本站小編為你精心準備了企業信息門戶單點登錄方案設計參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

文章摘要：

為了改進當前企業門戶系統用戶的單點登錄方式過于單一的問題，根據企業需求，必須從多角度、全方位考慮，從綜合、協同和一體化法方向對用戶進行多立體和動態身份認證，提出了一種新型企業信息門戶單點登錄方案。首先給出了企業信息門戶總體設計方案，然后根據企業的實際需求提出了該單點登錄的總體設計思路。最后重點分析了SharePointServerSSO、基于CA的SSO和ADSI/LDAPInterface的設計。這樣不僅對現有的業務系統可以全方位認證，還可以為以后系統擴展提供預留接口。

關鍵詞：

企業信息門戶；單點登錄；SharePointServer；CA；LDAP

隨著云計算和大數據的迅速發展，企業用戶應該可以通過自己的企業信息門戶（EIP）網站去訪問與之相關的業務系統。不僅可以訪問企業內部的系統，還可以訪問與企業相關的客戶系統，得到相關的業務數據[1]。但無論是企業內部的業務系統，還是外部客戶業務系統，都必須進行身份認證。傳統的單點登錄(SSO)系統設計方案是針對企業內部的相關業務系統進行免登錄設計的，這種登錄模式顯然無法滿足現在用戶的需求。如何完善傳統單點登錄系統，本文以某大型制造企業的信息門戶系統為例，提出一種新型單點登錄系統設計方案。

1企業信息門戶系統總體架構設計

系統的總體功能概括為：(1)框架功能：建立信息統一訪問入口，建立用戶目錄認證系統，進行個性化配置、日常管理配置、管理報表配置、安裝管理等。(2)協作功能：建立統一協作工作平臺、建立統一搜索引擎、文檔管理引擎、日程表/工作列表、討論論壇等。(3)功能：內容架構定義、配置內容管理系統。(4)整合功能：連接ERP系統、資金結算系統，進行數據整合、集中展現。(5)公文流轉：實現靈活的辦公、辦文、辦會的事務管理。根據業務需求，將項目任務分成四個子系統進行建設，各子系統及其建設任務如下。（1）信息門戶子系統，實現各信息系統之間的統一用戶認證，建立起統一訪問入口。能讓用戶根據自己的需求創建各自的“企業信息門戶”群。(2)協同辦公子系統：在“企業信息門戶”群中，建立多級辦公體系、搭建項目團隊工作空間、豐富各種辦公協作類應用，形成集團統一的辦公協作及知識資源管理平臺。(3)知識管理與培訓子系統：構建企業知識文檔中心和企業學習中心，對分散于企業每個員工的知識資料進行有效管理。(4)數據整合子系統：采用各種整合手段，對ERP系統、資金結算系統、、MES系統等系統的數據進行集成，使“企業信息門戶”真正成為集辦公信息、協作信息、業務信息、項目信息于一體的“統一信息門戶”平臺。為了確保統一的入口和對用戶登錄及使用的透明，集團總部的門戶(portal)系統和下屬企業的portal系統都將使用同樣的域名，通過下屬企業用戶和集團用戶設置不同的DNS服務器，解析成不同的IP地址來實現不同地區用戶訪問不同的服務器。對于OA、IDS和郵件系統由于是通過portal門戶的單點登錄進行訪問的，所以只需一次驗證即可跨不同業務系統協同完成一次任務。

2.單點登錄系統總體設計

針對當前EIP系統發展的需要，在企業內部存在大量B/S、C/S的應用系統，比如資金結算系統、ERP系統、MES系統，以及各種各樣對內對外業務系統，每個應用系統都有自己的認證模塊與權限控制模塊，為了實現對這些系統所管理資源的訪問控制，真正做到“單點登錄，全網通行”的功能。提出一種新型單點登錄，使之更為實用、可靠地應用于EIP系統中。單點登錄系統總體設計方案劃分為“訪問接口層”、“目錄服務層”以及“目錄接口層”三個層次，如圖1所示。接口層的訪問：為應用程序提供集中認證服務的驗證接口模塊。針對不同模式的應用系統，分為3個功能模塊：SharePointServerSSO、基于SSLCA安全的SSO認證中心和ADSI/LDAPInterface。目錄服務層：目錄服務層是基于微軟活動目錄服務技術實現的。目錄服務層為企業統一驗證和資源管理提供一個基準記錄，在目錄服務器內包含了企業內用戶和各種資源信息以及訪問權限信息，為各種應用系統的驗證過程提供一個參考標準，使企業內部有統一權限的管理基礎，是實現SSO功能必不可少的部分之一。輕量級目錄訪問協議的訪問：輕量級目錄訪問協議（LDAP）訪問接口是為了和其他支持LDAP的目錄服務器以及用戶管理系統進行交換的接口。這是因為企業在電子商務全面開展的過程中，和其他職能部門、企業和同級企業門戶網站之間往往有相互訪問的需要。通過標準的LDAP協議，使SSO系統能夠和其他職能部門的目錄服務系統和人力資源系統等可以管理用戶驗證信息的系統進行交互，使他們之間相互驗證成為可能。

3SharePointServerSSO設計

基本思想是建立一個加密的數據庫，把用戶的認證信息，存到這個數據庫中。當成功地驗證了登錄SharePointServer（SPS）網站的用戶身份以后，就可以從加密的數據庫中，獲得用戶的信息，從而用來訪問其他的服務器或者一些第三方的服務器[2]。在第一次訪問與企業應用程序集成的WebPart時，如果用戶的憑據還沒有存儲在單點登錄數據庫中，那么該用戶將被重定向到一個登錄表單，這個表單提示用戶輸入訪問企業應用程序所需要的適當憑據。登錄表單中的字段編號、順序和名稱由管理員在應用程序定義中配置；登錄表單就是基于這些配置設置自動生成的。還需要在WebPart中編寫代碼來檢查數據庫中是否存在憑據，并在必要時將用戶重定向到登錄表單。用戶提供的憑據然后被存儲在憑據存儲區中，并被映射到與該用戶的SPS帳戶相對應的Windows帳戶。之后該用戶將被重定向回原先的WebPart。WebPart中的代碼然后以適合應用程序的方式從憑據存儲區向應用程序提交憑據，同時檢索必要的信息，隨后在WebPart中向用戶顯示這些信息。

4基于CA的SSO設計

該設計是為解決企業內部或外部B/S架構的網絡應用系統中身份認證和安全傳輸問題[3]。使基于Web的應用程序能夠通過一個通用的接口，實現“單點登錄、即可運行”的功能。采用SSL客戶端和SSL服務器機制，使用證書機制認證用戶身份，將驗證后的用戶身份信息傳遞給應用系統，同時在原有的B/S客戶端與服務端之間建立一條高強度的加密通道，實現數據的保密性和完整性，保證數據的安全傳輸[4]。該子系統主要包括客戶端用戶操作界面，客戶端登錄，CA認證服務器，登錄憑證信息庫，LDAP目錄服務器，SSL通信，CA認證機構幾個部分。LDAP目錄服務器用來保存用戶的數字證書、證書注銷列表以及用戶的基本信息等。

5ADSI/LDAPInterface設計

ADSI/LDAPInterface（ActiveDirectoryServiceInterfaces/LightweightDirectoryAccessProtocolADSI/LDAP接口）是基于業界標準目錄訪問協議的接口，也是微軟活動目錄技術提供的，讓應用程序實現SSO功能的標準接口[5]。在將來開發的應用系統中，只要利用ADSI/LDAP接口訪問的SSO系統目錄信息，同步其驗證信息，就可以實現SSO的統一登錄。ADSI/LDAP接口意義在于為將來的應用開發提供了符合業界標準的標準接口，是將來新應用程序應當遵循的驗證接口，應用系統不僅僅讓用戶擁有單點登錄功能，還使應用系統之間的信息和功能交換可以較容易地實現。LADPSERVER用來保存和管理用戶憑證，LADPDIRBASE是設計的重要部件。LADPDIRBASE的核心部件是目錄信息樹。目錄中用來存儲用戶基本信息、部門信息及用戶權限角色。當用戶第一次登錄完成后，LDAPSERVER就獲取了用戶的UID和在部門的角色信息，并將其保存在憑證信息數據庫DB中，以后此用戶就可以在規定的角色范圍內免登錄相應的應用系統。

6結束語

本文通過以某企業信息門戶需求為例，指出了當前企業單點登錄的不足之處，提出了一種新型單點登錄方案，該方案使用了SPSSSO、基于CA的SSO和ADSI/LDAPInterface等技術協調完成用戶登錄認證。該設計方案已經成功運行在某企業的門戶平臺中，實踐證明該方案不僅對現有的B/S架構、C/S架構業務系統可以全方位認證，還可以為以后的系統擴展提供預留接口。但是該設計方案在用戶并發數量較大時，有較長的時間滯后性。此外單點登錄技術還在不斷完善，網絡攻擊手段還在不斷發展變化，怎樣才能更有效地克服用戶數量瓶頸，克服網絡攻擊，是我們今后急需解決的問題。

參考文獻：

[1]鄧緒水，宋庭新，黃必清．單點登錄技術在企業資源集成中的應用[J]．湖北工業大學學報，2010（02）．

[2]薛輝，鄧軍．一個基于SharePointPortalServer2003的單點登錄模型設計與實現[J]．網絡安全技術與應用，2006（05）．

[3]鄧軍，葉柏龍，薛輝．基于WebAccessCA的單點登錄技術解決方案[J]．網絡安全技術與應用，2006(09)．

[4]鄧軍，葉柏龍．身份認證和安全傳輸方案的分析與設計[J]．科學技術與工程，2007(02)．

[5]張永強，陳偉．基于LDAP的CAS單點登錄系統的設計與實現[J]．軟件，2011（02）

作者：薛輝 單位：湖南涉外經濟學院