| 标题 | 单点登陆在统一用户管理系统中的应用研究 |
| 范文 | 胡丽丽 摘要:该文以省统一用户管理系统为例,研究了单点登陆技术的应用,简要介绍了单点登陆的原理及系统的架构,详细阐述了系统中单点登录的开发技术。该文最后阐明了单点登陆技术在系统中的应用意义。 关键词:单点登陆;sso; 统一用户管理;认证 中图分类号 TP311 文献标识码:A 文章编号:1009-3044(2017)31-0256-02 Application of Single Sign on in the Uniform User Management System HU Li-li (Anhui Economic Information Center, Hefei 230001, China) Abstract: The paper studies the application of single sign on by using the province unified e-government platform as an example. It introduces the single sign on theory and the system architecture. And the single sign on technology in the uniform user management system is described detailedly. At the end,it introduces the application significance of single sign on in the system. Key words: single sign on; sso; uniform user management; authentication 目前,政府信息化建设正快速发展,覆盖政府部门业务的信息系统已不断开发成熟并使用,诸如内部OA系统、项目管理系统、政务服务管理系统等。而这些信息系统功能需求不一,开发大多是相互独立的。这使得用户完成某项工作需要进入不同的系统,而每一个系统大都需要用户输入用户名、口令等验证身份,这样用户就得面对多个系统的用户名、密码,给用户访问业务系统带来了不便性[1][4]。同时,用户需要在各个应用系统间频繁切换登陆,业务操作的复杂性增加了,降低了工作效率。因此,能使得用户实现单点登陆的统一用户管理系统应用而生。本文以省统一用户管理系统为例,研究单点登陆技术在系统中的应用。 1 单点登陆概述 单点登录(single sign on,sso)通常指面对诸多已关联的应用系统,当用户通过了其中任一系统的登录认证,即可以访问其他的系统[2]。简单来说,即保持用户的会话(session)状态,用户访问应用系统,通过认证,此时便可建立sso会话,同时,产生一个对应的令牌(token);当用户再访问下一个系统时,向该系统传递已产生的sso令牌,该系统识别出用户的认证状态,允许用户访问,从而使一次认证能够被多個应用系统认可 [3]。单点登录能够避免用户重复认证,从而减少人为认证错误,提高用户工作效率,使应用系统更安全,更易用[3]。 2 系统概述 系统主要由两部分组成,分别是统一身份管理子系统和统一认证子系统。统一身份管理子系统主要完成用户和组织机构间关联关系的构建;统一认证子系统主要实现单点登录令牌的创建与验证。系统主要实现以下功能: 1) 组织和权限管理:统筹规划省内省直、市(县区)所关联的所有行政单位,包括部门和工作组管理,统一配置横向及纵向部门关联信息,方便组织结构代码便捷易懂,无缝推送到各电子政务系统。 2) 用户管理:实现用户信息的统一管理,其中,这些用户信息来源于组织机构中各部门,包括登录用户名、登录密码、真实姓名、主组织、附属组织、所属角色及用户顺序等基本资料的管理。 3) 权限管理:包括应用资源、角色管理及授权管理。应用资源为接入到统一用户管理系统中的各类政务应用系统;角色管理针对统一用户管理系统中的用户角色配置,非政务应用系统中的角色配置;授权管理用于控制用户能否访问相应的业务系统,一般用户同步给相关业务系统后就默认能够访问。 4) 安全认证管理:针对电子政务有效性、机密性、完整性、不可抵赖性与审查能力五个方面的安全需求,系统需提供相关接口实现安全认证。 3 单点登陆在系统中的应用 单点登陆技术主要应用在系统的统一认证子系统。统一认证子系统的设计流程:外部用户登录应用系统发起访问请求,用户信息经底层认证,获得认证子系统创建的sso令牌ID,令牌ID由cookie返回得到;当该用户访问其他已关联应用系统时,cookie传递登陆令牌ID,正被登陆的应用系统还原令牌信息,并验证其是否是有效令牌。如果有效,则外部用户可直接访问系统,而无需二次验证。图1为统一认证子系统体系结构图。 本子系统可内置分别基于Web Service/HTTP接口、Agent和HTTP重定向技术表单的三种单点登录方式。 3.1 动态票据单点登录 电子政务服务大厅接入统一认证子系统,当外部用户访问电子政务服务大厅,大厅重定向至统一认证子系统登录界面,统一认证子系统完成用户认证过程,此时,返回一张动态票据,该票据信息含时间戳,经加密,票据以HTTP POST方式推送给大厅;电子政务服务大厅根据接收到的票据信息,到统一认证子系统认证;如果认证成功,统一认证子系统返回用户名给大厅,大厅显示登录用户信息。图2为基于Web Service/HTTP接口的单点登录体系结构图。 基于Web Service/HTTP接口的单点登录方式,是目前单点登录主流的解决方案,主要有以下优点: 1) 保障数据传输和单点登录的安全:在登录认证过程中,所涉及的数据交互完全由应用层的HTTPS协议实现,同时,外部用户发起单点登录系统过程中,交互的数据已经加密,有效防止了非法用户篡改数据的可能性,保障了数据交互过程中的完整性和机密性; 2) 接口的开放性:此单点登录方式不局限于某种特定的开发设计和运行环境,对接入的系统具有开放性。基于其他方式需要接入应用系统根据SSO接口规范进行二次开发,包括双方沟通、接入应用系统的开发、双方联调测试。 3.2 基于Agent的单点登录 此种单点登录方式需要在部署应用系统时,安装一个代理模块Agent在服务器上,代理模块与统一认证模块集成,完成认证和单点登录。基于Agent的单点登录流程如下。 外部用户请求访问接入应用系统1,接入系统的代理模块向统一认证系统传递信息,系统认证并创建单点登录令牌(TOKEN);当用户发起后续登录请求,请求访问应用系统2时,应用系统2的代理模块传递单点登录令牌(TOKEN)至认证系统,验证提交的令牌(TOKEN),如果此令牌(TOKEN)有效,通过验证,认证系统重定向登录令牌(TOKEN)返回至用户访问界面,为用户提供资源服务。每次当用户访问有权限的接入系统时,接入系统都会读取接入系统1代理模块的单点登录令牌,从而由平台验证令牌的有效性,并获取用户信息。 相比较于基于Web Service/HTTP接口的单点登录方式,基于Agent的单点登录需要考虑接入系统的安装和运行环境,因此能够适合Agent登录方式的环境具有局限性,而且,接入应用系統和统一认证系统的联调时间也不易控制。 3.3 基于表单方式的单点登录 基于表单的单点登录实现方式是目前最简单,也是应用最广的。用户通过接入外部系统的认证和单点登录,与外部系统集成的统一认证系统便存储了该用户的登录信息,当用户再次提交登录请求时,认证系统会自动提交记忆的用户信息,用户信息通过认证,最终完成单点登录。但如果接入外部系统安全密级比较高,不交出用户信息,则认证系统无法记忆用户的用户名和密码,从而此种单点登录方式将失效。 4 结束语 本文研究了单点登录在省统一用户管理系统中的应用,基于多种单点登陆方式,一方面,简化了用户登录访问应用系统的过程,提高了办事效率;另一方面,推进了政府各业务系统的互联互通,消除信息“孤岛”,实现信息共享。 参考文献: [1] 操亚松.基于SSO技术的统一用户认证系统的开发和应用[J].电脑知识与技术,2015(29). [2] 百度百科.单点登录. https://baike.so.com/doc/6563571-6777328.html[EB/OL]. [3] 王凯令.电力信息管理系统中统一身份认证技术研究及应用[D].上海交通大学,2010. [4] 百度文库.企业门户和单点登陆系统解决方案_图文.http://wenku.baidu.c[EB/OL]. |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。