钟睿

（中国铁建昆仑投资集团有限公司 四川省成都市 610041）

1 项目背景

在传统的企业信息系统建设中，一般采用按业务类型分散式地建设各业务系统。与传统分散的各业务系统相比，建立统一的企业门户可以为企业信息系统提供稳定的、可伸缩和可靠的基础和框架结构。能够为最终用户提供更个性化的功能，更直观和易用的界面，可以简化用户的使用并提高工作效率。另外还可作为信息化管理工具，让企业管理者能够了解企业的经营状况，实时调整企业的运营。企业的领导、员工都能利用此门户找到相关的信息，实现业务协作，提升工作效率。实现“以业务功能为驱动，以服务为导向”的企业信息化管理理念。

2 单点登录是建立企业门户的基础

企业建设的应用系统越多，其所包含的开发技术就越多，这种技术异质性环境的影响也越大。企业门户已经成为应用系统集成领域的主导技术，可以轻松跨越底层技术的异质性带来的麻烦。融合各业务系统的组织架构、人员信息、基础数据、业务信息、消息推送等相关资源，首先需要解决的是各业务系统账户的身份认证问题，这就需要通过单点登录技术来实现。

2.1 单点登录机制介绍

传统的分散式信息系统，用户需要分别登录到各自系统内才能进行相关业务办理，每个业务系统有其独立的组织架构体系和用户名、密码，用户必须记住这些用户名和密码才能使用相应的系统。从系统安全、系统管理、用户方便性角度来说，利用单点登录技术建立的企业门户集成了所有的业务系统，并且每个员工只需一个用户名和密码即可登录所有授权的业务系统，实现对用户账号的集中管理，这就是单点登录系统（Single Sign On），简称为SSO。

2.2 单点登录的意义

以人力资源系统的组织架构和人员信息为基础建立的单点登录系统，可以集中管理企业所有信息系统的用户帐户。从任何一个系统登录后，用户都可以直接访问其他业务系统的授权资源，完成对用户身份的统一认证。为实现各业务系统要素的深度整合奠定了良好的技术架构，也为未来信息系统的建设明确了统一的用户管理开发框架，避免重复投资。并且从技术实现角度，进一步加强了系统安全，防范系统性风险。

3 OpenID技术方案与应用价值

3.1 建立基于OpenID2.0技术架构的单点登录系统

随着系统集成新技术的发展和企业信息系统建设需要，使用成熟的OpenID2.0 技术来实现SSO 系统是一个重要的发展方向。OpenID2.0 是一种公开化的技术规范，得到了例如Google 还有腾迅等公司的大力支持。

3.1.1 OpenID2.0 技术介绍

OpenID2.0 是一个以用户为中心的数字身份识别框架，它具有开放、分散、自由等特性。同时OpenID2.0 又是一个去中心化的网上身份认证系统，任何网站都可以使用OpenID2.0 来作为用户登录的一种方式，任何网站也都可以作为OpenID2.0 的身份提供者。OpenID2.0 既解决了统一身份登录的问题而又不需要依赖中心性的网站来确认数字身份。

图1：企业微信扫码登录接入流程

图2：企业微信消息推送流程

OpenID2.0 的创建基于以下概念：既可以通过URI(又叫URL或网站地址)来认证一个网站的唯一身份，也可以通过这种方式来作为用户的身份认证。由于URI 是整个网络世界的核心，它为基于URI 的用户身份认证提供了广泛的、坚实的基础。使用OpenID2.0,你要访问的网络资源(URI)就是你的用户名，而你的密码安全存储在一个OpenID2.0 服务器上[1]。

3.1.2 OpenID2.0 技术架构的单点登录系统

通过对OpenID2.0 技术的简单介绍，可以看到采用该技术可以完成各项系统功能的同时，对将来的全网整合也有很好的前瞻性。

（1）OpenID2.0 技术架构实现的单点登录系统是通过请求令牌和访问令牌来实现的，用户登录访问任意系统时候，都会获取到请求令牌和访问令牌，这个就并不要求用户必须从指定的入口进行登录，实现业务系统访问其它业务系统的数据变为可能。

（2）用户名密码只会在用户和认证服务器之间进行交流，并且认证服务器我们是采用HTTPS 进行传输的，并且登录只会发生在认证服务器上，这会在最大程度上的保证了用户密码的安全性。

（3）OpenID2.0 实现的认证中心是松耦合的，技术实现上并不要求Cookie 支持，因此不要求用户进行集中建设，这为进行将来全网整合提供可能性，比如中国铁建昆仑集团的用户希望访问上级铁建股份公司的业务系统时，只要铁建股份的业务系统也是按照OpenID2.0 规范来实现，那么只要有授权，就可以直接用中国铁建昆仑集团的用户账号直接访问中国铁建股份公司的业务系统。

（4）由于登录都是发生在认证服务器和用户之间，我们可以统一的建立用户名密码和CA 方式的登录，这样对于认证方式不同的资源之间的访问也可以实现。

3.2 方案的应用价值

统一的用户身份认证与访问安全集中管理的SSO 系统，其价值主要体现在企业管理方面、系统管理员、普通用户和系统安全性等多个方面：

（1）企业方面。在用户身份与访问SSO 集中管理系统下，用户账号将纳入统一建立、集中设置、自动分配，并且均有详细记录，可以进行统一审计，可在一处集中管理用户身份，从而降低企业的管理成本。

（2）管理员方面。采用SSO 集中系统，方便用户账号的全生命周期管理。包括账号的创建、权限的修改、个人信息变更、密码更改、账号停用等，都可以在一个系统上进行管理，使用户与其账号的匹配关系更加符合实际情况。

（3）用户方面。通过SSO 单点登录系统，可以确保用户权限的分配符合安全策略的要求，仅具有完成任务所需的最低权限。用户可以通过系统提供的自助管理界面轻松更改自己的密码和个人基本信息。并且用户只需一次登录即可轻松访问所有授权的信息系统，从而消除了需要记住多个账户名和密码的麻烦，便于提高工作效率。

（4）系统安全方面。通过SSO 系统，只需一个操作即可彻底清除与每个用户相关的所有信息系统账户权限，以避免出现用户离职或者登录权限发生变动时，该账户仍然存在于原系统中的情况。另外作为用户身份管理与访问控制系统也为安全策略的强制执行提供了技术手段。

4 基于企业微信的OpenID认证及移动办公应用

在5G、AIoT 等新兴技术不断发展的背景下，基于移动互联网的办公越来越普及。如果移动端没有和PC 端门户系统构建统一的身份认证关联，导致员工需要在移动端重新输入用户名和密码登录门户系统的话，将大大降低用户体验性和系统安全性。所以在移动办公设备上解决统一身份认证问题也已迫在眉睫。

4.1 移动平台单点登录解决方案

我们使用在国内用户基数最大的移动通讯及办公平台企业微信，通过微信消息服务接口，采用OpenID 和OAuth2.0 技术将企业门户集成的各类应用系统整合到企业微信平台，并将人力系统中的人员编码和企业微信ID 号对应，实现人员的统一身份认证。各应用系统也统一应用H5 编码规范，开发了移动端审批系统，集成了OA、合同管理、财务管理、会务管理、印信管理、资产设备管理等各类移动办公业务，形成了以企业微信为主体的移动办公统一平台，以便于员工在一个APP 上解决所有移动办公需求。

4.2 实现原理

OAuth2.0 授权协议一种安全的登陆协议，用户提交的账户密码不提交到第三方应用，而是提交到授权服务器，待服务器确认后，返回应用系统一个访问令牌，应用系统即可用该访问令牌访问资源服务器的资源。由于用户的账号密码并不与应用系统直接交互，而是与认证服务器交互，因而它是安全的。

OAuth2.0 开放授权网络协议在第三方应用和服务提供商之间设置了一个授权层，第三方应用不能之间登录服务提供商，只能登录授权层，以此将用户与服务提供商分开，第三方应用登录授权所用的令牌（令牌可以设置权限范围和有效期），也就是说OAuth2.0开放授权网络协议允许用户让第三方应用访问该用户在信息系统上存储的资源，而无需将用户名和密码提供给第三方。[2]

基于OAuth2.0 开放授权网络协议，我们采用企业微信作为移动服务平台，运用企业微信的OpenID 和OAuth2.0 认证技术，将企业微信的userid转成OpenID，与企业门户的单点登录系统相互集成，以此来整合企业的各类信息系统及移动应用，实现了企业微信扫码登录的身份认证方案，整合了企业信息化应用服务平台PC 端和移动端的统一认证入口。

4.3 OpenID在移动办公平台的具体应用

4.3.1 企业微信扫码登录

企业微信提供了OAuth 的扫码登录授权方式，可以让企业门户网站在浏览器内打开时，引导成员使用企业微信扫码登录授权，从而获取成员的身份信息，免去输入用户名和密码登录的环节。如图1所示。

企业微信扫码认证登录有效解决了员工经常忘记企业门户登录用户名和密码的问题，员工仅需通过手机企业微信扫码就实现门户及各个业务系统的登录，在提升便捷性和系统并发性的同时，也从一定程度上避免了弱口令、密码丢失、暴力破解等问题，提升了门户系统的安全性。

4.3.2 企业微信消息推送

企业微信开放了消息发送接口，自建的信息系统可以利用这些接口与企业微信后台进行双向通信。

为了实现自建应用与企业微信间的双向通信，需打开企业微信应用管理后台的消息接收模式，并提供使用加密传输协议https 的可用的接收消息服务器URL。开启接收消息模式后，用户在应用里发送的消息就会推送给企业微信后台。如图2所示。

通过企业微信消息服务接口，我们采用OpenID 与员工编号相对应，构建了统一的消息推送服务平台。该平台能够将企业门户内自建的各业务系统，以及企业微信内建立的第三方应用等各类消息推送给员工，并且能够实现根据不同的消息类型精准推送给各特定用户。所推送的消息内容涵盖各业务系统的待办提醒、系统通知、业务流程审批信息、工资条、会议提醒、会议室预定、设备维修、问卷调查等多类型、多来源的消息推送。实现了“一站式”移动服务平台，有效地提高了移动门户的综合服务能力。

5 结束语

在当今移动互联网、物联网、云计算等技术快速发展的时代，构建基于OpenID 的统一身份认证管理平台，集成移动办公与单点登录系统，能够极大地改善企业信息门户平台的综合服务能力，为员工提供一套灵活、高效的办公平台，为信息化管理人员构建安全可靠、方便运维的管理工具，为企业信息化建设提供坚实有力的技术支持。