocol)是一種特殊的數(shù)據(jù)庫。它的主要任務不是數(shù)據(jù)的存儲和操作,因此并不像傳統(tǒng)的數(shù)據(jù)庫一樣支持復雜的事務或者回滾技術,它對查詢進行了優(yōu)化,與寫性能相比LDAP的讀性能要強很多。LDAP還是一個安全的協(xié)議,它使用SASL(Simple Authentication Security Layer)協(xié)議,提供訪問控制。LDAP通過SSL/TLS(Secure Sockets Layer/Transport Layer Security)認證機制來保護數(shù)據(jù)的完整性和私密性。基于LDAP的應用開發(fā)有標準的規(guī)范,可以在任何計算機平臺上訪問LDAP目錄,因此利用LDAP服務可以設計出跨平臺和應用的統(tǒng)一身份認證系統(tǒng)。
本文設計的系統(tǒng)采用LDAP目錄服務作為統(tǒng)一身份認證的基礎,針對跨區(qū)域企業(yè)的機構地理分布、應用系統(tǒng)部署、網絡狀況等實際需求,企業(yè)的目錄系統(tǒng)采用企業(yè)總部,分公司兩級架構設計,如圖l所示。各分公司在本地身份認證目錄中存放和管理著本公司范圍內的用戶身份信息,身份認證管理系統(tǒng)會將這些目錄自動實時同步到企業(yè)總部的身份認證目錄中。因此,用戶在公司總部認證目錄和分公司認證目錄中都具有用戶身份,通過Mail屬性關聯(lián),將Mail屬性作為標識用戶身份的關鍵信息。
2.2 統(tǒng)一身份認證系統(tǒng)的管理架構設計
企業(yè)的統(tǒng)一身份認證系統(tǒng)采用自由聯(lián)盟項目(Liberty Alliance Project)創(chuàng)建的開放及聯(lián)合的網絡身份認證管理框架,如圖2所示。系統(tǒng)由兩大組件構成:訪問網關和身份認證管理服務器。訪問網關作為用戶的統(tǒng)一訪問人口,來提升企業(yè)門戶與應用的訪問安全:身份認證管理服務器管理用戶相關的訪問控制策略,并負責與訪問網關通訊。
訪問網關基于反向代理技術對后端的身份認證管理系統(tǒng)、應用系統(tǒng)等提供訪問保護、審計監(jiān)控等服務。身份認證管理系統(tǒng)利用PORTLET集成到企業(yè)門戶中。企業(yè)的統(tǒng)一身份認證系統(tǒng)在訪問網關中建立企業(yè)門戶的代理EIPProxy,代理對外的lP地址與企業(yè)門戶的IP地址不同,不允許用戶直接訪問企業(yè)門戶服務器。DNS域名系統(tǒng)中企業(yè)門戶的域名將指向訪問網關中企業(yè)門戶代理EIPProxy的lP地址,這樣,用戶在瀏覽器中輸入企業(yè)門戶的域名時,實際訪問的是訪問網關中企業(yè)門戶的代理。
訪問網關可以根據(jù)用戶請求資源的保護策略,決定是否對用戶身份進行認證,如果用戶請求企業(yè)門戶中受保護的資源,則訪問網關將用戶重定向到身份認證管理系統(tǒng),身份認證管理系統(tǒng)認證用戶身份,若用戶通過認證,身份認證管理系統(tǒng)將用戶的身份信息傳送給企業(yè)門戶,企業(yè)門戶將用戶請求的相關應用系統(tǒng)中的資源返回給訪同同關,再由訪問網關將響應返回給用戶。
2.3 單點登錄的設計
用戶的單點登錄主要是實現(xiàn)身份認證管理系統(tǒng)將經過鑒定的用戶信息以安全的方式傳遞給應用系統(tǒng),應用系統(tǒng)利用身份認證系統(tǒng)傳遞的用戶信息確認用戶身份,完成登錄,并將請求的資源返回給企業(yè)門戶。單點登錄涉及兩種情況:一種是用戶訪問本地的應用系統(tǒng),一種是用戶訪問其它地域的子公司或總公司的應用系統(tǒng)。系統(tǒng)在設計時將同一個子公司的各個系統(tǒng)作為一個信任域,每個信任域內都設有獨立的身份認證管理系統(tǒng):企業(yè)本部的身份認證管理系統(tǒng)與分公司的身份認證管理系統(tǒng)將建立級聯(lián)認證關系。
當用戶訪問本地的應用系統(tǒng)時,先從身份認證管理系統(tǒng)登錄認證,如果通過驗證,用戶就可以自由訪問該信任域內的應用系統(tǒng)。如果用戶跨域訪問其它地域的子公司或總公司受保護的應用系統(tǒng),分公司身份認證管理系統(tǒng)將公司總部身份認證管理系統(tǒng)作為“身份提供者IP(Identity Provider)”,公司總部身份認證管理系統(tǒng)將分公司身份認證管理系統(tǒng)作為“服務提供者SP(Service Provider)”,雙方基于SAML/Liberty協(xié)議進行協(xié)商,確認用戶是否已被認證,如果已被認證,則允許用戶訪問相關受保護的應用系統(tǒng)。另外,如果要實現(xiàn)企業(yè)總部到分公司的跨域單點登錄,可以通過身份認證管理系統(tǒng)將企業(yè)總部有權跟訪問分公司系統(tǒng)的用戶身份同步到分公司的認證目錄中,身份認證管理服務器再通過SAML/Liberty協(xié)商,實現(xiàn)公司總部到分公司的跨域級聯(lián)認證。
3 企業(yè)統(tǒng)一身份認證系統(tǒng)的實現(xiàn)
基于如上的設計思想實現(xiàn)了某跨區(qū)域大集團公司的統(tǒng)一身份認證入口,該集團公司各分公司的員工以及外部人員均采用如下門戶網站統(tǒng)一登錄,如圖3所示。
4 結束語
建立一個高安全性和可靠性的統(tǒng)一身份認證系統(tǒng)是企業(yè)集成各應用系統(tǒng)建立企業(yè)信息門戶首要解決的問題。筆者綜合考慮了跨區(qū)域企業(yè)機構地理分布、應用系統(tǒng)部署情況,采用了LDAP目錄系統(tǒng)。設計了企業(yè)總部/分公司兩級目錄架構存儲用戶身份信息。基于Liberty的網絡身份認證管理框架,設計了兩大組件:訪問網關和身份認證管理服務器。訪問網關作為用戶的統(tǒng)一訪問入口,基于反向代理技術對后端的企業(yè)門戶提供訪問保護服務;身份認證管理服務器對各應用系統(tǒng)的用戶身份集中認證。設計了企業(yè)的級聯(lián)認證架構,各域的身份認證管理服務器基于級聯(lián)認證架構,通過SAML/Liberty協(xié)議協(xié)商,支持用戶的單點登錄;谠撛O計實現(xiàn)的統(tǒng)一身份認證管理系統(tǒng)實現(xiàn)了跨區(qū)域信息化企業(yè)多個應用系統(tǒng)用戶的集中管理、統(tǒng)一身份認證和用戶的單點登錄問題,目前系統(tǒng)運行良好。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.ezxoed.cn/