统一信息门户建设方案探讨.docVIP

统一信息门户建设方案探讨 　　【摘 要】为了解决因信息系统建设数量众多而出现的“多账号密码”问题，本文通过建立统一信息门户来解决。文中介绍了建设统一信息门户的关键：统一身份认证、单点登录和集中授权，最终实现信息系统的无缝集成。 中国论文网 /8/view-7188501.htm 　　【关键词】信息门户；身份认证；单点登录；集中授权 　　0 前言 　　近几年，学校的信息系统建设已基本完成，但是因为没有统一的信息门户，所以各个信息系统都各自拥有一套账号和密码，使得用户在使用这些信息系统的时候需要记忆多个账号和密码，为了解决这种“多账号密码”的问题，需要通过建设一个统一的信息门户为用户提供一个统一的认证和访问入口，同时还可以提供一个信息展示窗口，整合现有分散的信息系统，为信息有效共享提供一个支撑平台。 　　整合现有分散的信息系统的难点是对各个异构应用系统的整合，其关键是通过信息门户解决用户认证、单点登录、授权问题。用户认证是信息门户对使用系统的用户身份进行合法性判断；单点登录是当合法用户登录信息门户后，可以直接点击信息门户中集成的各个应用系统进入使用其资源，而不需要在使用这些应用系统的时候再次输入账号密码进行登录；授权是信息门户为了保证集成的各个应用系统的安全，对合法用户在各应用系统中的资源使用进行权限设置并管理，确保合法用户只能在各个应用系统授权的范围内进行操作[1-3]。 　　1 用户认证 　　传统的用户身份认证方式是每个应用系统都自己建立并维护，其用户身份的管理与认证是相互独立的，这种方式简便易行，但弊端也非常明显，用户身份信息需要多次重复建立，并且要各自独立进行更新和管理，有时甚至会出现不同的应用系统中的用户身份信息不一致的问题，而且在访问各个应用系统的时候还需要多次输入账号密码进行不同的认证，使用户既要记忆多个账号密码又要重复输入，增加了记忆的困难度和操作的重复性。为了解决这些问题，本文将通过信息门户整合应用系统的认证流程，为用户提供单点登录[4]。 　　用户想要通过认证请求受保护资源时，首先是通过浏览器访问CAS（Central Authentication Service，中央认证服务）客户端，检查是否有session（会话），如果没有，则返回浏览器，重定向到CAS服务器端，发送认证请求，然后弹出登录页面，由用户输入用户名和密码请求认证，如果认证成功，则返回ST参数给浏览器，然后浏览器将ST参数传给CAS客户端，CAS客户端请求CAS服务器端进行验证，并给CAS客户端返回确认信息，此时，CAS客户端会创建session，重定向到浏览器登录成功，用户可以访问受保护资源了。对于用户来说，上述认证过程体验如图1所示，用户信息存放在统一部署的LDAP中，当用户登录信息门户时，门户将用户身份信息通过LDAP进行认证，如果认证通过，则允许登录；否则拒绝用户登录。 　　图1 用户体验的认证过程 　　2 单点登录 　　单点登录实现的前提是首先有一个统一的访问入口，即统一信息门户。该信息门户能够对将集成的各应用的信息进行重新整理，将所有的信息汇总到一个界面上为用户发布统一的信息，以便用户更高效地得到和使用这些信息，解决了用户一个一个的访问应用系统查看信息的繁杂问题。用户在浏览所需要的信息或者进行业务操作的时候，不再需要重复多次输入账号密码登陆业务系统，而是直接通过统一信息门户单点登录进入不同的应用系统来完成用户的工作，获得用户所需的资源。其单点登录的工作原理[5]如下图所示： 　　图2 单点登录工作原理图 　　用户在登录门户时，首先检查是否是初次登录，如果用户初次登录门户，则进行用户身份认证，认证成功地完成后，用户会得到服务器给用户发出的登录证据，该登录证据会存储在客户端的Cookie中；如果用户不是初次登录门户时，门户服务器会把客户端的请求以及存储的登录证据一起发送出去；被请求登录的应用系统对登录证据进行验证，以便检查该登录证据是否有效，如果登录证据有效，则无需用户重新登录直接进入应用系统，即用户就完成了系统间的身份认证，实现了通过信息门户进行单点登录集成的应用系统；如果登录证据无效则退出。 　　3 集中授权 　　授权是确定认证通过后的用户是否有权对系统资源进行访问或操作，集中授权是通过集中的授权中心，采用统一的策略管理进行用户授权，这种方式总管理成本小，安全性较高，通常采用基于角色的方式来实现。在基于角色的授权中，角色和权限相关，用户被指定为不同的角色，通过角色来获得对象或对象组的访问权限。根据功能性属性的不同将用户组织定义为不同的角色，如从属关系、访问模式或等级标志等。在制定访问控制规则时，可采用访问控制列表（ACL）。ACL是由所有访问允许规则组成的集合，应用于单一对象。 　　4 结束语 　　本系