企业信息门户与统一的用户安全认证体系文档格式.docx
《企业信息门户与统一的用户安全认证体系文档格式.docx》由会员分享,可在线阅读,更多相关《企业信息门户与统一的用户安全认证体系文档格式.docx(7页珍藏版)》请在冰点文库上搜索。
如图1所示。
1.1用户接人层
企业门户支持各种有线、无线的网络接人方式,用户既可以用PC机、也可通过PDA手机等移动终端访问企业门户。
1.2门户系统
提供用户访问的安全控制手段、个性化定制、内容管理、协同力、公和门户相关服务功能等应用,具体包括:
(1)用户管理:
提供企业门户用户信息的管理手段,建立电力企业统一的目录系统,为实现通过门户访问企业内资源的单一登录机制提供人员信息基础。
(2)认证管理:
支持多种认证方式,包括静态密码、动态密码、数字证书等,对用户访问进行身份认证。
同时可以直接利用已有系统中的用户帐户信息进行身份认证。
(3)系统与安全管理:
企业门户所承载的应用与内容大多数都是企业的敏感信息,系统安全是需要首先考虑的问题。
通过认证、加密、授权等3个方面确保接人企业门户的业务应用系统的安全;
同时,采用负载均衡、容灾、备份等措施保证企业门户自身的高效和安全可靠。
(4)访问策略管理:
为用户访问企业门户提供信息访问权限控制、访问渠道管理等多种功能,少l定义个性化服务的访问策略。
如员上对内部的各种应用和信息是否在其门户桌面上可见,是否允许其访问等,就是通过策略管理来实现的。
策略管理是门户其他功能(安全、个性化展示、定制等)的基础。
(5)个性化服务:
在系统统一控制管理的基础上,为员工提供个性化的管理平台。
访问者可以根据自身工作性质和对企业资源的访问需求,设置个性化的访问界面,并通过这种个性化的服务查阅、管理相关信息。
(6)内容管理:
企业门户可以对各种结构化和非结构化的数据(如业务数据、网站新闻等)进行处理,识别各种关系型和OLAP类型的数据库。
(7协同办公:
提供在线人员感知、即时消息、网络会议室等功能和信息。
(8)搜索服务:
企业门户不但可以整合Tnternet上的各种搜索引擎,也可对门户中的信息进行综合搜索。
(9)虚拟门户:
企业门户提供在一个物理实体上建立多个虚拟门户的功能,使公司各部门、下属单位都可以建立自己的门户。
举例来讲,假如在某个网省公司。
已经实现了大多数业务应用系统数据的大集中,并且在省公司也建立了规模相对较大的企业门户,在这种情况下,其下属单位就不必再建设自己单独的门户,而是直接利用省公司门户的物理设备,采用虚拟门户的方式来访问相关信息。
利用虚拟门户将明显减少建设资金的投入。
1.3企业应用系统
企业应用系统包括电力企业内部原有的各应用系统,它们主要通过单点登录和应用集成来实现门户内容的整合。
2统一的用户安全认证体系
2.1统一用户目录
统一用户日录是用户安全认证体系的基础。
它是个独立的目录系统,可扩展、可纵向连接。
为保证一致性,使日录信息能在公司系统内进行同步,应进行目录树结构和目录schema的统一规划设计。
2.2身份认证
身份认证是指通过多种方式对用户身份进行验证,确保个人身份的真实性。
用户安全认证方式分为基本认证、表单认证、Kerberos认证、客户证书认证、IITTP头认证、工P认证等。
其中基本认证、表单认证、Kerberos认证、客户证书认证主要为最终用户提供;
IITTP头和IP地址认证主要用于计算机已经处于安全级别比较高的位置,简化认证流程。
(1)基本认证(BasicAuthenticate):
是按照rfc2616(超文本传输协议HTTP/1.1)规范要求,由认证服务器向客户端发送“WWW-Authenticate”头,客户端将用户名和密码提供给认证机制的标准方法。
由于传输的密码没有加密,通常需要和HTTPS配合使用.以提高安全性。
(2)表单认证:
因为大多数B/S系统都采用了表单的方式来提交用户身份的认证请求,所以这种用法最多。
这种方法可从认证服务器产生定制的HTML登录表单,而不是在基本认证期间产生标准的登录提示。
(3)Kerberos认证:
几乎所有的LDAP服务器都支持Kerberos认证,采用Kerberos认证的好处是用户密码不会在网络上传送,防止密码泄露。
如WindowsActiveDirectory支持Kerberosv5认证协议,采用Kerberos认证主要是解决Windows域用户自动认证问题。
登录Windows的用户可以将Kerberos票据发送到认证服务器,认证服务器再联系ActiveDirectory,实现用户自动认证。
(4)客户证书认证:
是利用SSL协议,由客户出示客户证书来达到识别用户身份的目的。
客户证书可以导入IE浏览器。
为了加强安全性,客户证书还可存放在U盘或智能片中以防止被盗用。
客户证书中包含有客户所处目录服务器(LDAY)的位置信息,目录服务器也可以存放有客户证朽,当认证成功时,认证服务器可以获取一个用于表明用户身份的凭证,根据凭证授予该用户的许可权和权限。
由于客户证书采用公私钥机制,用户不需要记忆自己的密码,身份识别信息不容易被盗用,安全性较高。
在河南电力OA系统中,有一部分重要用户拥有数字证书,采用的就足这种认证方式。
(5)HTTP头认证:
客户机提供的信息通过定制的HTTP头传递给认证服务器,认证服务器信任此定制的HTTP头数据是先前认证的结果,并由认证模块来进行认证。
(6)IP认证:
IP认证主要用来简化认证手续或对计算机设备认证。
由于IP地址容易伪造,所以IP认证主要用于企业内部等网络安全级别已经比较高的场合。
认证服务器使用http-request参数确定计算机的身份。
3单点登录系统的应用
单点登录(SingleSignOn,简称为SSO)功能是企业门户中统一用户安全认证体系的典型应用。
简单地讲,单点登录指的是:
登录1次,即可访问多个应用系统。
企业门户中,统一的用户安全认证体系,包含3个重要的组成部分:
统一用户管理、用户授权管理和单点登录的接入。
3.1统一用户管理
在整个单点登录系统中占据重要地位,而一个真工意义上的统一用户管理平台必须具备数据统一、服务统一、管理统一、同步用户数据等功能。
数据统一:
包含目录结构和格式的统一规划和初始化数据的清理;
服务统一:
提供标准化服务,用于目录系统内部以及外部应用系统和目录系统之间的交互;
管理统一:
使用尽量少的业务人口来进行用户数据的维护,以确保用户数据的唯一性;
用户数据同步:
包含不同业务应用系统之间用户信息的同步,以及跨域认证时不同目录树之间用户数据的同步。
对于它的部署方式,般可以在公司系统内建立统一的身份目录,有选择地进行横向、纵向的用户信自、同步,为单点登录提供人员信息基础。
河南省电力公司企业门户于2004年正式投入运行。
对于企业门户用户的管理,刚开始以人力资源管理系统作为权威数据源,企业门户的用户来源于人力资源。
也就是说,只有当人力资源系统中的用户发生变化时,用户变更信息、才会同步到企业门户的LDAP服务器中,企业门户中的用户才会随着变化。
但在实际应用中,发现人力资源系统用户信息的变更不太及时,影响了门户用户的正常登录。
而OA系统的用户信息、相对更新速度快,也比较准确,所以改将OA系统作为权威数据源,实际效果良好。
3.2用户授权管理
用户授权有3种方式:
规则授权、委托授权和开通服务。
(1)规则授权是指基于规则的授权,系统可以根据商业规则和用户属性,动态地授权用户对门户资源的访问。
(2)委托授权为Portlet、用户、授权等实现委托管理,委托授权服务判断用户是否有访问后台资源权限,是由ACL和被管理资源以及它们之间的对应关系共同来完成的。
(3)开通服务是指新员工人职、职位变迁飞员工离职等这些所有的变化时,都涉及到对用户在各个应用系统中的权限变化,在统一的开通服务中进行修改配置,从而可以实现用户的生命周期管理和资源的生命周期管理。
3.3接入方式
目前电力企业内部各应用系统从技术架构上可以分为B/S和C/S两大类,随着信息技术的发展,基于B/S结构的Web应用逐步成为以后应用开发的主流技术。
下面,只对B/S应用系统在单点登录系统中的接入方式做分析。
接人方式大致分为3种,分别对应于不同的情况:
对企业内部应用,可采用模拟应用系统登录的方式;
对互联网应用,可使用用户自助的接人方式;
对企业门户级联等其他有特殊要求的应用,就可以采用第3种方式,改造原有应用系统的认证方式。
3.3.1模拟应用系统登录
(1)自动填表登录应用系统:
对于大多数B/S应用系统,通常会提供一个表单页面作为系统的登录页面。
在用户通过单点登录系统的身份认证后,当用户第1次访问某应用系统时,系统要求在表单中输入身份证明,如果这些信息是准确的,则会被自动存储在单点登录系统中。
以后,当用户通过单点登录系统的身份认证再次访问该应用系统时,单点登录系统会自动将用户名和密码填人表单并提交页面,使用户自动登录该应用系统。
在河南电力企业门户中,对企务信、财务管理、电力营销、生产MIS等大多数应用系统采用了这种自动填表的登录方式。
(2)发送HTTP头登录应用系统:
在用户通过单点登录系统身份认证后,单点登录系统将包含用户身份信息的HTTP头发送到应用系统,应用系统获取HTTP头中的用户身份信息,决定是否允许用户登录。
通过HTTP头,既可以利用HTTP协议中规定的基本认证方式登录应用系统,也可以使用单点登录系统与应用系统之间约定的头信息。
在河南电力企业门户中,OA系统和企业门户事先约定了一定格式的HTTP头信息,OA系统的普通用户采用了IITTP头的方式来接人单点登录系统。
以上介绍的这2种方式,用户信息可以在内部的各业务应用系统中获得,用户可以纳入统一目录管理之中,由统一目录进行不同业务应用之间用户信息的同步。
下面要介绍的用户自助方式主要适用于无法收集用户信息,且无法进行改造的系统。
3.3.2用户自助
对于互联网邮件系统,它们都具备私有的用户管理机制,而比无法对其进行改造。
为了实现这些邮件系统的单点登录,可以对不同的邮件系统的Web登录页面进行分析,开发统一的邮件系统关联模块,模拟邮件用户登录的功能。
门户用户使用时,首先需要在该模块中设置个人的用户名和密码,当用户通过邮件的单点登录功能登录该邮件系统时,登录模块得到用户预先设置的用户名和密码,随后发起登录请求尝试登录邮件系统。
当然,每次用户修改夸录密码,需要在该登录模块中再次修改登录密码。
通过用户自助的方式,河南省电力公司成功整合了网易、新浪、雅虎、HotMail等多种常用的互联网邮件系统。
3.3.3改造原应用系统的认证模块
对于有特殊要求的应用,可以改造原应用系统的认证模块,利用门户系统提供的统一认证平台实现不同业务应用系统的单点登录。
在实施河南省电力公司与国家电网公司企业门户级联时,采用了这种方式,即把河南省电力公司企业门户的认证模块进行了相应修改,来适应国家电网公司统的要求。
4结语
总的来讲,有了统一的用户安个认证体系做基础,分析各应用系统的特点,选择合适的方法,对应用系统进行加工和集成,一定会搭建出一个规范、实用、安全的企业门户,为企业管理和领导决策提供有力的支持!
升级会员 