许燕梅

摘要：文章分析了企业门户采取统一身份认证的必要性，以及统一身份认证的设计目标和设计方案，最后提出如何实现统一用户管理，为企业进行门户网站的运行提供参考。

关键词：企业门户；统一身份认证；必要性；设计；实现

1 引言

随着信息技术的不断发展，各个企业都建立了比较健全的信息化系统，且建立了自己的门户网站。这些信息化技术的应用，极大地提高了企业的运行和工作效率，但随着企业规模的不断扩大，门户网站的运行增加，使企业的信息化系统管理面临巨大的挑战。因此需要建立统一的身份认证系统，涵盖企业的各个部门、区域和涉及领域、网站，为员工和领导使用提供便利。

2企业门户采用统一身份认证的必要性

随着企业的规模逐渐扩大，人员增多，给信息化管理带来一定难题，尤其是各个信息系统之间的身份验证问题。因为系统之间的关联性不大，所以在登录每个系统前都要进行验证，而且有时身份信息的注册标准和模式还不统一，这就意味着同一位员工或领导者需要准备不同的验证信息来登陆不同的管理系统，这就大大浪费了时间和精力。因此建立一个统一的内部工作门户，使企业内部所有用户都通过统一的入口集成资源和应用，进行系统的登陆和身份验证。这样一来用户只需要登录一次就能访问门户上的所有系统，避免了多次重复认证的麻烦，实现不同资源和信息的获取，使之可以从中获取需求的不同信息。该门户能够为用户提供一站式的全面信息服务，为用户解决多个弊端，比如用户需要记忆多个账户和密码；无法进行统一授权；管理成本增加等。

3企业门户采用统一身份认证系统的设计目标

企业门户采取统一身份认证系统的设计目标是为了给用户提供一站式、全面的服务，以及为不同职位或身份类别用户提供给新年规划服务；实现统一的用户管理、认证、安全控制；门户的管理员可以实现对用户的单点管理；还有就是实现信息集成，将企业内部管理所涉及的信息集中到一个门户中，设立不同的类目进行区分，方便用户查询不同信息。

4企业门户采用统一身份认证系统的设计方案

4.1门户系统功能设计

企业的门户系统面向的是所有员工，用于办公和管理的信息集成平台。因此系统功能主要是对内部管理信息的整合和组织管理，并借助内部数据资源的重组和利用，实现内部资源信息的共享和沟通。这样一来门户系统需要包括门户平台、信息发布、知识库、数据展现、人员管理、统一认证和综合办公等类目，这个具体由不同的企业根据企业发展实际来安排。在门户中需要为用户提供文档、数据报表、搜索、协同工作过等服务器，还建立财务、培训、远程管理、人事管理、保卫等系统；数据库包括人员、业务、数据查询等。通过这个门户系统的功能架构，实现计算机系统的决策支持作用。

4.2用户管理和单点登录设计

同一用户管理就是在门户系统的基础上，由企业管理人员提供基于LDAP的用户目录，将所有的用户信息进行录入、存储、认证和管理。管理人员还能实现用户的批量创建、删除和管理，实现高效统一的用户管理。门户系统还提供集中的和策略的用户身份认证和权限授予，为不同层次和岗位的用户提供不同的权限设置。另外门户系统管理方还可以实现某一位用户的单点管理，比如该用户违纪、辞职等时，可以由管理人员进行标记或删除。以企业门户Portal为例，如图1所示。

4.3统一认证设计

对于门户系统的统一认证设计，一般是以TAM作为单点登录的基础，一个TAM的结构由访问者、策略执行者和目标组成。在TAM中，主要有两个功能组件，一是安全维护主授权数据库，处理出现訪问受限、认证和授权请求；还有一个是你想代理安全服务器，处理所有的内部请求。在实际操作中，要想借助TAM实现单点登录，一般都需要结合本企业门户系统的特点对系统进行一定的改变。因此为了减少这个改变，节约系统运行的时间和成本，门户系统将进行统一认证设计成两步实施的过程。

首先是Portal用户身份认证，该功能是借助TAM实现的，TAM对访问的用户进行论证，根据存储的用户身份信息，设置一定的认证方式，比如问题回答、图片认证等，对用户进行认证之后，TAM会根据配置产生相应的记录，对该用户进行权限记录，在随之而来的时间内用户对门户各个平台进行访问时，就不需要用户再次认证，这样就实现了与TAM的集成。

其次是集成系统用户的身份认证，用户经过认证进入门户平台后，需要经历集成系统的再次身份认证才能继续访问应用系统。为了减少对集成系统的改造，节约系统运行时间和成本，集成系统用户进行身份认证时是通过建立Portal系统用户与后台信息系统用户的映射关系实现的，主要是借助门户的“用户数据库”实现多项信息服务的统一登录管理，而用户访问集成系统时的权限由具体的应用系统管理。

最后是Portal系统与集成系统的账号关联，对于这个问题是通过待登录方式实现的，也就是借助一种安全的密码管理方式，存放用户在各个系统中的用户凭证，和总的用户数据库建立映射关系，在某个用户登录门户之后，进行应用系统之前，由门户根据这个存放记录帮助用户实现一次登录操作，用户无需在输入账号、密码等凭证信息。这个问题比较麻烦的一点是用户在不同系统中凭证出现变更的管理，因此实施起来有一定难度。

4.4数据结构设计

通过对系统的分析，收集应用类型，形成应用目录结构，做成一个系统的目录树，这里边包括所有的应用和用户节点。前者包含集成系统的名称、用户标识、用户口令标识、登录地址或窗口四部分；后者包括应用系统名称、门户用户标识、集成系统用户名和用户口令四部分。在统一身份认证平台汇总，借助目录服务技术实现对用户身份信息和应用系统信息的存储和管理。

4.5授权服务系统

完成用户身份认证设计后，重点是对于用户登陆到门户后的权限限制问题。对于用户权限的授权，分为两种：一是由门户资源和集成系统进行授权管理，前者使用基于角色的授权管理模式，先定义角色对资源的访问权限，再定义用户或用户组对应的角色。二是由各个应用系统自己进行授权管理，安排给用户的权限或限制行为。

5统一用户管理的实现

统一用户管理的关键是在身份认证的基础上实现应用系统和各个服务器用户信息的同步，因此需要定期对用户信息进行重新扫描，对于人员流动性小的企业，时间可以安排一个月或一年以上，而对于流动性较大的企业，比如说银行，可以安排一个周更新一次。有管理员收集人员变动信息之后，登录到门户的管理界面进行人员信息的增、删、查、改操作，然后同步到TIM和身份认证等系统中。对用户信息进行同步之后，借助上述系统设计实现用户的身份认证，以及权限授予，最终对访问用户进行统一管理。

6结语

在企业内部实施统一的用户身份认证工作，可以提高管理效率和便捷性。统一身份认证系统经设计以来得到了很好的实施反馈，但也存在一些问题需要改进。

参考文献：

[1]赵菁.基于企业门户统一认证系统的设计与实现[J].信息安全与技术，2012，（7）：27-29.

[2]赵华，王海阔，杨兰娟，申丽君.统一身份认证在信息化企业中的应用研究[J].电脑知识与技术，2011，7（24）：5916-5917.

[3]黄飞飞.基于SOA架构的企业统一用户身份认证平台研究[J].中国管理信息化，2016，19（19）：56-58.

[4]高超.企业统一认证及权限管理系统的设计与实现[D].南开大学，2015.