智慧农垦统一身份认证平台设计与规划

2022-08-03广西农垦集团有限责任公司杨斌

数字技术与应用 2022年7期

广西农垦集团有限责任公司杨斌

农垦集团“十四五”规划中提出了构筑智慧农垦平台，创新“智慧+”发展模式，充分利用大数据、云计算、人工智能的等应用系统，着力推动智慧强垦。本文探讨了构建智慧农垦统一身份认证平台的重要性和必要性，利用统一身份认证平台代替原有各个系统独立认证、独立登录的管理模式，从而实现企业内部系统的统一身份管理、统一认证管理管理、统一授权管理、统一安全审计管理等机制。市场上成熟的统一身份认证平台的解决方案有很多，本文基于集团自身实际情况，利用Portal企业门户，LDAP技术、SSO单点登录技术的方式实现跨平台、跨系统、安全可靠的统一身份认证的构思和规划。

1 研究背景

集团近年来搭建了OA办公系统、合同管理系统、财务系统等多个信息系统，每个系统各自相互独立认证和授权管理。随着体系内越来越多的信息系统投入使用，这种分散认证授权模式存在许多弊端，独立访问控制和信息安全管理的问题愈见突出，集团面临着以下问题：

（1）缺乏统一规划。建设初期各系统独立开发，每个系统有独立的组织架构、账户管理、权限管理，各系统之间相互孤立，信息孤岛问题严重，不利于追踪用户行为。（2）用户体验差。每个系统都有独立的登录界面且需要单独进行认证管理，导致用户必须记忆多个账号、密码，每登录一个系统都需要重新输入账号、密码。（3）系统安全性差。部分员工为了方便记忆使用了弱密码，有甚者还会将多个业务系统的密码纸贴在电脑桌上，存在信息安全隐患。（4）运行管理效率低。各系统分散、缺乏集中统一的权限资源的管理机制，特别是当发生入、转、调、离等身份变动时，各系统管理员要切换到不同的业务系统单独调整、推送或删除用户权限，经常发生错漏的情况，维护工作量很大的同时还留下生产安全隐患。因此，如何利用统一身份认证平台解决集团现在遇到的棘手问题成为当务之急。

2 统一身份认证平台主要技术组成

本文规划设计的企业统一身份认证平台主要由3大部分组成：Portal企业门户、LDAP轻量目录数据库、SSO单点认证服务，平台的简易逻辑架构图如图1所示。

图1 统一身份认证平台简易逻辑架构图Fig.1 Simple logical architecture diagram of unified identity authentication platform

2.1 Portal企业门户

Portal企业门户系统是目前市场上主流的、企业级的信息管理技术，它为内部员工、外部伙伴和客户提供了新闻、应用程序、信息和业务流程等内容，是信息集散中心和业务处理平台[1]。它强调以用户为中心提供统一登录界面，可以对分散异构的不同类型数据实施单一门户式的管理，提供企业级的应用系统集成；同时它也是一种网络应用程序，为了消除信息孤岛，它能够快速建立一个信息通道，将各种应用系统、数据资源和服务集成到一个信息管理平台之上。

2.2 LDAP轻量目录数据库

LDAP（Lightweight Directory Access Protocol）轻量目录访问协议是目前主流的、在网络上广泛应用的提供目录服务的协议，是基于X.500标准上开发产生的但比X.500简单且可定制的标准协议[2]。LDAP轻量目录的数据库具有存储速度快，读写结构清晰，此外还具有以下特点：

（1）支持跨平台和跨系统。由于LDAP协议位于TCP/IP的上层与具体的系统平台、操作系统无关，各种平台和软件系统可以通过LDAP标准端口进行数据存取。（2）具有同步复制和分布式服务功能。LDAP提供复制备份和分布式部署功能，保证了数据读写可靠性、数据的安全性和数据容灾备份便捷性。（3）具有完善的安全控制机制。LDAP服务使用标准的SSL链接对连接通道进行加密，对于自身数据的访问也通过ACL进行控制，保证了数据机密性和可靠性。此外，LDAP这种跨平台的标准协议得到了软件业界的广泛认可，很多软件厂商都在成熟的产品中加入对LDAP技术的支持，因为他们根本不用考虑另一端（客户端和服务端）是怎么样的，这大大简化和方便了异构系统之间的对接。

2.3 SSO单点认证服务

（1）SSO（Single Sign-On）单点登录是一种方便用户访问多个系统的技术，用户只需在登录时进行一次注册，就可以在多个系统间自由穿梭，不必重复输入用户名和密码来确定身份。SSO认证服务的实质就是登录凭证在多个应用系统之间的传递或共享。（2）真单点登录只有一套账号、密码，用户通过SSO进行身份验证后，登录凭证保存在SSO认证服务模块上，应用系统校验SSO认证服务模块上的用户登录凭证来验证该用户是否经过了统一的身份验证[3]。这种情况下应用系统自身没有独立登录入口且登录凭证能在多个应用系统之间的传递或共享。（3）伪单点登录一般保留了应用系统自身账号、密码和登录入口，门户系统通过生成应用系统账号、密码映射表的方式，或者门户系统通过传递与应用系统相同字段（如员工ID）等方式进行验证登录。这种情况下虽然可以通过门户系统登录所有应用系统，但各个应用系统是相对独立且登录无法凭多个应用系统之间的传递或共享。

3 统一身份认证平台规划

3.1 统一登录集成规划

集团现有系统通过OA系统传递员工ID字段至应用系统的方式进行伪单点登录验证，登录凭无法在多个应用系统之间的传递或共享，当应用系统本身需要二次校验、系统登录超时、注销登录时会出现问题。建设统一身份认证平台的方式实现真单点登录才能有效解决集团现有问题，以下为2种真单点登录规划思路[4]：

（1）用户登录Portal企业门户首页，成功登录后用户在Portal企业门户首页上可以看到授权的应用系统图标并能访问该业务系统。用户登录认证步骤如：1）用户输入Portal企业门户地址，在登录界面上输入账号、密码或手机验证码；2）Portal企业门户向SSO单点认证服务模块发起认证服务；3）认证服务模块生成用户登录凭证信息，通过Web返回给Portal企业门户；4）用户携带登录凭证成功登录Portal企业门户；5）用户可以点击企业门户上应用系统图标，直接进入该应用系统。

（2）当用户直接登录任何一个应用系统时，应用系统首先要判断用户是否携带登录凭证，如没有携带登录凭证或凭证已经过期的，网页会重定向到Portal企业门户的登录页面，用户输入账号、密码或手机验证码，SSO认证服务模块进行身份认证，如验证失败则返回错误信息，如验证成功会把用户信息返回给Portal企业门户，并将凭证透传给业务系统，此时用户才能访问业务系统。用户登录认证步骤如[5]：1）用户登录某应用系统，应用系统首先判断用户是否携带登录凭证；2）用户未携带登录凭证，网页重定向到Portal统一门户界面并要求输入账号、密码或手机验证码；3）Portal企业门户向SSO单点认证服务模块发起认证服务；4）SSO单点认证服务模块生成用户登录凭证信息，通过Web返回给Portal企业门户；5）用户从Portal统一门户转回应用系统，登录凭证透传给业务系统；6）用户成功访问该应用系统；7）用户此时拥有登录凭证可直接登录Portal企业门户和已授权的全部应用系统。

3.2 统一界面集成规划

统一身份认证平台中的Portal企业门户提供统一的登录界面服务，所有的应用系统登录都可以在Portal企业门户中完成，应用系统无需再开发单独各自的登录界面。用户登录成功后可以在企业门户首页上看到OA系统、合同管理系统、财务系统等图标，直接点击即可跳转至对应系统，用户不再需要保存多个应用系统的登录地址。

3.3 统一数据集成规划

根据集团实际情况，本文规划以HR人力资源系统数据和统一身份认证平台中的LDAP数据库这2部分数据为基准，建立统一、完整的用户信息科，集中管理用户身份，建立认证平台。其中，HR人力资源系统中主要为正式员工用户数据；LDAP数据库主要为第三方驻场用户、临时工、外部审计人员等非HR人力资源系统数据。HR人力资源系统的个人信息、岗位职级等数据定时同步到LDAP数据库中，LDAP数据库通过系统接口将用户数据同步到OA系统、合同系统、财务系统等应用系统中。HR人力资源系统中的用户数据只能由人力资源部管理人员进行新增、修改、删除等维护；LDAP管理后台建立的用户数据则由信息中心管理员进行维护。这种数据集成模式能够确保集团正式员工入、转、调、离等信息等及时反应到对应的信息系统，实现集团内部信息系统中用户全生命周期的管理[6]。