王瑶 何淳真 康莹 燕昊 王瑞

[摘 要] 随着信息化的快速发展，企业信息系统不断增多，用户访问各应用系统需要分别记忆多个系统的用户名及口令，多次登录，影响工作效率。为了实现一键登录，整网漫游，首先需要规范用户管理。在唯一数据源中，对用户信息的注册、分发、授权、变更、注销等动作进行全生命周期的统一管理，并及时同步至各信息系统中，保证各应用系统中用户数据的一致性和同步性。然后通过统一用户身份管理和单点登录技术，为企业各应用系统提供统一入口，避免多次验证。最后介绍了企业实施单点登录时的两种接入方式，以及单点登录集成业务的统一规范，强调了企业实施统一身份认证时的注意事项。这种解决方案帮助企业简化应用系统用户创建及变更的流程，确保各应用系统中用户数据的一致性与完整性，同时实现用户各应用系统间的单点切换。

[关键词] 统一用户管理；统一身份认证；单点登录技术；系统集成

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 01. 082

[中图分类号] TP315 [文献标识码] A [文章编号] 1673 - 0194（2019）01- 0193- 04

0 引 言

随着企业信息化的飞速发展，企业信息系统规模日趋庞大，部分企业建设了门户平台、产品数据管理系统、企业资源管理系统、质量信息管理系统、项目管理系统等信息化应用系统，应用面覆盖了设计、生产、经营、管理等各方面的业务领域，信息化建设也从单一建设逐步过渡发展到集成整合阶段。企业用户的工作领域较广泛，平均每个用户都会经常使用2-3种不同的信息系统。而用户在门户平台和各业务系统间访问，需要多次认证登录不同业务系统，用户感知度差[1]。而且每个信息系统拥有一套属于自己的用户数据，彼此间没有集成交互，需要各信息系统的系统管理员手工创建用户信息，浪费大量人力和时间，数据更新不及时，且无法保证各信息系统用户数据的完整性和同一性。目前迫切需要在企业门户平台和各业务系统之间进行统一身份认证，实现用户的单点登录。所谓单点登录，就是用户验证身份后登录企业门户，当其再访问其他信息系统时，不需要再次进行身份认证就可以直接进入其他信息系统，甚至让用户感受不到系统间的切换[2]。首先建立统一的用户身份管理体系，将各个业务系统的账号进行重新规划，建立统一标准，以实现各业务系统单点登录和统一认证。即在企业内部实行统一用户身份管理，即建立用户管理规范，确认用户信息的权威数据源，对权威数据源用户信息的创建、授权、分发、变更、停用进行全生命周期管理。然后建立同步机制，将用户信息同步至统一用户身份管理系统和其他应用系统，保证人员基础数据的及时性、一致性和唯一性。然后在此基础上，利用单点登录技术建立企业的统一身份认证体系，根据信息系统的集成特点，选择基于Cookie的单点登录认证方式或基于Header的单点登录认证方式，统一集成各类资源和应用系统，避免多次认证，实现一键登录，全网遍历。

1 统一用户身份管理

1.1 规范用户数据源

实施统一身份认证前，企业的用户数据可能存在于各个应用系统中，每一个应用系统都有一套自己的用户数据，没有统一的数据源，用户数据也不尽相同，例如A系统中用户登录账号为拼音，而B系统中用户却是使用工号编码登录，而且用户信息新增或变更的实时性和同步性都很难保证。因此需要规范管理各应用系統的用户数据，实施统一用户管理。

将企业中人力资源管理系统或其他管理人员数据的系统作为用户数据的权威数据源，当人员信息出现新增或变更时，统一用户身份管理系统获取用户创建或修改事件，定期扫描新变更的用户记录。统一用户身份管理系统将这些事件同步给每个连接的应用系统中，各系统根据规则修改相应信息。要求各系统不能私自创建账号或对用户基础信息做出任何修改，保持与权威数据源的数据一致。因此利用统一用户身份管理能够统一管理企业内用户和组织机构的基本信息，并自动地为所有和统一用户身份管理系统集成的应用系统进行用户账号创建、变更、注销等工作。

1.2 用户生命周期管理

如图1所示，一个完整的用户身份生命周期管理包含以下几个阶段：

（a）用户注册：在权威数据源系统（例如人力资源管理系统）中对用户进行注册，确定用户要注册的部门、岗位分配等信息，并在权威数据系统中建立用户账户。

（b）通过接口将用户信息同步至统一用户身份库，统一用户身份管理系统通过对身份库的监控，根据规则同步至统一用户身份管理系统。

（c）账户分发、审批和授权：系统管理员在统一用户身份管理系统中对新增的用户进行审批和授权，分配账户在其他应用系统的使用权限并将账户同步至相关的应用系统中。

（d）变更：当用户的分配部门或岗位、密级等其他信息发生变化后，系统管理员在权威数据源中对用户信息进行修改和更新，然后通过（b）、（c）两个步骤将用户信息同步至统一用户身份库，然后由统一用户身份管理系统统一更新并同步该用户关联的其他信息系统中的账户信息。

（e）密码管理：由统一用户身份管理系统统一接管用户在其他应用系统中的账户和密码信息，密码策略按照企业保密规定统一执行。采用统一密码的方式，即企业门户密码与其他应用系统密码保持一致，在企业门户中集成用户的密码管理模块，用户将企业门户密码更改后，接口会把新密码同步到各应用系统中。

（f）销户：当用户离职以后，首先由系统管理员在权威数据源停用或注销用户账户，然后把用户状态同步到统一用户身份库，再将用户状态推送至与该用户关联的应用系统中，完成企业门户和各应用系统的统一注销用户账户工作。

如图2所示，实现统一用户身份管理系统与其他应用系统、其他目录之间的同步服务，将权威数据源中的用户信息同步至身份目录，再将用户信息同步至企业资源目录、认证目录和各应用系统，从而实现各应用系统用户账号的自动创建、变更和注销，从而代替现有的人工管理账号的工作模式。同时，统一用户身份管理系统能将关键事件等日志信息存储在数据库中，供审计使用。

此外，目录服务中还可以构建项目组概念，根据企业内部需要，如果企业还没有建设项目管理系统，可以在目录中初始化各个项目组，目录服务能够将该项目组的组织机构、项目组成员同步到PDM等协同设计系统中，当项目组撤销、项目组成员变更，项目成员角色变更，都将从目录中自动同步到业务系统中。将来，对于企业内部项目，只需要在目录服务中进行统一维护。通过在目录服务中构建项目统一视图，即可实现在各个业务系统中，项目组信息保持同步。

业务系统与统一用户身份管理系统集成主要是用户和组织机构的集成管理，业务系统的用户和组织机构数据由统一用户身份管理系统统一管理。在业务系统与统一用户身份管理系统集成过程中，统一用户身份管理系统需要与业务系统完成用户组织机构的数据同步。同步过程始终保证由用户与组织信息的权威数据源到统一用户身份管理系统，然后再由统一用户身份管理系统根据权限将用户与组织信息同步至其他相关应用系统中。根据各应用系统的实际情况，可以采用数据库中间表或Webservice两种同步方式。

2 统一身份认证机制

统一身份认证为其他信息系统提供相同的认证策略和认证方式，该策略可以有效识别用户身份的合法性。用户通过计算机登录某个信息系统时，该客户端通过浏览器访问该信息系统的登录页面，获取随机数和认证服务器证书，然后客户端将认证请求和用户证书发送给该信息系统的服务器，服务器转发认证请求和用户证书给认证服务器，认证服务器认证后，将用户证书序列号返回给系统服务器，由系统服务器通知客户端登录信息系统。统一身份认证支持电子密钥、数字签名和用户名/口令等多种认证方式，充分满足用户的安全认证需求。具体认证原理和流程如下图3所示。

对于安全级别要求较高的信息系统，也可以考虑在自身应用系统中额外加入身份认证模块，如二次密码、问题验证和令牌等认证方式[3]。

这种统一身份认证策略，能够解决多个系统分别独立认证的弊端：例如用户需要分别单独登录各信息系统；不能统一认证和授权；多个认证系统增加了管理成本和重复开发的成本等。因此建立统一认证机制对用户实行统一认证和统一授权管理对企业的系统集成是非常必要的[4]。

2.1 单点登录实现原理

当企业信息系统繁多，用户分别拥有各个信息系统的不同用户名和密码，访问一个系统时，输入一套用户名和密码验证登3 信息系统统一身份认证管理标准

所有集成的信息系统在集成到统一用户身份管理系统后，必须遵循以下标准：

（a）业务系统提供门户系统专有的登录验证跳转页面，为了方便后期维护，建议不要复用系统自身登录页面。

（b）业务系统必须禁用密码修改功能，业务系统密码统一在统一用户身份管理系统中修改，然后通过同步机制同步到应用系统中。

（c）业务系统中不能独自添加，修改，禁用，删除用户，如果新注册用户为正式员工，或用户信息发生变更时，必须在用户数据源系统（如人力资源管理系统）中进行新账户注册或数据更新，然后通过同步机制依次同步到统一用户管理系统，再通过统一分配与授权同步到其他应用系统中，否则无法完成在企业门户中的单点登录。

（d）如果业务系统使用统一用户身份管理系统提供的标准组织机构，业务系统组织标准机构的创建，修改，删除必须通过统一用户身份管理系统同步。

（e）用户访问业务系统的验证页面时，验证页面需能解析Cookie中账号信息，以及请求的目标地址。业务系统完成用户认证后，必须能够定向到用户访问的目标地址页面，不能转向到业务系统首页或其他页面。

（f）业务系统在判定用户请求的目标地址时候，应判断所请求的地址是否是系统自身登录页面，如果是，应自动跳转至登陆成功后的地址。

对于CS架构的业务系统，需要业务系统进行改造，通过JSP页面获取到登录信息后，可以实现从JSP页面启动CS客户端，并跟进获取到登录信息登录至CS系统中。

4 结 论

本文提供的统一身份认证解决方案能够帮助简化应用系统用户创建及变更的流程，保持应用系统中用户数据与权威数据源的一致性，确保用户基础信息的准确性，提高整体安全性和企业系统的集成度，同时简化用户操作，改善用户体验度，避免用户记忆多套账号信息，为用户提供一站式、个性化、全面的服务。

主要参考文献

[1]王茜，史晨昱，李安颖，等.基于统一用户管理的办公业务资源系统集成[J].计算机技术与发展，2014（1）：200-203.

[2]胡娟.统一用户管理与单点登录系统的设计与实现[D].北京：北京邮电大学，2014.

[3]王桦，黄绍建，周可，等.基于邮箱的统一用户认证[J].华中科技大学学报：自然科学版，2013（z2）：38-41.

[4]赵菁.基于企业门户统一认证系统的设计与实现[J].信息安全与技术.2012（8）：27-29.

[5]S K Bhosale. Architecture of a Single Sign on（SSO）for Internet Banking[C]//IEF Conference on Wireless，Mobile and Multimedia Network，2008.

[6]張振，朱志祥，梁小江.一种统一用户管理和认证授权方案[J].电子科技，2015，28（5）：140-146.

[7]蔡芳.统一用户与单点登录实现应用系统集成方法研究[J].电脑知识与技术，2016，12（27）：188-190.

[8]付影平，杜程，刘建华.基于SAML单点登录模型研究与设计[J].现代电子技术，2015，38（16）：38-41.