企業(yè)統(tǒng)一身份認(rèn)證的應(yīng)用

【摘 要】隨著科技迅速發(fā)展，企業(yè)內(nèi)部的信息化在科技的帶動(dòng)下也不斷完善，曾經(jīng)靠單一的信息系統(tǒng)建設(shè)來進(jìn)行工作，隨著發(fā)展，單一系統(tǒng)已無法滿足發(fā)展的需要，逐步走向多功能多層次的多元化的系統(tǒng)建設(shè)，也大大提高了工作效率，但工作效率提高的同時(shí)，企業(yè)內(nèi)部信息系統(tǒng)數(shù)量的增加也給企業(yè)信息的管理方面帶來了各種各樣的問題，面對(duì)其中用戶管理和系統(tǒng)安全的問題，企業(yè)內(nèi)部不得不通過有效的辦法來進(jìn)行解決。

【關(guān)鍵詞】企業(yè) 統(tǒng)一身份認(rèn)證 應(yīng)用

一、前言

隨著社會(huì)的發(fā)展，各大企業(yè)都不斷的健全公司的信息化系統(tǒng)，主要的建設(shè)內(nèi)容有協(xié)同辦公系統(tǒng)、財(cái)務(wù)管理、設(shè)計(jì)信息化系統(tǒng)、采購倉儲(chǔ)管理以及人力資源管理等項(xiàng)目，由于信息化資源的使用，很大程度上提高了企業(yè)的工作效率。但是隨著企業(yè)的不斷壯大，這些系統(tǒng)之間卻沒有完整體系架構(gòu)，讓企業(yè)用戶工作時(shí)要在各個(gè)系統(tǒng)之間頻繁登錄，給用戶使用帶來許多不便，同時(shí)也給企業(yè)的信息資源帶來很大的安全隱患，因此建立一個(gè)涵蓋各個(gè)多方面內(nèi)容的安全可靠的企業(yè)信息門戶就尤為重要。

二、企業(yè)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)

對(duì)于企業(yè)統(tǒng)一身份認(rèn)證系統(tǒng)，主要的目標(biāo)是為了為企業(yè)的一些跨區(qū)域網(wǎng)絡(luò)服務(wù)以及應(yīng)用系統(tǒng)，提供一個(gè)統(tǒng)一的用戶管理平臺(tái)。企業(yè)的用戶必須要通過用戶名以及密碼才能夠登錄到系統(tǒng)中，并且只要用戶登陸之后，便可以在其他授權(quán)訪問的系統(tǒng)之間形成安全信任的關(guān)系，不用再次登錄就可以進(jìn)行相關(guān)操作。因此企業(yè)的統(tǒng)一身份認(rèn)證系統(tǒng)主要功能是：用戶基本信息的存儲(chǔ)與管理，用戶身份的驗(yàn)證以及用戶的單點(diǎn)登錄。

（一） LDAP目錄系統(tǒng)設(shè)計(jì)

對(duì)于LDAP目錄系統(tǒng)的設(shè)計(jì)，你可以理解它就是一種特殊類型的數(shù)據(jù)庫，這種特殊的數(shù)據(jù)庫主要的功能不是對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)，而是對(duì)存儲(chǔ)數(shù)據(jù)的查詢進(jìn)行了優(yōu)化，因此具有很強(qiáng)的優(yōu)勢(shì)。并且LDAP具有一個(gè)安全的協(xié)議，可以提供相應(yīng)的訪問限制。對(duì)于統(tǒng)一身份驗(yàn)證的設(shè)計(jì)，主要是利用LDAP目錄服務(wù)作為統(tǒng)一身份的基礎(chǔ)，針對(duì)企業(yè)相應(yīng)的區(qū)域的地理分布、應(yīng)用系統(tǒng)的部署以及網(wǎng)絡(luò)情況進(jìn)行相應(yīng)的設(shè)計(jì)。各個(gè)分公司則是在本地進(jìn)行相應(yīng)的身份認(rèn)證目錄的存放以及管理著分公司的用戶身份信息。并且這些分公司的身份管理系統(tǒng)將會(huì)把這些目錄信息自動(dòng)同步到企業(yè)總部的身份認(rèn)證系統(tǒng)之中。

（二）單點(diǎn)登錄設(shè)計(jì)

用戶登錄應(yīng)用系統(tǒng)可以通過單點(diǎn)的方式登入應(yīng)用系統(tǒng)進(jìn)行訪問，也就是所謂的SSO（Single Sign On），它的目的是實(shí)現(xiàn)身份認(rèn)證的管理系統(tǒng)能夠驗(yàn)證用戶信息，以較為安全的方式轉(zhuǎn)到應(yīng)用系統(tǒng)中進(jìn)行核對(duì)，應(yīng)用系統(tǒng)通過身份認(rèn)證功能認(rèn)證正確的用戶身份信息，在這過程中，身份認(rèn)證系統(tǒng)會(huì)將信息在數(shù)據(jù)庫中進(jìn)行核對(duì)，如果信息正如，用戶則完成了相應(yīng)的登入，并且可以進(jìn)入應(yīng)用程序，將請(qǐng)求的資源和信息通過網(wǎng)關(guān)返回給企業(yè)門戶。

在單點(diǎn)登錄的過程中戶涉及到兩種登入狀況，第一種是企業(yè)用戶訪問本地的系統(tǒng)和應(yīng)用，第二種是系統(tǒng)在設(shè)計(jì)時(shí)會(huì)將同一個(gè)公司的所有系統(tǒng)作為一個(gè)信任域，在每個(gè)單個(gè)的信任域中都會(huì)有一個(gè)單獨(dú)存在的認(rèn)證系統(tǒng)進(jìn)行相應(yīng)的身份認(rèn)證，然后企業(yè)本部的身份認(rèn)證系統(tǒng)與之前每個(gè)信任域中的單個(gè)身份認(rèn)證系統(tǒng)進(jìn)行信息的交流和比對(duì)并且建立相應(yīng)的聯(lián)系。

用戶通過單點(diǎn)登錄本地的應(yīng)用系統(tǒng)時(shí)，要先從身份認(rèn)證管理系統(tǒng)中登錄驗(yàn)證，如果順利通過驗(yàn)證，則該用戶可以對(duì)應(yīng)用程序進(jìn)行訪問。如果是企業(yè)總部要到分公司的域進(jìn)行登錄，認(rèn)證系統(tǒng)則會(huì)通過總部的域控系統(tǒng)給予相應(yīng)的訪問權(quán)限，分公司也可以通過分公司的域控系統(tǒng)進(jìn)行用戶的身份驗(yàn)證，管理器會(huì)通過SAML/協(xié)商，實(shí)現(xiàn)總部到分公司的登錄認(rèn)可。

（三）統(tǒng)一身份認(rèn)證系統(tǒng)的管理設(shè)計(jì)

企業(yè)的統(tǒng)一身份認(rèn)證主要有兩個(gè)部分，第一是訪問網(wǎng)關(guān)，第二是身份認(rèn)證管理服務(wù)器。創(chuàng)建身份認(rèn)證訪問網(wǎng)關(guān)作為一個(gè)獨(dú)立的訪問認(rèn)證入口，它主要提升了企業(yè)的信息和用戶的安全性。身份認(rèn)證管理服務(wù)器的責(zé)任則是在服務(wù)器中比對(duì)和認(rèn)證用戶登錄的信息，并且負(fù)責(zé)與訪問網(wǎng)關(guān)的通訊工作。訪問網(wǎng)關(guān)在認(rèn)證過程中會(huì)為應(yīng)用系統(tǒng)提供相關(guān)的訪問服務(wù)和保護(hù)，還對(duì)其進(jìn)行監(jiān)控和審計(jì)服務(wù)。身份認(rèn)證管理服務(wù)器則是通過不同的IP地址讓用戶在地址不相同的情況下阻止登錄和訪問，用戶要通過DNS域名向企業(yè)門戶反饋登錄信息，這種情況下，用戶實(shí)際訪問的是企業(yè)門戶的代理。

通過以上的設(shè)計(jì)思想進(jìn)行構(gòu)建，實(shí)現(xiàn)了某大區(qū)域企業(yè)總部公司的身份認(rèn)證入口，該總公司的其他各個(gè)分公司的員工可以通過子公司的單獨(dú)域名進(jìn)行登入。

三、結(jié)語

現(xiàn)今隨著社會(huì)的發(fā)展，建立一個(gè)安全性與可靠性高的統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)于各大企業(yè)來說是十分重要，因此在現(xiàn)今的很多企業(yè)中，都加強(qiáng)了對(duì)身份認(rèn)證系統(tǒng)的構(gòu)建。對(duì)于企業(yè)統(tǒng)一身份認(rèn)證系統(tǒng)的構(gòu)建，主要是根據(jù)企業(yè)的地理分布以及應(yīng)用系統(tǒng)的部署情況，利用LDAP目錄系統(tǒng)，作為整個(gè)企業(yè)架構(gòu)設(shè)計(jì)的基礎(chǔ)，對(duì)用戶的基本信息進(jìn)行存儲(chǔ)。并且根據(jù)網(wǎng)絡(luò)身份認(rèn)證的管理框架，設(shè)計(jì)了兩大主要的組件，分別是訪問網(wǎng)關(guān)以及身份認(rèn)證管理服務(wù)器。訪問網(wǎng)關(guān)是一個(gè)統(tǒng)一訪問的入口，用戶在訪問時(shí)，必須要經(jīng)過訪問，并且利用反向代理技術(shù)對(duì)后端的企業(yè)用戶提供相應(yīng)的訪問保護(hù)服務(wù)。而身份認(rèn)證管理系統(tǒng)的主要功能是對(duì)各個(gè)應(yīng)用系統(tǒng)進(jìn)行用戶身份的集中認(rèn)證。主要是對(duì)企業(yè)的級(jí)聯(lián)認(rèn)證架構(gòu)進(jìn)行了設(shè)計(jì)，并且對(duì)于各個(gè)區(qū)域系統(tǒng)的身份認(rèn)證管理服務(wù)器都是在級(jí)聯(lián)認(rèn)證的基礎(chǔ)之上。主要是利用SAM/Liberty協(xié)議進(jìn)行協(xié)商，并且支持用戶的單點(diǎn)登錄，從而很有效的對(duì)企業(yè)用戶身份進(jìn)行了統(tǒng)一集中的管理。

參考文獻(xiàn)：

[1]黃美東.基于 LDAP 與 Kerberos 協(xié)議的統(tǒng)一認(rèn)證系統(tǒng)研究與設(shè)計(jì)[D].上海交通大學(xué)，2010，1（2）：10-12.

[2]周倜，王巾盈，李夢(mèng)君等.Kerberos 協(xié)議版本的分析與比較[J].計(jì)算機(jī)科學(xué)，2010，6（02）：121-122.

[3]王騫.基于 LDAP 的用戶認(rèn)證與授權(quán)技術(shù)在網(wǎng)管系統(tǒng)中的應(yīng)用[D].北京郵電大學(xué)，2010.

[4]鄭輝.基于LDAP的統(tǒng)一身份認(rèn)證目錄服務(wù)系統(tǒng)研究與設(shè)計(jì)[D].電子科技大學(xué)，2010.

[5]李愛華.統(tǒng)一身份認(rèn)證以及身份認(rèn)證應(yīng)用模型的研究與實(shí)現(xiàn)[J].東南大學(xué)，2010，5（1）：56-60.