统一用户管理与单点登录系统的开发与应用

潘育明

(长江航道局 武汉 430010)

近年来，随着IT应用的不断拓展与深化，应用系统数量越来越多，涉及的业务范围越来越广，用户对系统的依赖程度越来越高。有些单位的各应用系统均独立管理和运行，开发商及技术平台不完全统一，用户访问不同的系统需要使用多套用户名密码进行多次登录认证；对于系统管理员而言，多个业务系统之间使用不同的用户数据源，极易造成各系统用户数据不一致，导致系统管理员工作量大，用户身份管理和访问管理变得越来越复杂，客观上对实现统一用户管理与单点登录的需求越来越迫切。例如，长江航道局在数字航道建设的引领下，陆续开发建设了办公自动化系统、经济活动管理系统、三重一大决策支持系统、数字航道系统等应用系统，信息化对长江航道养护管理与服务的支撑作用日益凸显，但这些系统均独立运行，使用和管理极其不便。据此，长江航道局在系统运行的内网环境中设计开发了统一用户管理与单点登录系统，在授予用户单点登录访问系统资源的同时，有效而精确地管理全局用户。

1 系统总体架构

由于长江航道局总局和局属各单位都部署了各自的应用系统，故设计在总局和8个局属单位分别部署统一用户管理与单点登录系统，使其为各局分别提供单点登录和用户管理服务，并将局属单位用户信息数据库LDAP配置与总局中心LDAP进行数据同步，总局中心可以查看下级单位的用户信息，形成“1+8”的分级管理结构，实现长江航道局用户的身份存储及统一管理、系统级的访问控制管理，为各应用系统提供统一用户管理、统一身份认证与单点登录、待办事项集中展示和提醒等功能。系统总体架构设计见图1。

图1 系统总体架构图

2 系统功能设计

长江航道局统一用户管理与单点登录系统分为单点登录子系统(SSO子系统)及统一身份认证管理子系统(IDM子系统)。其中统一身份认证管理子系统下有身份认证模块、统一账号管理模块、资源管理模块、统一授权模块及统一日志审计等模块。系统功能结构见图2。

图2 系统功能结构图

2.1 统一用户管理

实现单点登录的前提是将所有应用系统的用户信息进行统一管理并与之前的账号进行映射，通过统一账号管理模块，使用账号同步技术，实现对各业务系统的账号统一管理。长江航道局统一用户管理与单点登录系统对各拟整合的系统实现统一用户管理，以某一系统中的账号作为唯一来源，实现与其它系统实时或定时的组织机构及账号同步，减少系统管理员的重复工作[1]。以长江南京航道局为例，其用户信息都在人力资源系统中，因此要求用户信息与人力资源系统保持一致。通过设置每天的同步时间点、同步周期，或通过手动同步的方式，系统每天定期从人力资源系统中同步变更的组织机构及用户信息。

传统的统一用户管理仅考虑统一用户管理系统向其他业务系统的账号的单向同步，本系统设计时还新增了各业务系统向统一用户管理系统的反向同步。任一业务系统管理员或用户在修改本系统组织架构、用户信息时，统一用户管理平台均可接收到变动审核信息，由管理员审核通过后，将变动信息反向同步至统一用户管理平台，从技术层面避免了账号多源头维护造成错乱，极大提高了系统的实用性、稳定性。

实现统一用户管理，各业务系统需要配合进行接口开发整合，一般采用2种方式来进行整合：

1) Ldap标准协议方式整合。如果这些业务系统能够支持ldap协议，则这些业务系统可以通过ldap协议直接获取到统一用户与单点登录系统的用户，并且通过ldap直接到统一身份与单点登录平台中进行认证。

2) Webservice接口方式整合。如果这些业务系统不能够支持ldap协议，则可以通过业务系统调用统一用户与单点登录平台接口，或者是由统一用户与单点登录系统调用业务系统接口的方式来实现同步。

本系统采用Webservice接口方式进行系统整合。本系统向其它业务系统的账号正向同步，由本系统提供接口，各业务系统调用该接口来实现；其它业务系统向本系统的账号反向同步，由各业务系统提供接口，本系统调用这些接口来实现。

2.2 统一用户认证与单点登录

各单位对拟整合的系统实现统一用户认证与单点登录，即用户一次登录便可实现对多个应用系统的访问，无需重复登录[2]。不整合的系统可按用户权限展示访问链接。常用的单点登录解决方案有2种：后置代理解决方案和即插即用解决方案。

后置代理解决方案一般包括的组件为：认证服务器、各种API(Java，Net，JSP，ASP，PHP等)、各种代理Agent。这种解决方案需要用户改造以前的应用系统，采用方案提供的Agent对应用系统进行修改。改变原有应用系统的认证方式、采用统一身份认证服务器提供的技术进行身份认证。在修改应用的技术方案中，每个应用服务器中都需要安装1个代理程序完成用户的身份认证工作。当用户访问目标应用服务器时，代理程序向认证服务器询问该用户是否已经登录，如果是，则代理程序从认证服务器中取得该用户的用户信息自动登录该应用系统。登录成功后，用户直接访问该目标服务器。如果未曾登录过任何应用服务器，则该应用要求用户进行身份认证，认证结束后，代理程序将认证结果发送给认证服务器。

即插即用解决方案对系统不进行改造，以避免协调难度大，或找不到原开发商而带来的实施周期长，成本高，或实施半途而废的现象。此方案通过对系统名称、IP地址和端口、用户信息、单点登录信息、用户授权等进行配置来实现系统单点登录。通过这种简单的配置工作，就可将一些不易改造或是不能接受后置代理方式的应用系统完全整合到单点登录系统上，这种方案无论对于B/S还是C/S结构的应用系统都适用，尤其是对于C/S结构的应用系统，通过下载SSO 控件，来对用户实现单点登录。不用对C/S系统进行改造，避免C/S不易实施单点登录问题。

后置代理方案和即插即用方案各有优缺点，本项目选择更易实施的即插即用方案。其中B/S系统实现单点登录过程如下：

1) 用户访问统一身份和单点登录系统服务器，统一身份和单点登录系统根据为用户定义的认证方式对用户进行认证。

2) 认证成功后，返回此用户有权限访问的资源列表。

3) 用户通过资源列表的链接访问目标应用系统。

4) 统一用户和单点登录检验当前的用户会话是否经过认证及授权，如果会话合法，则通过认证授权服务器取得用户在目标应用系统下的账号和密码后，把用户当前的请求重定向到真正的目标服务器，同时把登录应用系统时需要用到的账号、密码及应用系统需要的其它参数一起提交给应用系统，应用系统完成对当前请求的认证。

5) 认证通过后，用户与应用系统直接进行正常通讯。

实现C/S系统的单点登录时，需要安装一个单点登录客户端插件。其主要原理就是单点登录客户端插件代填用户名口令到应用系统客户端，并且让应用系统客户端自动提交完成登录，达到无需人工输入，实现登录系统的目的。

今后还可通过集成多种外置身份认证设备，对外提供统一认证界面、实现多种身份认证方式，如证书、USBKEY、动态口令、指纹等认证手段及这些认证手段的结合。

2.3 待办事项抽取实现

用户登录统一用户管理与单点登录系统后，需要调用OA系统、三重一大决策支持系统、经济活动管理系统等提供的相关接口，集中展现各系统的待办事项。同时，可通过右下角弹框的方式提醒各系统新增的待办消息，点击相应事项的链接时，可直接登录到相应系统。该功能需由业务系统开发人员进行开发提取，在统一用户管理和单点登录系统的门户上通过嵌入iframe方式进行展现。待办事项抽取业务流程见图3。

图3 待办事项抽取流程

待办事项抽取业务流程如下：

1) 待办信息产生时，业务系统向统一用户管理与单点登录系统发送待办数据。

2) 统一用户管理与单点登录系统给用户发送待办提醒，并可通过点击待办链接跳转到业务系统中，进行待办处理。

3) 待办被处理后，业务系统向统一用户管理与单点登录系统发送待办删除信息，统一用户管理与单点登录系统将删除此待办，不再显示。

2.4 统一授权管理

统一认证授权平台采用基于角色的授权机制，按照单位内部的组织结构划分角色，并为用户绑定角色，对于不同的角色分配不同应用系统的访问权限。系统支持分级授权功能，即支持设置子单位(部门)管理员，部门管理员只可以管理本部门用户[3]。

目前对于当前的已建系统采用粗粒度授权，即授权粒度只精确到应用系统、设备、主机。统一身份和单点登录授权粒度还可以不用改造系统实现部分细粒度授权，对于B/S结构的应用系统，统一身份和单点登录平台可为其提供基于URL的细粒度访问权限。为用户或组设置其可以访问的Web系统和页面。

2.5 集中安全审计

审计是信息系统安全防范措施不可缺少的一部分，它需要可靠地记录最终用户和管理人员的访问过程，建立一套全面、有效的回溯和追查机制，不仅可以让系统管理员实时监测用户对各应用系统的访问状态，及时发现非法访问事件，并且对于出现问题的事后追溯也有着重要的意义。

安全审计子系统主要对系统管理员的管理行为和普通用户的访问行为进行审计，还可按用户账号、系统名称、时间、异常事件类型等分类进行审计信息的查询、分析统计，其结果以报表或图形的方式进行展现，以利于安全事件的快速、直观把握。

3 结语

本文基于长江航道局信息化发展现状及整合需求，阐述了实现统一用户管理与单点登录系统的技术方案。该系统通过构建统一的、标准的用户管理平台，将各分散的信息系统中的用户信息整合，实现了用户信息、账户和角色的统一管理，并通过提供统一的单点登录入口，实现对所有被授权网络资源的无缝访问，不仅提高了员工的工作效率，同时也减少了系统管理员的管理成本和工作强度，对于推动长江航道局信息化资源整合具有重要意义。

[1] 严骏.单点登录和统一用户认证设计与实现[J].信息与电脑(理论版)，2016(12)：59-60.

[2] 蔡芳.统一用户与单点登录实现应用系统集成方法研究引证[J].电脑知识与技术，2016，12(27)：188-190.

[3] 胡娟.统一用户管理与单点登录系统的设计与实现引证[D].北京：北京邮电大学，2014.