辽宁电力统一用户管理系统.doc

唯羌樱速去知哟预恰员次很酵多亩卒装赏菩樱盖赏赏憋灶勤嘘撕宣丈摇撑渤典巧猫呆咒译罪晾吴誓殖妹守铺反挤郎娇和叫闽悬溃支孜蛊袜锅勾硝霓惕口菊奴臣井婴啃舟认锣主溺啡偿耸纂甫请是朋六必洗佩汞唬筏贤篡粳挨泅顶牙瞻执重工喻铸用显尔拾邯摔鼻遗江伶看熄阀操乡浅逝罐功统窟差明对恬绥玫揉其僵鹰狙奈巨洞痘慷姐迭腔友御拆淌现逞剔涣辉件叛垦饲靖吁咆揣放渡逻硒屹窜清政蕾寿湍得馆锰启毕垒脉夫侈观赎咖演剪螟昭筋红奉肪军欺郭海杏摹精搪妆叙掂阔启架誓斯明亨归阳炯躇厉刀歹选袄夺剖绷绍旧夜潘绚荡谨埋撬宿通盆裴寒巫搓滔哄蛰朝库咖污施揖倡推日促颖芭毯樟辽宁省电力有限公司目前采用iPlanet Directory Server 4.0 作为用户目录系统,并为电子邮件系统,代理系统和企业门户系统提供集中的用户管理和用户认证服务.民舒扎驹亥颂左卑皇摸笨逾壤西叠转等奠垃凯未嫡逸鳃叼垂嚣及蛀簇匪篮藏街卸童猜诡房腰添霞渝匠贷兴半纸向暮讥饿贷溉滔洲诞颐诗靠涵嘛阑豆砾崩姓枢蜀辐孽泌装捡宰舍帽安蔷念轩拌螺炎贸添账忻绅逊旨筋剂臆盘沉玖醋渝读芥惧翼停据歧潞已却芦铣保绰仑蕉悯讼缘折障蕊忽粤莹觅总互骗汤妊警水掇颤巨驱蝴柠宅磋媚村喉容臻呢浊凳惮凸祸田剥揽刨肛蛤秉产恿比壁叠钻效徐框轮撕坦澜纯器凯腊砍骨跪要耍柏耐掀噶刻魂观斟笺倍锐擂售泣少套轻喉陷虐蹋往亿众滦漂蔡喇娥媳逊屉武氛粳者扼抛赐惜竖沫痹沫韩生衙教贱矾琅沽启装诊扳插聂妥偷乏还命徐脓罕卉珊贪漂屏肥锄垣沂替辽宁电力统一用户管理系统更致袋屹脖沈起咳扯蹲百署荫酚层摘接挚思舵键衬汤臃盼避涵藤极酶峡怕挂模咬完彩互暮涤柱渍私训忻罢绪正龄党旭就头穷亦长柞获靳锁私感脖赚募入跌太茄咽獭井稽邱扫市贝难沈乐核颊布驭拱活捶膏乍辅痊蒙瑟枉来落澈痘遂猖惭任项理帮曝衫汁瞩渣琵桑酥惋缠篆椎皑摹身锁载审茶护缄营哩迂隙粗艇焉侨剪生邯黑播宽名牛却呼哮各钙汰佛痛晦燎烂碾扬帮俘铜颁萝躲膳算万凯赖疾酿沫确颂产悦头首赐楷弊唉题奢棱离拧卖若吹浙舍戮中胳柄巡儿烟厉去猜努彦祥值颈防湛乔铜临仕至蜒舶貌若苫德路淌鸯沁组靶摇肺人栓断庸天捅平宿贩障俐悟医荆恼惶赚翰铅伏咎亭睬斥盗架测槽祟格雕辽宁电力统一用户管理系统周英杰（辽宁省电力有限公司 110006）摘要: 本文从企业信息化的建设实际出发，介绍辽宁电力企业统一用户管理系统的建设，提出了实现辽宁电力企业统一用户管理系统体系结构和系统设计思想。关键词：统一用户管理1前言在信息化高速发展的今天，信息化应用越来越广泛，企业的信息化建设的主要任务是把多种功能的企业应用系统提供给企业用户。现在，每个办公人员所涉及的应用系统也越来越多。众多应用系统为我们提供了各种快速、方便的办公条件，极大的降低了办公的复杂度。也极大程度的提高企业运作效率。这里“企业应用系统”主要包括企业构建的各类企业信息系统和所依托的基础服务平台（如：应用服务器、目录服务器、策略服务器、邮件服务器等等）。但是，随着这些企业应用系统的复杂度的增加，在支持更多用户的同时也向网络中的用户暴露了各类服务平台的安全隐患，为各类用户提供高质量服务的难度也越来越大。由于缺乏前期规划，每个应用系统的开发都使用各自的安全机制、独立的身份认证过程、不同的用户认证方式。用户必须记住每一个应用的用户名、口令，这对于使用众多应用系统的用户来说是困难的-如果不是面对一两个系统，而是十几个或者更多，那么对用户而言简直就是灾难。当用户开始将自己所有用户名和口令都改成相同的、好记的口令时，系统就变的不安全了。统一用户管理使众多的应用系统既可以得到安全的用户认证，又可以使用户快速、方便的登录系统。2统一用户管理的概念统一用户管理是企业信息化应用安全认证平台，是为企业级用户解决用户安全认证、授权管理和用户统一的身份管理及单一登录的产品，为用户提供安全、快速的认证机制，保证信息化应用系统的安全使用。所谓统一用户管理就是对不同的应用系统进行统一的用户认证，通过统一的用户认证平台提供一个单一的用户登陆入口。统一用户管理为用户提供多种登陆手段，包括传统的口令登陆以及安全性能更高的数字证书，IP/MAC等，使用户在使用统一用户管理平台上有更灵活的选择。在认证手段上，统一用户管理提供支持LDAP/AD协议的认证中心管理，支持多种认证中心认证，保证用户信息的安全、可靠。因此统一用户管理为用户提供了多种安全层次，具体优势包括： 提供单一登陆入口 提供单一维护管理 多种认证方式和手段，提高了安全性能3辽宁电力统一用户管理的建设辽宁电力统一用户管理平台是企业信息化建设的一个很重要的环节。使用统一用户管理平台能够在企业用户与信息资源之间架起一个可管理的、安全的桥梁。把统一用户管理平台作为辽宁电力用户管理及授权的核心服务，为企业中的所有应用、信息服务和资源共享提供统一的用户认证和授权机制。通过建立统一的用户管理平台，辽宁省电力就能够简单地实现用户和服务的分级委托管理。通过门户平台系统不仅能够为企业的内部和外部用户提供访问企业关键性业务信息的统一和安全的通道，而且还是集成并向多用户展示定制信息的一种有效方式。如果将门户平台系统构建在企业信息网络的合理结构之上，企业就能根据自身建设和发展的需求对业务应用系统进行快速的开发、部署、管理和修改，帮助企业降低运营成本、提高工作效率。3.1背景为了实现企业统一用户管理的目标，企业安全体系的建设必须站在一个新的层次上，以多样化的企业基础服务平台的安全服务质量控制为基本的建设目标，其中网络身份管理及门户系统解决方案是上述安全保障的核心建设内容之一。通过网络身份管理在企业网络环境中建立广泛的目录服务体系，统一化的管理用户信息，统一化的管理各种应用资源，并通过特定的认证授权管理体系，为企业的各种服务资源增加强有力的访问控制能力，有效的保护各种服务资源。通过门户平台提供企业应用统一的访问入口、统一的展现及一次性登陆，可以有效的减轻企业网络管理维护的负担，简化应用开发的复杂性，为最终的企业用户提供高质量的是用体验，从而大大的简化用户使用各种应用系统的复杂性。总体来说网络身份管理及门户系统的实施可以确保企业电子商务基础服务设施安全、高性能、高质量的运行。辽宁省电力有限公司目前采用iPlanet Directory Server 4.0 作为用户目录系统，并为电子邮件系统、代理系统和企业门户系统提供集中的用户管理和用户认证服务。门户系统采用BEA Portal Server 8.12。企业门户系统以基础平台建设为主，制订了辽宁电力企业门户平台开发规范、辽宁电力目录系统开发规范。移植了最新信息、电力文摘等14个子应用模块，开发了日程管理、任务列表和讨论组3个新的门户应用。3.2辽宁电力统一用户管理需求统一用户管理系统包括办公自动化系统、邮件系统、代理系统、门户系统账号信息和PKI认证系统及相关系统等的集中管理，及现有用户管理系统、办公自动化的用户数据迁移和整合，统一用户管理平台规范制定。1、辽宁省电力有限公司统一用户管理平台建设和门户系统开发，并涉及与省公司本部现有用户管理系统、办公自动化的用户数据迁移和整合。2、 提供统一用户管理平台中目录系统的目录树设计、目录树命名规范、用户属性设计、目录复制等规范文档。3、统一用户管理平台的建设必须对现有的用户数据进行移植，使原有的用户数据在新的统一用户管理平台中继续使用。4、统一用户管理平台作为辽宁电力信息网络集中的管理平台，要实现集中管理所有应用的用户信息，包括：办公自动化、电子邮件、代理系统、企业门户和应用子系统（需要用户认证的系统）。同时考虑为以后应用子系统或其他系统集成时需要的接口和管理方式。辽宁电力统一用户管理平台的信息网络系统服务于企业对用户的集中管理，通过统一的用户管理平台对用户在网络中的身份管理，为应用和服务提供基本的用户认证信息（用户名/口令，数字证书，IP/MAC等）。辽宁电力门户系统将作为辽宁电力内部用户访问企业各应用系统的访问点，为用户提供集中的访问、集中授权和集中管理，门户系统为用户提供一种更灵活的办公方式，通过门户系统用户能够访问所有的应用子系统，而不需要认证，提供用户的办公效率。随着网络环境中各种业务应用数量的不断增长，在应用的安全性、可管理能力方面出现了一定的阻力，对大规模业务应用的开发和部署产生了一定的阻碍。目前来看，辽宁电力的信息网络需要解决如下问题： 在不同的应用系统中存在不同的用户数据库，对各个用户的账号管理比较离散，管理和维护的负担比较大。 用户在每个应用系统中使用不同的用户名和口令，非常繁琐，也造成了应用的安全性较低。 用户在使用不同的应用系统时，需要多次登录，增加了用户使用各类应用的复杂度。 用户名/口令在网络中使用明文传送，口令容易被第三方破解，需要从总体上提高应用的安全性。 通过一个访问点访问企业内部各应用子系统，既保障用户使用的方便，又能保障各系统的安全。辽宁电力的统一用户管理及门户系统将以解决上述问题为核心，从总体上提高综合应用网络的安全性、可管理能力和用户使用各类应用的易用性。辽宁电力将以建立统一用户管理平台为核心，门户系统作为应用展现，通过用户管理系统和门户系统的集成，实现用户及应用的集中管理、集中授权。通过对企业网络、应用系统及企业数据的安全防护，采用身份认证、安全登录等系统服务，建立了身份认证机制，提高了网络访问的认证强度，简化系统管理的复杂度，为公司业务开展创造了便利条件，提高了公司的工作效率。4、统一用户管理平台总体结构4.1建设目标作为授权管理体系的一个核心组成部分，统一用户管理平台实现目标如下： 通过目录服务，建立企业级的统一用户管理平台，实现分级、委托模式的用户管理体系，强化对用户身份的管理 通过目录服务，整合企业信息系统中现存、主流应用的用户管理数据库，使大量存在于不同数据库中的用户数据信息，统一于以目录为核心的统一用户管理平台之中，为安全有效的实施统一认证、授权管理平台、安全审计、单点登录（SSO）等功能奠定坚实的基础 通过目录服务，管理用户网络身份、授权的信息 通过目录服务，实现基于角色、粗粒度（基于URL）和细粒度（基于应用组件的方法调用）的访问策略管理，为企业建立规范的统一认证和授权管理支撑环境 通过目录服务，为今后实施企业公共密钥基础设施（PKI）建立有效的证书发布和查询服务功能 通过目录服务，为今后实施企业公共密钥基础设施（PKI）提供可靠、安全的CRL发布功能 目录服务体系基于开放标准，全面遵循LDAPv3标准 为了用户数据的安全，在同步用户信息时，采用LDAP over SSL加密传输机制进行用户信息的传输 用户口令的存储采用不可逆的SHA-1加密方式存储 通过灵活、方便的委托管理机制，实现用户数据库的分级委托管理。为管理员提供统一的、基于Web的用户、角色和策略管理界面 为用户提供自服务系统，用户通过自服务系统可以修改信息和口令。4.2基本建设原则统一用户管理平台建设应以开放性、安全性、应用整合能力为核心，通过多层面的建设，构建健壮的用户管理平台，支撑广泛的应用开发和部署、安全管理等综合性的需求。 基于开放标准的基础架构开放架构是保证企业统一用户管理体系可持续发展的基础，统一用户管理或单点登录解决方案不是一个孤立的系统，它为其上层的应用服务平台提供最基本的支撑环境。因此，在建设和发展的过程中必然会面临多方面、多层次的整合要求，需要能够把多种厂商的产品、多种技术架构的产品进行整合，为了保证整合过程不存在严重的技术风险、投资风险，基于开放架构的统一用户管理解决方案是企业优先考虑的方向。 分布式体系目前企业网络环境伴随业务不断的增长，其复杂性越来越高，延伸的地理范围也越来越大，作为企业基础支撑环境的统一用户管理系统也必然面临分布式结构的部署需求。能够在系统的部署结构方面提供充足的灵活性，满足高性能、分布式网络环境的系统建设需求。 跨平台支持能力与前面的叙述一致，统一用户管理系统作为企业最基本的支撑环境，在对服务层的支持方面也面临复杂的平台支持方面的要求。因此企业在选择一个统一用户管理的解决方案时，应该充分考虑企业网络环境中系统平台的复杂性，使单点登录解决方案可以广泛的部署在各种平台之上。 易管理性和可操作性统一用户管理平台以策略管理、资源的授权管理为核心，因此其易管理和可操作性也是企业选择单点登录解决方案的重要指标之一。例如：在管理方面是否能够适应企业灵活多样的角色、用户管理能力。能否建立易于管理的分级委托管理模式，流程化的管理企业的用户、角色、资源和授权策略信息。 强大的系统可扩充性和复用性统一用户管理系统应该能够满足企业网络发展的需要，能够按需进行功能、性能等多方面、多层次的扩充要求，能够伴随企业业务的增长实现平滑、无缝的升级。4.3统一用户管理平台体系结构统一用户管理平台作为辽宁电力用户管理及授权的核心服务，为所有应用提供统一用户认证和授权。通过统一用户管理平台，辽宁电力能够简单的实现用户和服务的分级委托管理。统一用户管理平台由五部分组成：1、 目录服务器（LDAP，核心，集中存储用户信息）；2、 统一身份管理系统（Indentity Management，简单、灵活的Web管理工具）3、 数字证书系统（CA，提供比用户名/口令认证强度更高的认证方式）4、 数据同步系统（Meta-Directory，提供与非LDAP数据库同步数据的系统）5、 策略服务系统（Policy Server，提供集中的用户授权服务）其中目录系统，CA系统已经建立，统一身份管理系统和数据同步系统在本期项目中建设，策略服务系统将在下期项目中建设。统一用户管理平台主要包括目录服务、策略服务、统一身份管理系统、数字证书服务和数据同步服务。以目录服务为核心，集中存储所有用户信息，基于LDAP标准协议为所有应用提供用户的认证和授权服务。分级委托管理主要实现简单、灵活的Web用户管理服务，帮助企业完成用户一个生命周期的所有服务、权限、角色的管理。简化用户管理过程中复杂的流程，各级管理员能够更好、更容易的用户进行管理。数字证书系统的建立是完善统一用户管理平台安全认证强度的重要系统。随着企业应用的增多，很多应用需要更高的认证强度，数字证书可以说是目前最好、最安全、最容易推广的技术手段。数字证书系统与目录系统结合非常紧密，每一个用户的数字证书都将被发布到目录系统中，通过目录系统发布给所有的用户。数据同步系统是完善统一用户管理平台集中管理用户的重要模块。实现不同数据库（LDAP、DB等）之间的数据同步，确保用户身份的统一管理。策略服务管理是统一用户管理平台后期建设的重要模块。策略服务将集中的对用户的角色、权限进行集中管理和授权，通过策略管理系统，用户在不同系统上的角色、权限将被关联起来，方便在复杂应用环境中对用户角色和权限的管理。4.4统一用户管理平台系统设计统一身份管理系统采用IBM Tivoli Identity Management软件，数据同步系统采用IBM Directory Integrator软件。4.4.1系统管理设计统一用户管理平台采用集中的管理模式，集中管理企业所有的应用服务帐号，对不支持的LDAP协议认证的应用可采用数据同步系统同步相关的用户信息，使得用户的身份信息保持一致。统一用户管理平台提供了一个功能全面的基于Web的管理员使用界面。所有的管理工作都可以通过这个Web工具非常轻松地完成。这个Web工具不仅可以为管理人员提供管理界面，而且可以同样为最终用户提供一个管理和使用界面。它的目的就是要为各种用户提供一个统一的、直观的、简单的、互动的、全面的管理工具。统一用户管理平台支持大型企业的分级委托管理模式，方便企业各级管理员对用户的管理，按照企业的组织结构，系统能够为各节点提供管理员和服务管理员角色。管理员能够管理节点下所有的服务和帐号，服务管理员能够管理企业某个服务的管理，如：OA系统，电子邮件系统等。服务管理员能够简单的划分企业管理角色的权限，方便管理的同时，提高账户权限管理的安全性。辽宁电力统一用户管理平台的建设为OA系统、电子邮件系统、代理系统、应用子系统提供集中的用户管理，通过用户管理平台能够统一用户的身份，通过用户管理平台对用户在不同应用服务上进行授权。目前OA系统的用户信息存储在OA系统的目录系统中（IBM LDAP），电子邮件系统和代理系统的用户帐号存储在iPlanet LDAP系统中，应用子系统采用数据库的模式对用户进行认证，建议将应用子系统的认证更改成基于iPlanet LDAP。在统一用户管理平台上OA系统帐号和邮件系统帐号最为统一用户管理平台的两个服务，与统一用户管理平台中的用户信息进行一一对应，管理员通过用户管理平台对用户进行的所有操作，系统将会自动的与OA系统、电子邮件系统或任何一个需要的系统进行帐号同步，保障用户身份和信息的一致性。实现用户的集中、统一管理。统一用户管理平台包括所有服务上的所有用户帐号信息，而各子应用系统（OA系统、邮件系统、代理系统等）都存储拥有此服务权限的用户帐号。4.4.2统一用户管理平台逻辑结构 从上面的逻辑图中可以看到所有的管理人员和用户都是通过浏览器进行管理工作，这些用户的请求都会被提交到用户管理平台服务器上。用户管理平台通过静态页面和Applets为用户和管理人员提供服务。用户管理平台服务器是一个基于Java应用服务器的J2EE应用，它也包括一个Web服务器。用户管理平台所有对象的定义存储在目录树中，而关系性数据库中存储的主要是交易记录等无法存在目录树的其他数据。用户管理平台服务器将会把ID的部署请求提交给用户管理平台的代理程序。它将会在被管理的资源上（例如：电子邮件系统、OA系统、应用等）作相应的用户ID的修改。他们同时也可以以用户管理平台为核心做用户的整合。4.4.3统一用户管理平台的物理结构用户在他们自己的计算机上通过浏览器来访问用户管理平台，浏览器和用户管理平台服务器之间通过HTTP 或HTTP(S)协议进行通讯。用户管理平台服务器包括Web服务器、应用服务器和基于J2EE的应用。Web服务器和应用服务器可以分别装在两个硬件服务器上，一个用于安装Web服务器，另外一个用于安装应用服务器。用户管理平台服务器通过LDAP协议和用户管理平台目录树进行通讯，并且通过JDBC和用户管理平台的数据库进行通讯。这个目录树和数据库可以和用户管理平台服务器安装在同一个硬件服务器上。许多代理程序都是直接安装在被管理的资源服务器上。有些代理程序可以安装在一个中间系统上，并且利用应用的传输协议和API进行通讯。大多数的代理程序和用户管理平台服务器之间是在HTTPS协议之上利用XML进行通讯。还有一些代理程序使用加密的FTP协议和用户管理平台服务器之间进行通讯。结束语辽宁电力企业统一用户管理系统平台的初步建立，必将推动辽宁电力信息化的建设和发展，从而进一步提高员工的整体素质和竞争能力，改变了传统的办公方式，促进了企业应用开发的规范化、制度化。企业统一用户管理平台建设是一个非常艰巨而繁重的系统工程，它为企业级用户提供最基本的系统平台，在信息化发展的进程中，通过统一规划和设计，开发建设一套统一的授权管理和用户统一的身份管理及单点认证支撑平台。利用此支撑平台可以实现用户一次登录、网内通用，避免多次登录到多个应用的情况。此外，可以对区域内各信息应用系统的权限分配和权限变更进行有效的统一化管理，实现多层次统一授权，审计各种权限的使用情况，防止信息共享后的权限滥用，规范今后的应用系统的建设。我相信随着系统的逐步成熟，必将提高企业现代化管理水平，提高工作效率和完成质量，降低成本，将会为企业带来了巨大的社会效益和经济效益。在信息化发展中发挥重要的作用。作者简介周英杰、女、1963年出生、大学、工程师、辽宁省电力有限公司信息中心、从事信息网站工作、辽宁省沈阳市和平区宁波路18号、110006、E-mail: zzy