1引言
在企業(yè)信息應(yīng)用上不同的服務(wù)由不同的系統(tǒng)提供,但是這些服務(wù)仍提供給某些特定系統(tǒng)的特定用戶(hù),并且出于應(yīng)用系統(tǒng)安全上的需要,每一個(gè)系統(tǒng)都需要對(duì)用戶(hù)的身份進(jìn)行認(rèn)證和對(duì)其用戶(hù)所訪(fǎng)問(wèn)的系統(tǒng)功能進(jìn)行授權(quán),應(yīng)用系統(tǒng)在用戶(hù)管理上基本上都自成體系,以保證合法用戶(hù)的權(quán)益,拒統(tǒng)要求提供不同的用戶(hù)名和口令,這樣給用戶(hù)帶來(lái)了極大的不便;同時(shí),口令存儲(chǔ)環(huán)節(jié)的增加,也增加了口令泄露的可能性。
同時(shí),在推進(jìn)企業(yè)單位信息化建設(shè)的進(jìn)程中,也普遍存在多個(gè)系統(tǒng)信息資源目錄的統(tǒng)一問(wèn)題,普遍存在統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)管理問(wèn)題,普遍存在統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)機(jī)制、分級(jí)分類(lèi)認(rèn)證和授權(quán)操作問(wèn)題。這些問(wèn)題的解決直接影響整個(gè)信息資源系統(tǒng)的可控性和安全性。這是當(dāng)前各企業(yè)單位信息化建設(shè)中的一個(gè)關(guān)鍵問(wèn)題。
用戶(hù)認(rèn)證和授權(quán)管理正是基于上述需求,而設(shè)計(jì)開(kāi)發(fā)的認(rèn)證和授權(quán)管理類(lèi)安全控制系統(tǒng),提供與當(dāng)前企業(yè)單位實(shí)際組織體系和業(yè)務(wù)模式相適應(yīng)的分級(jí)分類(lèi)認(rèn)證和授權(quán)機(jī)制。向用戶(hù)和應(yīng)用系統(tǒng)提供整合的認(rèn)證和授權(quán)控制管理服務(wù),提供用戶(hù)身份認(rèn)證到應(yīng)用授權(quán)的映射功能。提供用戶(hù)控制的基于多種業(yè)務(wù)屬性組合條件下靈活的授權(quán)和訪(fǎng)問(wèn)控制機(jī)制,簡(jiǎn)化具體應(yīng)用系統(tǒng)的開(kāi)發(fā)維護(hù)。
圖1統(tǒng)一用戶(hù)認(rèn)證和統(tǒng)一用戶(hù)授權(quán)實(shí)施前后比較圖
下面對(duì)用戶(hù)統(tǒng)一授權(quán)管理的實(shí)現(xiàn)進(jìn)行重點(diǎn)介紹,由于統(tǒng)一用戶(hù)認(rèn)證發(fā)展的較早,且已普遍應(yīng)用在企業(yè)信息系統(tǒng)中,這里只做概要介紹。
2統(tǒng)一用戶(hù)認(rèn)證
為了解決多系統(tǒng)中存在的多重帳號(hào)/口令管理而提出的解決方案,它應(yīng)有統(tǒng)一用戶(hù)管理、統(tǒng)一身份認(rèn)證和接口服務(wù)等三大主要部分組成。
2.1統(tǒng)一用戶(hù)管理
建立權(quán)威的、適合各應(yīng)用系統(tǒng)使用的統(tǒng)一帳號(hào)數(shù)據(jù)庫(kù),帳號(hào)數(shù)據(jù)庫(kù)可基于活動(dòng)目錄或關(guān)系型數(shù)據(jù)庫(kù)建立。統(tǒng)一用戶(hù)管理模塊,可供系統(tǒng)管理人員和各單位內(nèi)部管理員使用,可以分級(jí)維護(hù)所有的組織單位和人員信息,包括:用戶(hù)添加、用戶(hù)管理、組織單位管理、角色管理、用戶(hù)角色關(guān)系配置。
2.2統(tǒng)一身份認(rèn)證
作為電子政務(wù)應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證模塊,是實(shí)現(xiàn)單點(diǎn)登錄的基礎(chǔ),可根據(jù)不同的認(rèn)證需要選擇不同的認(rèn)證方式,為不同類(lèi)型的用戶(hù)提供了安全認(rèn)證服務(wù)。常見(jiàn)的認(rèn)證方式有:Windows域集成認(rèn)證、表單用戶(hù)口令認(rèn)證、數(shù)字證書(shū)認(rèn)證。所有的用戶(hù)均可通過(guò)訪(fǎng)問(wèn)統(tǒng)一身份認(rèn)證的入口來(lái)完成政務(wù)系統(tǒng)的單點(diǎn)登錄。
圖2統(tǒng)一用戶(hù)身份認(rèn)證模式圖
2.3接口服務(wù)
對(duì)外提供標(biāo)準(zhǔn)的WebService服務(wù),允許其他應(yīng)用系統(tǒng)調(diào)用。主要接口包括:組織架構(gòu)和用戶(hù)帳號(hào)信息的下載接口;用戶(hù)登錄驗(yàn)證接口;用戶(hù)管理、組織架構(gòu)管理的接口等。
統(tǒng)一用戶(hù)認(rèn)證我們很好的實(shí)現(xiàn)了,我們已經(jīng)開(kāi)發(fā)了相關(guān)的統(tǒng)一用戶(hù)認(rèn)證系統(tǒng),提供了基本的用戶(hù)認(rèn)證接口以及相關(guān)的用戶(hù)管理和用戶(hù)認(rèn)證,認(rèn)證接口只提供簡(jiǎn)單的用戶(hù)和密碼認(rèn)證,并且識(shí)別該用戶(hù)是否是有登陸相關(guān)系統(tǒng)的許可(只是解決了用戶(hù)和系統(tǒng)間的對(duì)應(yīng)關(guān)系,還不涉及訪(fǎng)問(wèn)權(quán)限與數(shù)據(jù)操作權(quán)限的認(rèn)證),然后各系統(tǒng)按照要求驗(yàn)證用戶(hù)密碼。
3用戶(hù)統(tǒng)一授權(quán)
統(tǒng)一認(rèn)證只是第一步,而要做到統(tǒng)一授權(quán)那么難度就將大大加大,因?yàn)楦鱾(gè)系統(tǒng)的權(quán)限管理是不一樣,有些比較簡(jiǎn)單,只需要控制訪(fǎng)問(wèn)權(quán)限便可,而有些除了要控制訪(fǎng)問(wèn)權(quán)限,還要控制數(shù)據(jù)操作權(quán)限,因此要使統(tǒng)一用戶(hù)管理系統(tǒng)能實(shí)現(xiàn)對(duì)各用戶(hù)在不同系統(tǒng)的權(quán)限進(jìn)行統(tǒng)一管理,授權(quán)是一件很不容易的事情。
下面我們簡(jiǎn)單的介紹一下統(tǒng)一用戶(hù)授權(quán)的兩種方法:
方法一:只在統(tǒng)一用戶(hù)管理系統(tǒng)中建立用戶(hù)和各系統(tǒng)角色的對(duì)應(yīng)關(guān)系,這種方式就只能告訴統(tǒng)一用戶(hù)管理人員,該用戶(hù)在各系統(tǒng)有什么權(quán)限,但真正的賦權(quán)還是在各系統(tǒng)進(jìn)行,各系統(tǒng)在新增角色或者為用戶(hù)更改角色時(shí)只需要通過(guò)相關(guān)的同步接口通知統(tǒng)一用戶(hù)管理系統(tǒng)就行,注意只是提供角色的描述,或者數(shù)據(jù)操作權(quán)限的簡(jiǎn)單描述,因?yàn)檫@樣對(duì)統(tǒng)一用戶(hù)管理系統(tǒng)的權(quán)限模型要求不高,只要能提供可對(duì)角色和操作進(jìn)行描述的模型就行。因此統(tǒng)一用戶(hù)管理系統(tǒng)并不能真正依賴(lài)這些信息來(lái)獲取用戶(hù)的正確的權(quán)限信息,統(tǒng)一用戶(hù)認(rèn)證接口并不把相關(guān)的角色或操作權(quán)限通過(guò)接口傳送給各個(gè)應(yīng)用系統(tǒng),用戶(hù)登陸后再在各系統(tǒng)權(quán)限模型中獲取相關(guān)的操作權(quán)限和數(shù)據(jù)操作權(quán)限。
這種方式是不能實(shí)現(xiàn)統(tǒng)一授權(quán),只能為管理人員提供統(tǒng)一的用戶(hù)權(quán)限視圖,但實(shí)現(xiàn)方式相對(duì)簡(jiǎn)單,只能作為一種過(guò)渡的方法,本文不作更深的研究。
方法二:這是一個(gè)終極目標(biāo)的做法,這個(gè)方法是將所有系統(tǒng)的權(quán)限控制部分都建在統(tǒng)一用戶(hù)管理系統(tǒng)中。首先,統(tǒng)一用戶(hù)管理系統(tǒng)在設(shè)計(jì)時(shí)就要能建立一個(gè)能適應(yīng)各種系統(tǒng)權(quán)限管理要求的權(quán)限模型。對(duì)于己建立的老系統(tǒng),各系統(tǒng)將自己的用戶(hù)角色管理,角色一權(quán)限管理等部分抽離出來(lái),統(tǒng)一放在統(tǒng)一用戶(hù)管理系統(tǒng)中,而對(duì)于新建立的系統(tǒng),各系統(tǒng)在建設(shè)的初期就要把自己權(quán)限設(shè)計(jì)的要求提交給統(tǒng)一用戶(hù)管理系統(tǒng),按照其需求在本身統(tǒng)一用戶(hù)管理系統(tǒng)的權(quán)限模型上去構(gòu)建出該系統(tǒng)的實(shí)例。那么管理員就可以通過(guò)統(tǒng)一授權(quán)系統(tǒng)為各用戶(hù)在不同系統(tǒng)的權(quán)限進(jìn)行配置,在登陸時(shí)各系統(tǒng)就調(diào)用相關(guān)的統(tǒng)一認(rèn)證和授權(quán)接口,獲取用戶(hù)相關(guān)的權(quán)限信息,進(jìn)到各系統(tǒng)后再創(chuàng)建用戶(hù),將相關(guān)的權(quán)限信息賦予給用戶(hù)類(lèi),然后就可以在應(yīng)用系統(tǒng)中進(jìn)行權(quán)限驗(yàn)證。
這種方式既能對(duì)用戶(hù)進(jìn)行統(tǒng)一的授權(quán)和認(rèn)證,也能展現(xiàn)各用戶(hù)的統(tǒng)一權(quán)限視圖,在本文中我們主要研究此種方法。
統(tǒng)一用戶(hù)授權(quán)管理是以資源的授權(quán)、訪(fǎng)問(wèn)決策控制集中管理為目標(biāo),以資源的訪(fǎng)問(wèn)控制為導(dǎo)向,以資源的安全、防擴(kuò)散為前提,將各個(gè)應(yīng)用系統(tǒng)的所有受控資源進(jìn)行統(tǒng)一授權(quán),不僅可以保護(hù)應(yīng)用系統(tǒng)的信息安全、建立全面的信息保密制度,同時(shí)滿(mǎn)足對(duì)系統(tǒng)文檔加密和授權(quán)需求,構(gòu)建安全可控的文檔安全、防擴(kuò)散管理系統(tǒng)。
圖3企業(yè)級(jí)認(rèn)證授權(quán)中心的實(shí)現(xiàn)
3.1用戶(hù)角色管理
“角色”主要用來(lái)區(qū)別各類(lèi)不同用戶(hù),通過(guò)把用戶(hù)加入到某一種角色來(lái)實(shí)現(xiàn)該用戶(hù)的權(quán)限分配。管理員可以添加自定義的角色,從而實(shí)現(xiàn)靈活的系統(tǒng)配置。如建立表1的用戶(hù)角色表。
3.2模塊管理
為控制用戶(hù)使用系統(tǒng)各功能模塊的權(quán)限,把系統(tǒng)中所有的功能項(xiàng)添加到模塊表中,添加到表中的模塊以菜單的形式顯示在系統(tǒng)中。增加新的功能模塊時(shí),添加模塊表,把新增的模塊納入一致的權(quán)限管理范疇。如表2的某系統(tǒng)各模塊編碼表。
3.3模塊授權(quán)配置
對(duì)系統(tǒng)各個(gè)模塊進(jìn)行定義,并設(shè)置對(duì)哪些角色、部門(mén)和用戶(hù)開(kāi)放,從而實(shí)現(xiàn)模塊的訪(fǎng)問(wèn)控制,確保信息安全。沒(méi)有權(quán)限的用戶(hù)將無(wú)法使用對(duì)應(yīng)模塊。有多少套系統(tǒng)就建立多少?gòu)埾蟊?一樣的“用戶(hù)和xx系統(tǒng)各模塊授權(quán)表”。其中表3豎欄“Y1, Y2, Y3, Y4, Y5,..、Yn-1,Yn,..”為用戶(hù);表3橫欄“Gnl, Gn2, Gn3. Gn4、..、Gng、.."為模塊;表3中間的內(nèi)容為授權(quán)結(jié)果,01”為己授權(quán),“0”沒(méi)有授權(quán)。如用戶(hù)Y1在使用。系統(tǒng)模塊Gn2有權(quán)限,用戶(hù)Y1在使用xx系統(tǒng)模塊Gn1沒(méi)有權(quán)限,如此,用戶(hù)YZ對(duì)所有應(yīng)用系統(tǒng)中的各個(gè)模塊的權(quán)限就確定了。其他用戶(hù)仿照用戶(hù)Y1授權(quán)辦法授權(quán),這樣就實(shí)現(xiàn)了用戶(hù)集中授權(quán)問(wèn)題,如表3所示。
表1用戶(hù)角色表
表2 xx系統(tǒng)模塊編碼表
表3用戶(hù)和xx系統(tǒng)各模塊授權(quán)表
4分級(jí)統(tǒng)一用戶(hù)認(rèn)證和授權(quán)管理
建立企業(yè)級(jí)總部統(tǒng)一認(rèn)證、授權(quán)服務(wù)器和二級(jí)認(rèn)證、授權(quán)服務(wù)器群組(二級(jí)認(rèn)證、授權(quán)服務(wù)器1,二級(jí)認(rèn)證、授權(quán)服務(wù)器2,......,二級(jí)認(rèn)證、授權(quán)服務(wù)器n)。企業(yè)級(jí)總部統(tǒng)一認(rèn)證、授權(quán)服務(wù)器包含了二級(jí)認(rèn)證、授權(quán)服務(wù)器群組中的所有用戶(hù)信息和統(tǒng)一認(rèn)證、授權(quán)信息等,二級(jí)認(rèn)證、授權(quán)服務(wù)器群組中的每一組用戶(hù)信息和統(tǒng)一認(rèn)證、授權(quán)信息等是企業(yè)級(jí)總部統(tǒng)一認(rèn)證、授權(quán)服務(wù)器中用戶(hù)信息和統(tǒng)一認(rèn)證、授權(quán)信息等的子集。這樣就可以實(shí)現(xiàn)分級(jí)統(tǒng)一的用戶(hù)認(rèn)證和授權(quán)管理中心的建立,如圖4所示。
圖4 分級(jí)統(tǒng)一用戶(hù)身份認(rèn)證和授權(quán)總體架構(gòu)圖
5結(jié)束語(yǔ)
用戶(hù)集中統(tǒng)一認(rèn)證己在新祖油田信息化建設(shè)中成功應(yīng)用數(shù)年,用戶(hù)集中授權(quán)工作新祖油田還在規(guī)劃和設(shè)想當(dāng)中,本文提出的用戶(hù)集中授權(quán)方案在2005年就開(kāi)始設(shè)想,只是當(dāng)時(shí)用戶(hù)集中統(tǒng)一認(rèn)證工作才剛剛正式開(kāi)始實(shí)施,那個(gè)時(shí)候再開(kāi)始實(shí)施用戶(hù)集中授權(quán)工作存在許多的困難,特別是工作量較大,再加上思想意思還沒(méi)有完全到位,所以就放到今天還沒(méi)有開(kāi)始實(shí)施,但這個(gè)方案從理論上和實(shí)踐上都不會(huì)有問(wèn)題,是一個(gè)完全行的通的技術(shù)方案.本文公開(kāi)此技術(shù)方案是想和同行們共同探討和分享信息化技術(shù)成果,有不妥之處敬請(qǐng)批評(píng)指正。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:統(tǒng)一用戶(hù)認(rèn)證和授權(quán)管理的實(shí)現(xiàn)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112157815.html