蔡芳

摘要：一个企业的信息化建设过程是循序渐进的，随着业务需求及经费的变化，会逐步建立起处理各种业务的应用系统。为了将各种应用系统和数据资源集成到一个信息管理平台之上，并以统一的用户界面提供给用户，单点登录是首先需要解决的问题。本文介绍了一种通过统一用户管理、单点登录技术，实现企业应用系统集成的方法，解决了用户一次登录、全网通行的问题。该方法已经在作者所在单位得到应用，取得了较好的应用效果。

关键词：统一用户，单点登录，系统集成，门户

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）27-0188-03

Abstract： With the development of enterprise informationization，a wide variety of application are used in the enterprise .In order to integrate the arious application systems and data resources into a single information management platform， and provide users with a unified user interface， single sign-on is the first problem to be solved. This paper describes a method through uniform user management and single sign-on technology to achieve enterprise application integration. It soved the problem of a single login， surfing on the internet or intranet freely. This method has been applied in the authors institute， an achieved good effect.

Key words： Uniform User； Single Sign-on； System Integration； Enterprise Information Portal

随着企业信息化水平的不断提高，越来越多的应用系统投入使用，例如OA系统、人力资源系统、项目管理系统、PDM系统等。这些独立的应用系统都有自己一套完整的用户管理与权限认证体系。用户如果需要访问这些应用系统，就需要记住各个系统中的账号、密码，频繁的在不同系统之间登录切换。这样给用户带来了很大的不方便，同时也容易引起系统安全性的降低。

企业信息门户是一种应用集成框架，它将各种应用系统、数据资源和互联网资源集成到一个信息管理平台之上，并以统一的用户界面提供给用户。

在企业信息门户平台上，让用户仅输入一次用户名、密码，通过一套安全身份认证体系的身份鉴别，就可以分别登录到OA系统、人力资源系统、项目管理系统、PDM系统等不同的应用系统，而不需要重复登录进行身份认证。这是一个在企业应用系统集成中迫切需要解决的问题，而解决这个问题的关键技术就是单点登录技术（Single Sign-on，SSO）。

1 单点登录技术

1.1单点登录基本流程

单点登录流程可以简单描述如图1所示。用户访问应用系统时，先检查其是否登录，如果登录则进入应用系统中具体请求页面，执行后续操作；如果尚未登录，则跳转至用户身份认证系统中进行登录认证。认证系统首先根据用户的登录信息进行身份校验，如果通过校验，则返回给用户一个认证的Ticket作为认证凭据，用户之后再访问其他的应用系统时就会带上这个Ticket，作为认证的凭据。应用系统接收到用户请求之后会把Ticket送到认证系统中进行校验，检查Ticket的有效性。如果Ticket有效，则进入应用系统中具体请求页面，执行后续操作；否则跳转至登录页面，对用户身份进行验收。

作为用户凭据的Ticket具有时效性和不可伪造性，以此保证用户登录安全可信。

单点登录中的认证服务器为所有用户提供身份认证管理，所有没有经过身份认证的匿名用户访问应用系统时都要求被重定向到登录页面进行身份验证。未注册的用户需要先经过注册初始化后方可被验证通过。

1.2 统一用户管理

在单点登录流程中，可以发现对用户进行统一管理并认证是最重要的环节。将所有应用系统的用户进行统一管理并与之前的系统内部账户进行映射，不再需要各应用系统进行独立认证，通过统一认证服务器来实现统一认证。

统一用户就需要首先在统一的用户管理系统中进行用户录入与维护，然后通过系统API接口或WebService服务对系统资源、用户角色、用户权限进行关系绑定，进而达到对用户进行统一管理、对应用系统权限进行统一分配。

中国飞机强度研究所内部有HR-人力资源管理系统对全部员工的信息进行统一管理，因此HR系统就作为中央用户数据源，用户的部门、个人账号、岗位等信息在该系统中进行注册。之后，利用WebService接口将用户信息同步至门户（Portal）的统一用户身份库中，由门户的统一用户管理系统再通过接口对账户进行应用系统的使用权限分配并将账户同步到相关的应用系统中。

统一用户管理流程如图2所示。

目录服务器是统一用户管理与身份认证的基础平台，对用户信息进行统一管理，保证数据的一致性和完整性。本方法中通过轻量级目录服务协议LDAP（Light weight Directory Access Protocol）将用户及组织的信息以层次结构、数据库的方式进行统一管理。

2 基于门户的单点登录实现

本方法中，通过企业门户平台负责管理企业各个应用系统访问入口，将各应用系统的身份认证功能集中控制。实现用户在门户平台认证通过后，无需二次认证，即可访问其他应用系统的效果。

2.1 用户同步

1）用户数据初始化

用户数据初始化分为两种：一种是已正式运行的应用系统（例如OA系统），采用统一命名规则的用户账号，因系统中的部分历史数据跟用户信息关联，用户账号命名规则改变后，为能保持历史数据的正常查询等操作，各业务系统自行在用户数据库中建立新、老账号的对应关系。一种是在建和未建的应用系统，必须严格按照命名规则新建系统账号及密码。

2）用户数据同步

将统一用户管理系统中的用户及组织机构数据单向同步到个应用系统中，可以采用即时触发、单向、增量同步方式。当统一用户系统的数据发生更改后，根据之前制定的身份同步规则，即时将变更的账号数据同步到对应业务系统中。同步实现方式可以通过数据库中间表的方式，也可以通过Webservice的方式。

2.2 单点登录

单点登录方式可以根据业务系统的开发需求分别采用两种认证方式：

（1）基于Cookie的认证方式

Cookie方式是基于客户端页面中存储的加密登录信息，由业务系统提供验证页面，自主解析用户名、密码并认证，同时跳转至获取的目标URL地址，实现单点登录。业务系统需要对登录认证模块做相应的功能改造。

在用户通过单点登录系统的认证后，单点登录系统将通过注入机制在Cookie中添加表示用户关联的账号信息和请求的URL地址，并将请求转发到业务系统，业务系统获取账号信息，确认用户身份后决定是否允许用户跳转至所请求的系统资源。

单点登录系统在Cookie中注入的参数信息包括：

a） 系统编号：对应业务系统账号、密码（加密后）信息，通过#号分割，编码由企业门户分配；

b） url：用户请求的目标地址url。

业务系统获取Cookie中的参数值的Java示例代码如图3、图4所示：

（2）基于header的认证方式

http-header认证允许将已认证的用户身份信息插入到联结的第三方服务器为目的地的请求的HTTP头，HTTP头信息使已联结的第三方服务器上的应用程序基于用户身份信息执行特定于用户的操作。

客户机浏览器请求收保护的第三方服务器上的应用程序，通过网关认证系统进行身份认证，建立新的基本认证头，将请求通过联结发送到第三方服务器的应用程序上，第三方服务器的应用程序不需要用户认证，直接读取基本认证头中的用户身份信息，并进行相应的用户操作。

认证头中存储的header信息：iv-user

第三方应用程序获取header信息：request.getHeader（"iv-user"）；

应用系统获取Http Header中的参数值的Java示例代码如图5所示：

3 应用效果评价

在2016年初，中国飞机强度研究所对现有应用系统进行了改造升级，将已有的和在建的应用系统进行统一整合。整合过程中采用了本文介绍的方法，完全实现了一次登录、全网通行的目标。1000余个账号登录各应用系统效率高，未发现重复认证或登录延时等问题，成功完成了对多个业务系统的集成整合工作。

4 结束语

本文针对企业在信息化建设过程中出现的各应用系统用户系统独立、身份认证系统独立的现状，深入分析、研究统一用户管理技术、单点登录技术，在确保各应用系统正常运行不受较大干扰的前提下，实现了对OA系统、人力资源系统、项目管理系统、PDM系统等多个应用系统的单点登录。该方法在研究所内部得到了高度认可，同时也在其他行业得到了认可，可以在行业内部以及其他行业推广应用。

参考文献：

[1] 胡建鹏. 基于Portal的统一身份认证与系统集成研究[J].计算机工程与科学， 2010，32（12）： 30-33.

[2] 吴茂传，郭阳，胡昌平.基于Web的单点登录技术在企业集成中的应用[J].淮海工学院学报（自然科学版）， 2008，17（1）：29-32.

[3] 朱才祥.基于门户的企业应用系统集成技术研究[J].科技信息， 2014，13：79-80.

[4] http：//www.baidu.com