基于SOA架构企业统一用户身份认证平台研究.docVIP

基于SOA架构企业统一用户身份认证平台研究 　　[摘 要] 为了解决企业多个自建信息系统资源目录不统一的问题，西南油气田引入了SOA架构，从而实现将“烟囱式”部署的各类信息系统所提供的服务逐步进行集成与整合的目的。文中基于SOA框架，构建了一个包括单点登录、统一身份与认证管理以及业务角色分级授权等模块的统一用户身份认证平台。通过该平台将身份认证功能进行服务化，对于新建系统而言可以复用该功能组件，从而节省部分软件模块的开发成本。 　　[关键词] 面向服务体系架构；企业服务总线；统一身份认证；分级授权；角色 　　doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 19. 033 　　[中图分类号] F270.7 [文献标识码] A [文章编号] 1673 - 0194（2016）19- 0056- 03 　　0 引 言 　　随着西南油气田公司信息化建设的持续推进，软件应用系统日益增多、应用模式趋于复杂，这些应用系统一方面促进了企业在生产组织方式上的转变，极大地提高了生产效率、降低了管理成本；另一方面在信息资源目录的统一、用户身份认证的管理以及操作权限的角色定级上暴露出诸多问题，直接影响着系统自身的安全性和可控性。 　　为了集成现有的软件应用系统，实现信息资源优化配置，西南油气田公司引入了SOA技术架构，并通过相关组件搭建了SOA基础软件平台。在此基础上，进行统一用户身份认证管理的研究并构建一个统一的平台，不仅可以解决信息系统资源目录分散，授权认证复杂的现状，还能够节省后续新建系统用户管理功能模块的开发成本。 　　1 SOA软件系统架构 　　数据孤岛是最普遍的形式，存在于所有需要进行数据共享和交换的系统之间[1]。随着企业计算机技术运用的不断深入，不同软件之间，尤其是不同部门之间的数据信息不能共享，即产生孤岛效应[2]。比如勘探业务和开发业务的衔接部分相当薄弱，大部分时间需要人工进行处理，这就是系统孤岛。人们为了解决上述问题，设计出了一种面向应用服务的软件系统架构（SOA），遵循SOA观点的系统必须要有服务，这些服务是可互操作的、独立的、模块化的、位置明确的、松耦合的，并且可以通过网络查找其地址[3]。 　　2 西南油气田SOA总体技术架构 　　如图1所示，目前西南油气田正在建设以IBM SOA基础软件为核心的数据整合与应用集成平台，该平台总体分为三层：底层通过ETL工具以EPDM数据模型为标准进行业务的集成和统一发布；中间层通过企业服务总线（ESB）和业务流程管理（BPM）工具实现数据应用和业务应用的拆分、重组和注册发布；顶层通过门户应用管理，实现应用界面的整合和集成。 　　3 西南油气田统一用户身份认证平台总体技术架构设计 　　西南油气田采用了IBM SOA基础软件平台实现应用系统的整合，而用户身份认证则是应用系统整合的一个基本平台。考虑到西南油气田公司的现状和未来信息系统建设的需要，在设计总体架构时，充分考虑了统一身份认证和应用系统授权功能的紧密结合，同时考虑了西南油气田现有信息化资产和未来新建信息化资产的有机整合，提出了多种认证方式相结合，业务系统权限统一管理的统一用户身份认证平台体系。 　　如图2所示，设计了用于前端管理的统一身份认证平台与用户角色权限管理平台。前端通过统一管理组织机构、用户、角色、权限、应用系统等页面，结合认证服务和单点登录功能，实现统一身份认证；后端通过提供接口，暴露服务的方式，为应用系统提供模块、权限管理功能。 　　3.1 单点登录技术架构 　　单点登录是整个统一身份认证管理的第一道门户，单点登录可以分为真实单点登录和伪单点登录两种大类。本文在单点登录模式的选取上，考虑采用真实单点登录和伪单点登录相结合的方式。一方面，由于集团统建系统绝大多数情况下无法改造其登录界面，因此无法直接实现真实单点认证功能；另一方面，单独采用伪单点登录方式也存在诸多问题，例如：URL方式明文传输非常不安全；门户凭证数据库方式涉及一定的改造并且由于AD域管理上的限制，无法获取全部用户名和账号等。那么对于集团统建和无法改造的系统最直接的办法就是采用浏览器缓存的方法进行表单代填。 　　对于新建的自建系统以及可以改造的系统，通过认证中心发布令牌的方式实现。系统自身的登录认证模块需要进行一定的改造，能够解密令牌，同时与认证中心进行交互，采用此项技术是风险较低，安全性可以得到保障。 　　3.2 统一用户管理技术架构 　　在解决了单点登录问题之后，就要解决统一用户管理的问题。每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样[4]。当用户需要使用多个应用系统时就会带来用户信息同步问题[5]。用户信息同步会增加系统的复杂性，