基于AD的企业统一认证方式概述.docVIP

基于AD的企业统一认证方式概述 摘要：在企业内部，可能会存在众多的企业应用，这些应用是否能够使用统一的认证方式，不论对于用户，还是对于IT运维管理人员，都具有非常重要的意义。基于AD的企业统一认证方式概述，给出了一种现实可行的企业统一认证方式，该方式对于不同开发的应用系统能够实现支持和兼容，从而避免了对于应用系统开发语言的限制，扩大了企业IT人员对于应用系统选型的灵活性。在最后的部分讨论了这种认证方式存在的一些不足，以及未来需要考虑的问题。 关键词：认证；AD；企业应用 中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2015）05-0102-02 在企业信息化建设过程中，各应用系统都离不开用户身份认证这样一个基本功能。企业内部存在着众多的业务系统，每个业务系统的用户身份认证方式都不尽相同，用户需要针对每个系统记忆特定的密码，而企业IT部门则需要为此付出大量的维护工作。为此，企业应用统一认证在企业信息化的过程中变得尤其重要。 而企业信息化所采用的企业技术架构也是千差万别。根据企业自身的业务特点，一个企业内部通常会存在若干的业务系统，有的业务系统是从外部引入的成熟软件产品，有的业务系统是通过定制开发实现的。各应用系统的操作系统、开发语言、采用之间件也都不尽相同。因此，怎么选择企业应用统一认证方式，是一个令人头疼的问题。 1 企业应用统一认证方式概述 通过对不同企业内部身份认证方式的研究，可以发现，企业对于统一身份认证的需求意愿通常都较高，并且，不同企业内部的实现的程度和方式也不尽相同。 从逻辑上讲，企业应用统一认证架构需要包括如下几个部分： 1） 用户身份信息存储 该部分用于实现用户身份信息的存储，并且确保用户身份信息的安全可靠，对于非法访问的限制，并能够对于类似于暴力破解的手段具有足够的防御能力，例如微软的AD。 2） 用户认证协议 用户认证协议则是实现了支持应用系统对用户身份信息进行存取。通过用户认证协议，企业应用能够验证用户身份信息的合法性，从而确定是否允许登录应用系统。 3） 访问适配器 访问适配器则是应用认证协议客户端的具体实现，从逻辑关系上讲，该部分属于企业应用的一部分，企业应用通过访问适配器，能够实现与用户身份信息存储的交互，从而完成用户身份的验证功能。 整体企业应用统一认证架构如图1所示： 2 基于AD的企业应用统一认证架构 在企业信息化的过程中，基于现有的环境，可以选择不同的企业应用统一认证架构。由于微软系列产品在个人办公电脑和桌面应用上属于绝对的主流产品，所以基于AD统一认证架构，是很多企业的选择。 在实际应用中，微软的AD产品和微软系应用结合的非常紧密，在IIS应用服务器中，通过简单的设置，即可实现应用于微软AD的整合，从而实现应用的统一认证。而企业内部的应用通常是基于多种不同的开发语言的，常见的如C#语言，JAVA语言，PHP语言。基于这些不同的语言开发的应用，都需要能够实现基于AD的统一认证，这样，才能为各企业应用的使用者和管理维护者带来便利。 基于AD的企业统一应用认证架构如下： 2.1 C#应用 C#应用由于其基于微软平台，因此，实现基于AD统一应用认证是最为容易的。基于C#的web应用，都是基于IIS应用服务器的，在IIS应用服务器中，通过简单的配置，即可实现。 用C#开发的WEB应用，配置实现基于AD的统一应用认证分为两部分，一部分是在IIS中进行配置，另外就是在应用代码中进行特定的设定和使用。具体的： 1） 在IIS中的配置 将应用部署在IIS应用服务器上后，选中部署的应用，在右侧窗口IIS部分中点击“身份验证”，从中选择“WINDOWS身份验证”并启用。 2） 在应用代码中进行的相关设定 在应用代码中通过下面形式的代码可以获得当前的访问的域用户： request.Credentials CredentialCache.DefaultNetworkCredentials； 在web.cofig文件中需要将authentication元素的mode属性配置为Windows。 2.2 JAVA应用 JAVA应用在实现基于AD的单点登录时，需要有一个通用的组件能够实现NTLM的协议，从而实现与AD的交互来验证用户当前身份的合法性。具体的实现就会有两种做法：一种是完全实现一套NTLM/Kerberos协议，从而完成与AD的交互。另外一种做法是利用现有的组件来实现。当前，实现的较好的组件是Jespa。该组件能够较好实现对于NTLMv1和NTLMv2的实现，对于当前windows7以后的平台支持较好。 具体的，在JAVA应用中，需要引入Jespa的filter，通过filter来获取当前具有访问权限的用户名，同时，Jespa还有一个配置文件，用于配置AD的相关属性信息，包括dom