企业信息门户单点登录方案设计docx

1、企业信息门户单点登录方案设计随着云计算和大数据的迅速发展，企业用户应该可以通过自己的 企业信息门户（EIP）网站去访问与之相关的业务系统。不仅可以访 问企业内部的系统，还可以访问与企业相关的客户系统，得到相关的 业务数据1。但无论是企业内部的业务系统，还是外部客户业务系统, 都必须进行身份认证。传统的单点登录（SSO）系统设计方案是针对企 业内部的相关业务系统进行免登录设计的，这种登录模式显然无法满 足现在用户的需求。如何完善传统单点登录系统，木文以某大型制造 企业的信息门户系统为例，提出一种新型单点登录系统设计方案。1企业信息门户系统总体架构设计系统的总体功能概括为:（1）框架功能：建立信息

2、统一访问入口，建立用户目录认证系统，进行个性化配置、日常管理配置、管理报表 配置、安装管理等。（2）协作功能：建立统一协作工作平台、建立统一 搜索引擎、文档管理引擎、日程表/工作列表、讨论论坛等。（3）发布 功能：内容架构定义、配置内容管理系统。（4）整合功能：连接ERP 系统、资金结算系统，进行数据整合、集中展现。（5）公文流转：实现 灵活的办公、办文、办会的事务管理。根据业务需求，将项目任务分 成四个子系统进行建设，各子系统及其建设任务如下。（1）信息门户 子系统，实现各信息系统之间的统一用户认证，建立起统一访问入口。能让用户根据自己的需求创建各自的“企业信息门户群。（2）协同办公 子系统

3、：在“企业信息门户群中，建立多级办公体系、搭建项目团队 工作空间、丰富各种办公协作类应用，形成集团统一的办公协作及知 识资源管理平台。知识管理与培训子系统：构建企业知识文档中心 和企业学习中心，对分散于企业每个员工的知识资料进行有效管理。 数据整合子系统:采用各种整合手段，对ERP系统、资金结算系统、 MES系统等系统的数据进行集成，使“企业信息门户真正成为集办公 信息、协作信息、业务信息、项目信息于一体的“统一信息门户平台。 为了确保统一的入口和对用户登录及使用的透明，集团总部的门户 (portal)系统和下属企业的portal系统都将使用同样的域名，通过下属 企业用户和集团用户设置不同的D

4、NS服务器，解析成不同的IP地址 来实现不同地区用户访问不同的服务器。对于OA、IDS和邮件系统由 于是通过portal门户的单点登录进行访问的，所以只需一次验证即可 跨不同业务系统协同完成一次任务。2.单点登录系统总体设计针对当前EIP系统发展的需要，在企业内部存在大量B/S、C/S 的应用系统，比如资金结算系统、ERP系统、MES系统，以及各种各 样对内对外业务系统，每个应用系统都有自己的认证模块与权限控制 模块，为了实现对这些系统所管理资源的访问控制，真正做到“单点 登录，全网通行的功能。提出一种新型单点登录，使之更为实用、 可靠地应用于EIP系统中。单点登录系统总体设计方案划分为“访问

5、 接口层、“目录服务层以及“目录接口层三个层次，如图2所示。接 口层的访问：为应用程序提供集中认证服务的验证接口模块。针对不 同模式的应用系统，分为3个功能模块：SharePointServerSSOs基于 SSLCA安全的SSO认证中心和ADSI/LDAPInterfaceo目录服务层：目录 服务层是基于微软活动目录服务技术实现的。目录服务层为企业统一 验证和资源管理提供一个基准记录，在目录服务器内包含了企业内用 户和各种资源信息以及访问权限信息，为各种应用系统的验证过程提 供一个参考标准，使企业内部有统一权限的管理基础，是实现SSO功 能必不可少的部分之一。轻量级目录访问协议的访问：轻量级

6、目录访 问协议(LDAP)访问接口是为了和其他支持LDAP的目录服务器以及 用户管理系统进行交换的接口。这是因为企业在电子商务全而开展的 过程中，和其他职能部门、企业和同级企业门户网站之间往往有相互 访问的需要。通过标准的LDAP协议，使SSO系统能够和其他职能部 门的目录服务系统和人力资源系统等可以管理用户验证信息的系统 进行交互，使他们之间相互验证成为可能。3SharePointServerSSO 设计基木思想是建立一个加密的数据库，把用户的认证信息，存到这 个数据库中。当成功地验证了登录SharePointServer (SPS)网站的用 户身份以后，就可以从加密的数据库中，获得用户的信

7、息，从而用来 访问其他的服务器或者一些第三方的服务器2。在第一次访问与企业 应用程序集成的WebPart时，如果用户的凭据还没有存储在单点登录 数据库中，那么该用户将被重定向到一个登录表单，这个表单提示用 户输入访问企业应用程序所需要的适当凭据。登录表单中的字段编号、 顺序和名称由管理员在应用程序定义中配置；登录表单就是基于这些 配置设置自动生成的。还需要在WebPart中编写代码来检查数据库中 是否存在凭据，并在必要时将用户重定向到登录表单。用户提供的凭 据然后被存储在凭据存储区中，并被映射到与该用户的SPS帐户相对 应的Windows帐户。之后该用户将被重定向回原先的WebParto We

8、bPart中的代码然后以适合应用程序的方式从凭据存储区向应用程 序提交凭据，同时检索必要的信息，随后在WebPart中向用户显示这 些信息。4基于CA的SSO设计该设计是为解决企业内部或外部B/S架构的网络应用系统中身份 认证和安全传输问题3。使基于Web的应用程序能够通过一个通用 的接口，实现“单点登录、即可运行的功能。采用SSL客户端代理和 SSL服务器代理机制，使用证书机制认证用户身份，将验证后的用户 身份信息传递给应用系统，同时在原有的B/S客户端与服务端之间建 立一条高强度的加密通道，实现数据的保密性和完整性，保证数据的 安全传输4。该子系统主要包括客户端用户操作界面，客户端登录代

9、理，CA认证服务器，登录凭证信息库，LDAP目录服务器，SSL通信， CA认证机构几个部分。LDAP目录服务器用来保存用户的数字证书、 证书注销列表以及用户的基本信息等。5ADSI/LDAPInterface 设计ADSI/LDAPInterface(ActiveDirectoryServicelnterfaces/LightweightDirectoryAccessProtocol ADSI/LDAP接口)是基于业界标准目录访问协议的接口，也是微软活 动目录技术提供的，让应用程序实现SSO功能的标准接口5。在将 来开发的应用系统中，只要利用ADSI/LDAP接口访问的SSO系统目录 信息，同

10、步其验证信息，就可以实现SSO的统一登录。ADSI/LDAP接 口意义在于为将来的应用开发提供了符合业界标准的标准接口，是将 来新应用程序应当遵循的验证接口，应用系统不仅仅让用户拥有单点 登录功能，还使应用系统之间的信息和功能交换可以较容易地实现。 LADPSERVER用来保存和管理用户凭证，LADPDIRBASE是设计的重要 部件。LADPDIRBASE的核心部件是目录信息树。目录中用来存储用户 基本信息、部门信息及用户权限角色。当用户第一次登录完成后， LDAPSERVER就获取了用户的UID和在部门的角色信息，并将其保存 在凭证信息数据库DB中，以后此用户就可以在规定的角色范围内免 登录相应的应用系统。6结束语本文通过以某企业信息门户需求为例，指出了当前企业单点登录 的不足之处，提出了一种新型单点登录方案，该方案使用了 SPSSSO. 基于CA的SSO和ADSI/LDAPInterfece等技术协调完成用户登录认证。 该设计方案己经成功运行在