用单点登录实现企业应用系统整合
时间:2020-12-10 08:03:59 来源:柠檬阅读网 本文已影响 人 
(内蒙古电力勘测设计院,内蒙古呼和浩特010020)
摘要:文章介绍了通过实施建立企业级的单点登录系统和安全防护系统,为企业用户提供统一的信息资源认证访问入口的过程。
关键词:SHAREPOINT;
单点登录;
企业业务整合
中图分类号:TP311.52 文献标识码:A 文章编号:1007—6921(2009)21—0003—01
单点登录(SingleSignOn),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。内蒙古电力勘测设计院是一家国家甲级电力勘测设计企业,在目前应用的多个业务系统中,均为直接用于生产管理或企业管理的系统,每个员工在工作过程中都会经常使用与自身业务相关的多个应用系统,包括用于日常办公的生产经营管理系统、邮件系统、考勤管理系统、图档系统等,这些业务系统分别为员工创建账号和密码,拥有各自独立的用户信息;
相对应的,每位员工则必须记住多个用户名和密码以访问不同的应用。
1 目前存在的问题
1.1用户使用不便
用户必须设法记住若干个用户名和密码,并在登录每个业务系统时使用,要访问其他系统的资源则必须进行频繁的切换。
1.2管理维护复杂
IT部门需单独维护每套业务系统的用户身份和存取管理,每一次用户情况发生变化都必须逐一在各个业务系统中修改用户信息,分配角色权限,任务繁重且容易出错。
1.3安全隐患严重
要每个用户都记住自己的多个用户名和密码是一件非常头疼的事情。用户常常会设置一些便于记忆的简单密码,例如生日,甚至一套简单密码在多个系统使用,造成保密强度降低。更有人将密码写成纸条放在办公桌上,给这些业务系统造成极大的安全隐患。由于维护工作头绪繁杂,管理员极有可能疏忽了在某业务系统中禁用离职员工的账号,造成相应的商业信息被非法访问。
单点登录平台就是为了解决上述问题而提出的。为企业建立可靠、安全、保密的业务系统网络环境,保证企业业务不受破坏和干扰。单点登录平台能够简化使用流程,用户只需要登录一次,即输入一次统一的用户名称和用户密码,就可以多次使用多个应用系统。只有达到系统安全策略边界条件时,用户才需要重新登录。
2 平台的选择
总体上讲,在选择单点登录系统平台时主要考虑如下三个关键因素:信息系统的安全,用户效率,IT管理。每个用户对多个系统存在统一的单点登录需求,已有多个应用存储用户身份信息,需要解决不同系统之间的身份信息的自动同步或集成。
基于以上3个原因,考虑如下产品平台:SharepointPortalServer(以下简称SPS)、BizTalk2004、HostIntegrationServer。
在这些以集成为中心的平台产品中,广泛使用了ESSO技术,实现单点登录。其中SharepointPortal的基于WindowsServer2003的SSO的解决方案是通用安全的企业级SSO基础架构,既适应当前复杂的IT应用环境,同时具有良好的扩展性,支持未来应用的集成和扩展。最主要原因是SharepointPortal是Microsoft的产品,与MicrosoftOffice的结合相当紧密,所以最终选择了SharepointPortal平台。
3 单点登录的实现
3.1 SPS的部署及开发
单点登录系统的部署包括软件系统和数据库的安装,其中,系统服务器安装单点登录门户系统中的所有软件程序,同时,安装数据库服务器,单点登录门户系统中将把数据库结构建立在此数据库中,并且系统中的软件程序将访问此数据库。
系统主要用SPS中的SSO模块实现单点登录。
SPS中的SSO模块主要作用是帮助完成SPS和第三方应用程序的用户登录账号之间的映射(Mapping).例如,假设SPS采用的是域用户信息,而要集成的第三方应用程序B采用是另外一套用户登录数据,那么SPS中的SSO可以帮助我们完成SPS和应用程序B之间这两套不同的用户登录账号的映射,从而避免二次登录。
下面说明用映射方式实现单点登录的方法。
应用SPS中的SSO的一般过程是,首先在“SharepointPortalServerSSO管理”中配置好SSO应用程序定义→创建并保存一系列SPS和第三方系统用户账号的映射对→开发自己的SSOWebPart,用映射账号完成登录第三方系统的操作并获取,显示相关数据→最后在SPS页面上部署此WebPart完成集成。
用户在第一次访问与企业应用程序集成的Web部件时,如果用户的凭据还没有存储在单一登录数据库中,那么该用户将被重定向到一个登录表单,这个表单提示用户输入访问企业应用程序所需要的适当凭据。登录表单中的字段编号、顺序和名称由管理员在应用程序定义中配置;
登录表单就是基于这些配置设置自动生成的。开发人员需要在Web部件中编写代码来检查数据库中是否存在凭据,并在必要时将用户重定向到登录表单。用户提供的凭据然后被存储在凭据存储区中,并被映射到与该用户的SharePointPortalServer账户相对应的Windows账户。之后,该用户将被重定向回原先的Web部件。Web部件中的代码然后以适合应用程序的方式从凭据存储区向应用程序提交凭据,同时检索必要的信息,随后在Web部件中向用户显示这些信息。
为了不改变用户的操作习惯,同时保证系统的可扩展性,SPS系统提供统一的用户接口,便于进行现有应用系统与单点登录系统的整合,实现统一认证和单点登录。
3.2业务系统的整合
为了实现单点登录,其他业务系统需要进行:在WEB服务器上安装安全WEB插件;
按照统一接
口规范增加或修改业务系统的身份认证流程。
4 平台作用
系统在应用过程中取得了很好的效果,在企业中实施了单点登录系统后,无论对于普通员工还是对于系统管理人员的日常工作都带来了以下明显的变化:
用户使用应用系统时,能够一次登录,多次使用。用户不再需要每次输入用户名称和用户密码,也不需要牢记多套用户名称和用户密码。单点登录平台能够改善用户使用应用系统的体验。
系统管理员只需要维护一套统一的用户账号,方便、简单。相比之下,系统管理员以前需要管理很多套的用户账号。每一个应用系统就有一套用户账号,不仅给管理上带来不方便,而且,也容易出现管理漏洞。
开发新的应用系统时,可以直接使用单点登录平台的用户认证服务,简化开发流程。单点登录平台通过提供统一的认证平台,实现单点登录。因此,应用系统并不需要开发用户认证程序。
5 结束语
几乎所有企业都存在引言中提到的问题,其主要原因是缺乏统一的用户登录平台。单点登录可以很好的解决这些问题,实现应用系统的整合。
[参考文献]
[1]李兰友,杨晓光.VisualC#.NET程序设计[M].北京:清华大学出版社、北京交通大学出版社,2004.
[2]杜亮.亲密接触ASP.NET[M].北京:清华大学出版社,2002.
