1、企业信息门户与统一的用户安全认证体系0引言国家电网公司信息化“SG186工程的建设规划和一体化平台的总体架构设计,其中一个重点是:要建立一个信息共享、安全可靠的企业门户;同时在国家电网公司全网建设统一目录管理系统,为八大业务应用及其他应用系统提供用户认证、账号供给、单点等根底支撑效劳。因电力企业信息化建设起步较早,原来大都以部门业务为条线进行建设,没有采用统一的技术架构,限制了系统之间的信息共享和信息交换,形成企业的信息孤岛。同时,不同的应用系统拥有相对独立的用户管理体系,缺乏一种有效的资源访问管理机制,导致用户管理比拟混乱。在此情况下,可建立企业信息门户和用户安全认证体系,提供统一的信息访问
2、渠道。企业信息门户(以下简称企业门户),是访问各种信息和应用系统的统一人口,用于访问分布在企业内各种格式,各种来源的内容,集成各种现有业务应用系统(财务管理、营销管理、OA等),用户可通过企业门户与其他人共享信息、通信和协同工作。河南省电力公司已经通过对信息资源的整合,建立了公司统一的企业门户和用户安全认证体系,为各业务应用系统提供了一个方便、快捷的数据交换平台,并为每一位员工提供了可个性化定制的个人工作平台。1电力企业门户的组成电力企业门户总体架构可分为3个层次:用户接人层、门户系统和企业应用系统。如图1所示。1.1用户接人层企业门户支持各种有线、无线的网络接人方式,用户既可以用PC机、也可
3、通过PDA 等移动终端访问企业门户。1.2门户系统提供用户访问的安全控制手段、个性化定制、内容管理、协同力、公和门户相关效劳功能等应用,具体包括:(1)用户管理:提供企业门户用户信息的管理手段,建立电力企业统一的目录系统,为实现通过门户访问企业内资源的单一机制提供人员信息根底。(2)认证管理:支持多种认证方式,包括静态密码、动态密码、数字证书等,对用户访问进行身份认证。同时可以直接利用已有系统中的用户帐户信息进行身份认证。(3)系统与安全管理:企业门户所承载的应用与内容大多数都是企业的敏感信息,系统安全是需要首先考虑的问题。通过认证、加密、授权等3个方面确保接人企业门户的业务应用系统的安全;同
4、时,采用负载均衡、容灾、备份等措施保证企业门户自身的高效和安全可靠。(4)访问策略管理:为用户访问企业门户提供信息访问权限控制、访问渠道管理等多种功能,少l定义个性化效劳的访问策略。如员上对内部的各种应用和信息是否在其门户桌面上可见,是否允许其访问等,就是通过策略管理来实现的。策略管理是门户其他功能(安全、个性化展示、定制等)的根底。(5)个性化效劳:在系统统一控制管理的根底上,为员工提供个性化的管理平台。访问者可以根据自身工作性质和对企业资源的访问需求,设置个性化的访问界面,并通过这种个性化的效劳查阅、管理相关信息。(6)内容管理:企业门户可以对各种结构化和非结构化的数据(如业务数据、网站新
5、闻等)进行处理,识别各种关系型和OLAP类型的数据库。(7协同办公:提供在线人员感知、即时消息、网络会议室等功能和信息。(8)搜索效劳:企业门户不但可以整合Tnternet上的各种搜索引擎,也可对门户中的信息进行综合搜索。(9)虚拟门户:企业门户提供在一个物理实体上建立多个虚拟门户的功能,使公司各部门、下属单位都可以建立自己的门户。举例来讲,假设在某个网省公司。已经实现了大多数业务应用系统数据的大集中,并且在省公司也建立了规模相对较大的企业门户,在这种情况下,其下属单位就不必再建设自己单独的门户,而是直接利用省公司门户的物理设备,采用虚拟门户的方式来访问相关信息。利用虚拟门户将明显减少建设资金
6、的投入。1.3企业应用系统企业应用系统包括电力企业内部原有的各应用系统,它们主要通过单点和应用集成来实现门户内容的整合。2统一的用户安全认证体系2.1统一用户目录统一用户日录是用户安全认证体系的根底。它是个独立的目录系统,可扩展、可纵向连接。为保证一致性,使日录信息能在公司系统内进行同步,应进行目录树结构和目录schema的统一规划设计。2.2身份认证身份认证是指通过多种方式对用户身份进行验证,确保个人身份的真实性。用户安全认证方式分为根本认证、表单认证、Kerberos认证、客户证书认证、IITTP头认证、工P认证等。其中根本认证、表单认证、Kerberos认证、客户证书认证主要为最终用户提
7、供;IITTP头和IP地址认证主要用于计算机已经处于安全级别比拟高的位置,简化认证流程。(1)根本认证(BasicAuthenticate):是按照rfc2616(超文本传输协议 /1.1)标准要求,由认证效劳器向客户端发送“WWW-Authenticate头,客户端将用户名和密码提供给认证机制的标准方法。由于传输的密码没有加密,通常需要和 S配合使用.以提高安全性。(2)表单认证:因为大多数B/S系统都采用了表单的方式来提交用户身份的认证请求,所以这种用法最多。这种方法可从认证效劳器产生定制的HTML表单,而不是在根本认证期间产生标准的提示。(3)Kerberos认证:几乎所有的LDAP效劳
8、器都支持Kerberos认证,采用Kerberos认证的好处是用户密码不会在网络上传送,防止密码泄露。如WindowsActiveDirectory支持Kerberosv5认证协议,采用Kerberos认证主要是解决Windows域用户自动认证问题。Windows的用户可以将Kerberos票据发送到认证效劳器,认证效劳器再联系ActiveDirectory,实现用户自动认证。(4)客户证书认证:是利用SSL协议,由客户出示客户证书来到达识别用户身份的目的。客户证书可以导入IE浏览器。为了加强安全性,客户证书还可存放在U盘或智能片中以防止被盗用。客户证书中包含有客户所处目录效劳器(LDAY)的
9、位置信息,目录效劳器也可以存放有客户证朽,当认证成功时,认证效劳器可以获取一个用于说明用户身份的凭证,根据凭证授予该用户的许可权和权限。由于客户证书采用公私钥机制,用户不需要记忆自己的密码,身份识别信息不容易被盗用,安全性较高。在河南电力OA系统中,有一局部重要用户拥有数字证书,采用的就足这种认证方式。(5) 头认证:客户机提供的信息通过定制的 头传递给认证效劳器,认证效劳器信任此定制的 头数据是先前认证的结果,并由认证模块来进行认证。(6)IP认证:IP认证主要用来简化认证手续或对计算机设备认证。由于IP地址容易伪造,所以IP认证主要用于企业内部等网络安全级别已经比拟高的场合。认证效劳器使用
10、 -request参数确定计算机的身份。3单点系统的应用单点(SingleSignOn,简称为SSO)功能是企业门户中统一用户安全认证体系的典型应用。简单地讲,单点指的是:1次,即可访问多个应用系统。企业门户中,统一的用户安全认证体系,包含3个重要的组成局部:统一用户管理、用户授权管理和单点的接入。3.1统一用户管理在整个单点系统中占据重要地位,而一个真工意义上的统一用户管理平台必须具备数据统一、效劳统一、管理统一、同步用户数据等功能。数据统一:包含目录结构和格式的统一规划和初始化数据的清理;效劳统一:提供标准化效劳,用于目录系统内部以及外部应用系统和目录系统之间的交互;管理统一:使用尽量少的
11、业务人口来进行用户数据的维护,以确保用户数据的唯一性;用户数据同步:包含不同业务应用系统之间用户信息的同步,以及跨域认证时不同目录树之间用户数据的同步。对于它的部署方式,般可以在公司系统内建立统一的身份目录,有选择地进行横向、纵向的用户信自、同步,为单点提供人员信息根底。河南省电力公司企业门户于2023年正式投入运行。对于企业门户用户的管理,刚开始以人力资源管理系统作为权威数据源,企业门户的用户来源于人力资源。也就是说,只有当人力资源系统中的用户发生变化时,用户变更信息、才会同步到企业门户的LDAP效劳器中,企业门户中的用户才会随着变化。但在实际应用中,发现人力资源系统用户信息的变更不太及时,
12、影响了门户用户的正常。而OA系统的用户信息、相对更新速度快,也比拟准确,所以改将OA系统作为权威数据源,实际效果良好。3.2用户授权管理用户授权有3种方式:规那么授权、委托授权和开通效劳。(1)规那么授权是指基于规那么的授权,系统可以根据商业规那么和用户属性,动态地授权用户对门户资源的访问。(2)委托授权为Portlet、用户、授权等实现委托管理,委托授权效劳判断用户是否有访问后台资源权限,是由ACL和被管理资源以及它们之间的对应关系共同来完成的。(3)开通效劳是指新员工人职、职位变迁飞员工离职等这些所有的变化时,都涉及到对用户在各个应用系统中的权限变化,在统一的开通效劳中进行修改配置,从而可
13、以实现用户的生命周期管理和资源的生命周期管理。3.3接入方式目前电力企业内部各应用系统从技术架构上可以分为B/S和C/S两大类,随着信息技术的开展,基于B/S结构的Web应用逐步成为以后应用开发的主流技术。下面,只对B/S应用系统在单点系统中的接入方式做分析。接人方式大致分为3种,分别对应于不同的情况:对企业内部应用,可采用模拟应用系统的方式;对互联网应用,可使用用户自助的接人方式;对企业门户级联等其他有特殊要求的应用,就可以采用第3种方式,改造原有应用系统的认证方式。3.3.1模拟应用系统(1)自动填表应用系统:对于大多数B/S应用系统,通常会提供一个表单页面作为系统的页面。在用户通过单点系
14、统的身份认证后,当用户第1次访问某应用系统时,系统要求在表单中输入身份证明,如果这些信息是准确的,那么会被自动存储在单点系统中。以后,当用户通过单点系统的身份认证再次访问该应用系统时,单点系统会自动将用户名和密码填人表单并提交页面,使用户自动该应用系统。在河南电力企业门户中,对企务信、财务管理、电力营销、生产MIS等大多数应用系统采用了这种自动填表的方式。(2)发送 头应用系统:在用户通过单点系统身份认证后,单点系统将包含用户身份信息的 头发送到应用系统,应用系统获取 头中的用户身份信息,决定是否允许用户。通过 头,既可以利用 协议中规定的根本认证方式应用系统,也可以使用单点系统与应用系统之间
15、约定的头信息。在河南电力企业门户中,OA系统和企业门户事先约定了一定格式的 头信息,OA系统的普通用户采用了IITTP头的方式来接人单点系统。以上介绍的这2种方式,用户信息可以在内部的各业务应用系统中获得,用户可以纳入统一目录管理之中,由统一目录进行不同业务应用之间用户信息的同步。下面要介绍的用户自助方式主要适用于无法收集用户信息,且无法进行改造的系统。3.3.2用户自助对于互联网邮件系统,它们都具备私有的用户管理机制,而比无法对其进行改造。为了实现这些邮件系统的单点,可以对不同的邮件系统的Web页面进行分析,开发统一的邮件系统关联模块,模拟邮件用户的功能。门户用户使用时,首先需要在该模块中设
16、置个人的用户名和密码,当用户通过邮件的单点功能该邮件系统时,模块得到用户预先设置的用户名和密码,随后发起请求尝试邮件系统。当然,每次用户修改夸录密码,需要在该模块中再次修改密码。通过用户自助的方式,河南省电力公司成功整合了网易、新浪、雅虎、HotMail等多种常用的互联网邮件系统。3.3.3改造原应用系统的认证模块对于有特殊要求的应用,可以改造原应用系统的认证模块,利用门户系统提供的统一认证平台实现不同业务应用系统的单点。在实施河南省电力公司与国家电网公司企业门户级联时,采用了这种方式,即把河南省电力公司企业门户的认证模块进行了相应修改,来适应国家电网公司统的要求。4结语总的来讲,有了统一的用户安个认证体系做根底,分析各应用系统的特点,选择适宜的方法,对应用系统进行加工和