黄飞飞

（中石油西南油气田分公司 通信与信息技术中心，成都 610051）

基于SOA架构的企业统一用户身份认证平台研究

黄飞飞

（中石油西南油气田分公司 通信与信息技术中心，成都 610051）

为了解决企业多个自建信息系统资源目录不统一的问题，西南油气田引入了SOA架构，从而实现将“烟囱式”部署的各类信息系统所提供的服务逐步进行集成与整合的目的。文中基于SOA框架，构建了一个包括单点登录、统一身份与认证管理以及业务角色分级授权等模块的统一用户身份认证平台。通过该平台将身份认证功能进行服务化，对于新建系统而言可以复用该功能组件，从而节省部分软件模块的开发成本。

面向服务体系架构；企业服务总线；统一身份认证；分级授权；角色

0　引言

随着西南油气田公司信息化建设的持续推进，软件应用系统日益增多、应用模式趋于复杂，这些应用系统一方面促进了企业在生产组织方式上的转变，极大地提高了生产效率、降低了管理成本；另一方面在信息资源目录的统一、用户身份认证的管理以及操作权限的角色定级上暴露出诸多问题，直接影响着系统自身的安全性和可控性。

为了集成现有的软件应用系统，实现信息资源优化配置，西南油气田公司引入了SOA技术架构，并通过相关组件搭建了SOA基础软件平台。在此基础上，进行统一用户身份认证管理的研究并构建一个统一的平台，不仅可以解决信息系统资源目录分散，授权认证复杂的现状，还能够节省后续新建系统用户管理功能模块的开发成本。

1　SOA软件系统架构

数据孤岛是最普遍的形式，存在于所有需要进行数据共享和交换的系统之间［1］。随着企业计算机技术运用的不断深入，不同软件之间，尤其是不同部门之间的数据信息不能共享，即产生孤岛效应［2］。比如勘探业务和开发业务的衔接部分相当薄弱，大部分时间需要人工进行处理，这就是系统孤岛。人们为了解决上述问题，设计出了一种面向应用服务的软件系统架构（SOA），遵循SOA观点的系统必须要有服务，这些服务是可互操作的、独立的、模块化的、位置明确的、松耦合的，并且可以通过网络查找其地址［3］。

2　西南油气田SOA总体技术架构

如图1所示，目前西南油气田正在建设以IBM SOA基础软件为核心的数据整合与应用集成平台，该平台总体分为三层：底层通过ETL工具以EPDM数据模型为标准进行业务的集成和统一发布；中间层通过企业服务总线（ESB）和业务流程管理（BPM）工具实现数据应用和业务应用的拆分、重组和注册发

图1　西南油气田SOA总体技术架构

3　西南油气田统一用户身份认证平台总体技术架构设计

西南油气田采用了IBM SOA基础软件平台实现应用系统的整合，而用户身份认证则是应用系统整合的一个基本平台。考虑到西南油气田公司的现状和未来信息系统建设的需要，在设计总体架构时，充分考虑了统一身份认证和应用系统授权功能的紧密结合，同时考虑了西南油气田现有信息化资产和未来新建信息化资产的有机整合，提出了多种认证方式相结合，业务系统权限统一管理的统一用户身份认证平台体系。

如图2所示，设计了用于前端管理的统一身份认证平台与用户角色权限管理平台。前端通过统一管理组织机构、用户、角色、权限、应用系统等页面，结合认证服务和单点登录功能，实现统一身份认证；后端通过提供接口，暴露服务的方式，为应用系统提供模块、权限管理功能。

图2　西南油气田统一身份认证平台架构

3.1单点登录技术架构

单点登录是整个统一身份认证管理的第一道门户，单点登录可以分为真实单点登录和伪单点登录两种大类。本文在单点登录模式的选取上，考虑采用真实单点登录和伪单点登录相结合的方式。一方面，由于集团统建系统绝大多数情况下无法改造其登录界面，因此无法直接实现真实单点认证功能；另一方面，单独采用伪单点登录方式也存在诸多问题，例如：URL方式明文传输非常不安全；门户凭证数据库方式涉及一定的改造并且由于AD域管理上的限制，无法获取全部用户名和账号等。那么对于集团统建和无法改造的系统最直接的办法就是采用浏览器缓存的方法进行表单代填。

对于新建的自建系统以及可以改造的系统，通过认证中心发布令牌的方式实现。系统自身的登录认证模块需要进行一定的改造，能够解密令牌，同时与认证中心进行交互，采用此项技术是风险较低，安全性可以得到保障。

3.2统一用户管理技术架构

在解决了单点登录问题之后，就要解决统一用户管理的问题。每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样［4］。当用户需要使用多个应用系统时就会带来用户信息同步问题［5］。用户信息同步会增加系统的复杂性，增加管理的成本。

日志管理等功能（如图3）。由于西南油气田在统一用户管理上，还有一套主数据管理系统，因此用户信息和组织机构信息的维护可以完全在主数据系统中统一进行维护，但是用户管理平台在主数据基础上应该有一些扩展功能，如版本管理等，基础数据全部由主数据管理系统进行维护。

图3　统一用户管理平台功能设计

3.3业务系统权限管理技术架构

建立统一的业务系统权限管理平台，可以对权限管理功能进行复用，统一开发规范和管理规范，节约开发成本，对后期维护也更加方便。从总体功能上来说，业务系统权限管理技术架构和一般业务系统权限管理模块的功能是基本相同的，最大的区别在于业务系统权限管理的架构不仅要实现权限管理的功能，还要能够通过API、WebService等多种方式把这些功能共享给其他系统使用，并且在统一管理上还需要多种设置。

4　结语

通过完成上述三个平台的搭建，实现了用户通过统一认证平台对企业内部各类不同信息资源的访问，同时也确保了系统自身运行的安全可控。认证平台通过统一用户管理平台及相关认证技术获取用户的信息，再到统一业务系统权限管理平台上获取相应的业务系统权限，最终返回的结果是用户所有的用户信息、组织机构信息、业务系统角色权限信息这样一个全局的参数［7］。这个全局的参数可以用于整个应用系统集成的功能当中，无论是前端P ortal的显示，还是后台BPM的流程管理，对于日后油气田大量应用系统的集成具有基础性作用。

主要参考文献

［1］冯建军.企业信息孤岛现象剖析［J］.中共山西省委党校学报，2007 （6）：82－83.

［2］王明阳.信息孤岛问题介绍［J］.新课程学习：社会综合，2012（3）：9－ 10.

［3］李华.面向服务的教育信息系统体系结构的研究［J］.煤炭技术，2010 （4）：180－182.

［4］李海山.Web单点登录技术的应用研究［D］.阜新：辽宁工程技术大学，2009：34.

［5］林巧，王兰.基于JAAS的单点登录系统设计及实现［J］.伊犁师范学院学报：自然科学版，2010（2）：57－59.

［6］张晞，魏胜能.单点登录在学校门户中的实现［J］.职大学报，2008 （2）：83－85.

［7］孙月洪.统一身份认证在数字化校园中的作用与实践［J］.廊坊师范学院学报：自然科学版，2009（2）：37－39.

10.3969/j.issn.1673-0194.2016.19.033

F270.7

A

1673-0194（2016）19-0056-03

2016-07-14

黄飞飞（1982-），男，四川成都人，工程师，硕士，主要研究方向：网络规划信息安全、数字化油气田。布；顶层通过门户应用管理，实现应用界面的整合和集成。