信息化软件 企业管理 营销管理 业界消息 标签索引
信息化软件目录
OA 办公自动化 CRM 客户关系管理 PM 项目管理 CC 协同商务 BPM 业务流程管理 KM/KBS 知识管理 CMS 内容管理 SCM 供应链管理 BI 商务智能 ERP 企业资源计划 HRM 人力资源管理 EAM 企业资产管理 电子商务系统 IT综合

基于企业门户的单点登录研究

2009-11-05

随着计算机技术应用的普及和现代网络技术的高速发展,企业信息化建设正在成为一种潮流。随着企业规模的不断扩大,信息化过程的不断深化,由于越来越多的业务过程信息化,又因为单个系统无法囊括众多业务过程,促使企业建立了多个应用系统.在用户看来,信息过载使得自己不知道要到哪里找到所需要的东西。而且,为了得到各个系统的信息,需要接受更多系统的验证;在企业管理员看来,越来越多的系统数据库需要被维护,冗余的企业数据不仅耗费了企业的硬件资源, 也耗费了管理员的人力资源。造成这种状况的主要原因是没有很好地整合信息和应用。随着B/S模式软件的深入应用,企业门户的出现,为解决这个问题提供了最佳途径。

基于企业门户的单点登录研究: (一)企业门户中的关键问题

关于什么是门户(Portal)有很多种说法,包括拥有信息的团体、集中的业务、集成化的桌面环境等,也有不少专家和学者从企业门户的角度给出了定义,如门户企业提供给商业用户访问信息和应用,以及完成各种交互或协助行为的单一集成访问点。相应的门户软件系统软件则提供了开发、部署和管理门户应用的各种服务。企业信息门户涉及Portal,内容管理、数据集成、单点登录等多方面的内容。

虽然企业门户被想像得非常美好,但真正要实现企业门户不能只是简单把现有的非结构化的文件、数据和信息孤岛式的单元应用叠加到一个web界面上,而是应该以公司的需求为导向,把它当成一项系统工程来处理。企业门户提出的最初衷就是为了整合信息和应用,因此企业门户最重要的作用就是帮助企业整合现有的各种应用系统,所以可以说, 企业应用集成是企业门户的灵魂,能否对企业应用进行良好的整合是企业门户成功的关键。

企业门户集成企业的应用, 并需要为企业信息化平台提供统一的安全认证模式和基于单点登录的应用访问方式,使企业门户及其所辖的数据、应用和用户信息免受非法入侵和未授权的访问和使用.单点登录功能成为企业门户的必需和关键。

基于企业门户的单点登录研究: (二)单点登录 ( Single Sign-On)

单点登录通常是指:用户只需要在网络中主动地进行一次身份认证,随后便可以访问其被授权的所有网络资源而不需要再主动参与其他的身份认证过程。典型的单点登录系统有五种模型,分别为:经纪人模型、代理模型、经纪人代理和代理模型、网关模型和令牌模型。

1.Broker-Based模型

Broker-Based模型中有一个集中的认证和用户帐户管理服务器,并向用户发放用于向应用服务请求访问的电子身份标识。模型中最关键的是认证服务器,处在客户端和应用服务器中间,用来全权打理认证事务,扮演一个经纪人的角色。基于Kerberos的单点登录机制是经纪人模型的典型应用。

2.Agent-Based模型

Agent-Based模型中每个应用服务前端有一个代理(Agent)为其完成用户身份认证工作,需要注意的是,这个代理是专门为应用服务器服务的。在这个基于代理人的解决方案中,有一个自动地为不同的应用程序认证用户身份的代理程序。这个代理程序能被设计成以不同的方式来起作用。SSH是基于代理人的单点登录机制的典型应用。

3.网关模型

网关模型中的客户端必须使用网关客户软件,通过一台专用网关才能访问各种应用服务。在这种方案,所有的响应服务都需要放在被网关隔离的受信网段里。Client通过网关进行认证后获得接受服务的授权。如果网关后的服务能够通过IP地址识别,并可在网关上建立一个基于IP的响应规则,而这个规则如果与在网关上的用户数据库相结合,网关就可以被用于单点登录。网关通过记录Client的身份不再需要冗余的认证请求,授权所需要的服务。由于网关可以监视并改变应用服务的数据流,所以在不修改应用服务的同时,改变认证信息,并提供合适的访问控制。

4.Agent and Broker-based模型

Agent and Broker-based模型就是把基于经纪人的解决方案和基于代理的解决方案相结合。基于代理模型的最大优点就是能减少对应用程序的改造,而基于经纪人模型的最大优点就是认证集中,基于以上两点,Agent and Broker-based模型就兼具了前者集中管理和后者无需修改应用服务程序的优点,是优点比较突出也是现今用得较多的模型。

5.令牌模型

令牌模型最大的特点就是它是双向的。Security Dynamics SecurID是一个物理式的令牌模型,它为用户产生基于时间的一次性密码从而实现双向的认证。SecurID基于硬件令牌的同步时钟和一个叫做ACE的服务器。在一个被事先定好的时间间隔内,令牌机制产生一个跟令牌唯一对应并只能由一个程序接收的密码。

基于各类模型的论述,我们可以从以下几个方面来对各个模型进行比较,并直观的用表1来描述它们之间的异同。

表1 SSO模型对比

基于企业门户的单点登录研究: (三)基于凭证库的单点登录框架

基于凭证库的单点登录机制是针对那些已经存在的且采用了标准认证机制(如HTTP规范的basic认证或J2EE规范的form-based认证)的Web应用系统而设计的。它不需要对应用系统的原有认证模块作任何修改。

每个集成应用系统都有自己的认证系统,在对其不作任何修改的情况下完成认证,必须向其提供用户在该应用中的原始认证信息,并且按照其要求的通信协议和认证方式来进行。

1.凭证库

用户凭证是一个能够模仿用户在应用上的认证过程的对象,它封装了用户在应用系统上的认证信息(如用户名、口令等),并且包含一系列的认证逻辑,这些认证逻辑能够根据具体应用的通信协议将认证信息传送给相应的应用系统,并按照其协议规定的认证方式来自动进行认证。对于使用不同认证方式的应用系统,需要不同类型的用户凭证。

图1 用户凭证

由于门户集成了各种不同的应用,因此每个门户用户都有多个不同类型的凭证,这些凭证都存储在凭证库中,当用户成功登录门户后,如果要求进一步访问某个后台集成的应用系统,基于凭证库的单点登录机制会为用户构造一个合适的用户凭证,让其自动完成应用系统的认证。

2.用户映射机制

在基于凭证库的单点登录机制中,门户的认证系统与应用集成应用的认证系统是相互独立的,要使门户用户能够成功登录至后台应用,必须使其获得在后台应用上的合法身份,即获取合法的用户凭证信息。用户映射机制可以将门户用户映射到多个应用系统中,为用户凭证的构造提供技术。

单点登录系统中维持了一个应用注册模块、一个用户单点注册模块和一个用户信息映射表,如图2描述了用户映射机制的结构。

图2 用户映射机制

用户在集成到门户的过程中,必须先通过应用注册模块在单点登录系统中进行注册,注册模块将为其生成一个全局唯一的应用id,并且将该应用的认证类型、访问方式保存在应用注册文件中:而用户在能够访问这些应用之前,必须先通过用户单点注册模块进行标注,将其在应用上的认证信息存放在用户单点注册文件中(经过加密);最后,根据应用注册文件和用户单点注册文件可以生成应用信息映射表。给定一个门户用户和一个特定应用,就能够将其映射到用户在该应用上的认证信息。

3.基于凭证库的单点登录过程

对于已成功登录门户的用户,当其进一步访问后台应用时,单点登录将代替其进行认证,如图3所示。

在整个单点登录过程中,凭证对象是认证过程的实施者,而凭证管理器则负责所有凭证对象的定义、创建、初始化和执行。其过程可以描述如下:

(1)主认证。若用户还未登录,则输入用户名/口令,SSO自身的认证模块对其身份进行验证,确认其是SSO上的合法用户。

(2)构造凭证对象。当用户请求访问某个应用时,凭证管理器先检查凭证库,看其中是否已经存在用户在该应用上的凭证对象,若存在,则取出该凭证对象;否则,凭证管理器从用户信息映射表中取出用户在该应用上的认证信息,根据认证机制的类型构造合适的凭证对象,并将该对象存入用户凭证库中。

(3)从认证、得到凭证对象后,凭证对象再利用预定义的认证逻辑将其内含的认证信息传送到应用系统,并与其认证接口进行交互。

(4)建立连接。后台应用系统对用户的认证信息进行验证,认证成功后,则向用户发回响应并连接会话。

基于企业门户的单点登录研究: (四)结论

随着企业信息化进程的不断深入,没有对信息和应用进行很好的集成造成了企业虽然投入了大量的人力物力,但却没有预期的效果。企业门户的建设迫在眉睫。在企业门户的建设过程中,将会碰到很多问题,单点登录功能的实现是其必然要面对的问题。单点登录的解决方案可以分为几类,每种方式都有自己的优缺点, 今后这些模型和方案将会继续被加以改进。而基于凭证库的认证机制适合那些采用标准认证机制的Web应用,这种机制的一个最大优点是不需要对应用系统的原有认证部件做任何修改,而所提供的安全性与用户直接在原系统上认证完全一样。

相关链接
中国互联网上十大“商业流量”集散地2009-09-24 金融业进入门户时代 新锐国际欲作“门...2009-09-04
业务导向的EKP应用分享(下)2009-07-23 集团企业知识化门户建设漫谈2009-07-19
大辨析连载系列之二 内容管理2009-06-07 怎样在企业门户建设应用知识管理2009-04-01
企业信息门户的三个趋势2008-12-23 文档知多少---走出软件作坊:三五个人...2008-11-01
企业门户中的业务协同应用2008-10-26 企业门户建设现状评估的ICTM方法2008-09-28
返回首页 信息化软件 企业管理 营销管理 业界消息 文档查询
Copyright © 2005-2010   http://www.ourdoc.cn, 知识文档中心