信息門戶單點(diǎn)登錄和集成待辦在石化企業(yè)的應(yīng)用

摘要：由于用戶需要每天登陸不同的應(yīng)用系統(tǒng)處理相應(yīng)的待辦事項(xiàng)，而每套應(yīng)用系統(tǒng)又有各自獨(dú)立的認(rèn)證系統(tǒng)，很容易造成混淆或者忘記密碼的現(xiàn)象，通過本文介紹的SSO技術(shù)實(shí)現(xiàn)門戶的單點(diǎn)登錄，集成各個(gè)應(yīng)用系統(tǒng)集成待辦，進(jìn)行單點(diǎn)登錄后，即可處理各個(gè)應(yīng)用系統(tǒng)需辦理的待辦信息，大大提高了用戶操作的便捷性，提高了工作效率。

關(guān)鍵詞：信息門戶；單點(diǎn)登錄；統(tǒng)一身份認(rèn)證；信息集成

前言

隨著信息技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)的普及，企業(yè)的發(fā)展越來越離不開信息化的發(fā)展，隨之而來的是企業(yè)內(nèi)部建立越來越多的應(yīng)用系統(tǒng)，尤其天津石化是一個(gè)大型煉化企業(yè)，各級(jí)人員需要隨時(shí)掌握不同層面的生產(chǎn)、運(yùn)行的實(shí)時(shí)數(shù)據(jù)，把所有的應(yīng)用系統(tǒng)數(shù)據(jù)資源集成，進(jìn)行統(tǒng)一辦理的要求顯得尤為迫切，通過SSO技術(shù)對(duì)石化企業(yè)的信息門戶進(jìn)行提升，即可實(shí)現(xiàn)企業(yè)資源的集成和信息共享，滿足這一需求。

一、信息門戶集成的迫切性

天津石化信息門戶作為中國石化信息門戶第一批實(shí)施企業(yè)，于2010年6月上線運(yùn)行至今，已鏈接包括公文管理系統(tǒng)、資金審批系統(tǒng)、計(jì)量系統(tǒng)等24套應(yīng)用系統(tǒng)，信息門戶逐漸成為廣大員工每天必須登錄的系統(tǒng)之一，同時(shí)對(duì)信息門戶的需求也日益明顯，主要表現(xiàn)在：這些系統(tǒng)有著自己獨(dú)立的認(rèn)證機(jī)制，當(dāng)用戶需要登錄這些系統(tǒng)時(shí)，需要不停的更換用戶名和密碼，很容易造成混淆，并且各項(xiàng)工作主辦人員分別登錄多個(gè)系統(tǒng)檢查各自系統(tǒng)待辦信息完成工作，增加了工作人員的負(fù)擔(dān)，降低了用戶的體驗(yàn)。伴隨著近幾年天津分公司信息化的持續(xù)建設(shè)與發(fā)展，一批新系統(tǒng)或在建系統(tǒng)也產(chǎn)生了對(duì)門戶集成的緊迫需求。為了解決這個(gè)問題，只有通過對(duì)信息門戶實(shí)施統(tǒng)一身份認(rèn)證，SSO（單點(diǎn)登錄），把各個(gè)應(yīng)用系統(tǒng)的資源進(jìn)行集成，才能滿足用戶的需求。

二、解決方案

要解決以上問題，要對(duì)天津石化現(xiàn)有的信息門戶進(jìn)行提升，方案是以現(xiàn)有天津石化信息門戶為基礎(chǔ)，本著“以人為本”的設(shè)計(jì)理念，整合現(xiàn)有的應(yīng)用，實(shí)現(xiàn)所有系統(tǒng)的單點(diǎn)登錄和集成待辦，提高員工協(xié)同工作能力，提升企業(yè)現(xiàn)有信息系統(tǒng)的使用率和投資回報(bào)率。

（一）單點(diǎn)登錄。對(duì)所有應(yīng)用系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄，但由于“中石化集團(tuán)系統(tǒng)整合項(xiàng)目單點(diǎn)登錄”采用不修改原系統(tǒng)的方式來實(shí)現(xiàn)，所以對(duì)于參與門戶SSO（單點(diǎn)登錄）集成的系統(tǒng)有如下規(guī)范要求：

1、參與的B/S系統(tǒng)身份驗(yàn)證方式是基于HTTP協(xié)議的以下4種：URL方式、FORM表單方式、ASP.NET事件模型方式、NTLM（WINDOWS集成驗(yàn)證）方式。

2、參與的B/S系統(tǒng)必須是標(biāo)準(zhǔn)的用戶名/口令登錄模式，不支持隨機(jī)驗(yàn)證碼方式。對(duì)于原系統(tǒng)進(jìn)行了IP限制，身份驗(yàn)證限制等系統(tǒng)將不予支持。對(duì)于較復(fù)雜的其它如驗(yàn)證模式如需要第三方插件或附加選項(xiàng)的不予支持。

3、參與的C/S系統(tǒng)必須是基于標(biāo)準(zhǔn)命令行或基于標(biāo)準(zhǔn)WINDOWS消息方式的登錄驗(yàn)證。也不支持隨機(jī)驗(yàn)證碼方式。（暫時(shí)僅提供B/S結(jié)構(gòu)的單點(diǎn)登錄）

4、用戶令和口令采用特殊加密解密方式的C/S系統(tǒng)和B/S系統(tǒng)將不予支持。

（二）集成待辦。實(shí)現(xiàn)集成所有應(yīng)用系統(tǒng)的待辦信息，前提是所有系統(tǒng)必須按照標(biāo)準(zhǔn)和規(guī)范提供專門的接口，通過接口程序，實(shí)時(shí)的提取各個(gè)應(yīng)用系統(tǒng)所需要的數(shù)據(jù)。

三、技術(shù)構(gòu)架與系統(tǒng)配置

使用微軟.Net Framework 3.0和SharePoint 2007作為開發(fā)及運(yùn)行平臺(tái)，使用Visual Studio 2010作為開發(fā)工具。服務(wù)器端主要使用以下產(chǎn)品：Windows Server 2008 R2、SQL Server 2008 R2、MOSS 2007。

（一）單點(diǎn)登錄。企業(yè)的用戶管理和身份認(rèn)證是基于Windows 2003的活動(dòng)目錄服務(wù)（Active Directory）完成。以下將用戶登錄的過程稱為AD用戶認(rèn)證。應(yīng)用系統(tǒng)的用戶認(rèn)證是應(yīng)用系統(tǒng)確認(rèn)用戶身份的方式。在利用活動(dòng)目錄進(jìn)行統(tǒng)一用戶標(biāo)識(shí)管理的基礎(chǔ)上，應(yīng)用系統(tǒng)用戶的統(tǒng)一身份認(rèn)證可以通過以下兩種方式進(jìn)行：

1、整合的AD用戶認(rèn)證。實(shí)現(xiàn)單點(diǎn)登錄的最佳方案，是將應(yīng)用系統(tǒng)的用戶認(rèn)證與活動(dòng)目錄進(jìn)行整合。這個(gè)整合過程包括客戶端整合和應(yīng)用服務(wù)器的整合。在整合以后的系統(tǒng)中，用戶認(rèn)證的過程為：首先用戶在AD中進(jìn)行登錄，然后用戶向應(yīng)用服務(wù)器發(fā)出登錄請(qǐng)求，最后應(yīng)用服務(wù)器通過AD驗(yàn)證用戶身份。這種方式對(duì)應(yīng)用系統(tǒng)的要求為將原有的認(rèn)證方式改為AD域集成認(rèn)證方式。對(duì)于基于微軟Windows Server平臺(tái)建立的B/S結(jié)構(gòu)應(yīng)用改動(dòng)工作較小，僅改動(dòng)登錄頁面的程序即可。

2、客戶端AD用戶認(rèn)證。單點(diǎn)登錄的客戶端用戶認(rèn)證，是在不改動(dòng)原有應(yīng)用的前提下，通過AD進(jìn)行應(yīng)用用戶認(rèn)證的方式。客戶端用戶認(rèn)證的執(zhí)行過程為：首先用戶在AD中進(jìn)行登錄，然后用戶打開客戶端應(yīng)用程序，最終客戶端從AD中取得登錄信息進(jìn)行自動(dòng)登錄。客戶端自動(dòng)登錄的功能由SSO插件完成，不需要對(duì)應(yīng)用程序進(jìn)行改動(dòng)。

（二）信息集成。為了滿足門戶集成各應(yīng)用系統(tǒng)待辦的功能需求，本方案包含了一套標(biāo)準(zhǔn)規(guī)范與接口，各應(yīng)用系統(tǒng)通過實(shí)現(xiàn)標(biāo)準(zhǔn)接口，可以實(shí)現(xiàn)與信息門戶和個(gè)人工作臺(tái)的待辦集成。目前提供以下兩種方案：

1、用戶登錄門戶后，在待辦區(qū)點(diǎn)擊應(yīng)用系統(tǒng)的單點(diǎn)登錄鏈接。第一次登錄時(shí)，用戶輸入應(yīng)用系統(tǒng)的用戶名及密碼，通過門戶的單點(diǎn)登錄服務(wù)登錄到應(yīng)用系統(tǒng)中；以后當(dāng)用戶登錄門戶后，在待辦區(qū)顯示應(yīng)用系統(tǒng)的待辦條數(shù)，點(diǎn)擊待辦條數(shù)鏈接，直接進(jìn)入到應(yīng)用系統(tǒng)。當(dāng)用戶名密碼發(fā)生變化時(shí)，點(diǎn)擊待辦條數(shù)鏈接，提示用戶名密碼錯(cuò)誤，重新輸入新的用戶名及密碼，重新登錄到應(yīng)用系統(tǒng)中。普通的登錄頁面地址（登錄頁不允許使用驗(yàn)證碼、隨機(jī)數(shù)等）；當(dāng)用戶登錄不成功時(shí)，登錄頁有明顯的返回值；提供單獨(dú)的待辦條數(shù)顯示頁面；

2、用戶登錄門戶后，門戶集中待辦模塊調(diào)用應(yīng)用系統(tǒng)提供的接口1，并將門戶的“用戶ID”作為參數(shù)傳遞給該接口，接口返回待辦條數(shù)；當(dāng)用戶點(diǎn)擊待辦條數(shù)的鏈接，門戶集中待辦模塊首先根據(jù)用戶ID創(chuàng)建唯一Token；然后調(diào)用應(yīng)用系統(tǒng)提供的登錄地址接口2，并傳遞用戶ID與Token參數(shù)；在接口2中調(diào)用門戶提供的接口3，得到返回Token值并與步驟二中得到的Token值進(jìn)行比對(duì)，判斷用戶是否合法，若合法，則設(shè)置Token失效，同時(shí)以當(dāng)前身份創(chuàng)建應(yīng)用系統(tǒng)的會(huì)話來進(jìn)行登錄，否則提示用戶不合法。返回值均以頁面的形式返回，格式為UTF-8；接口均需要認(rèn)證。

四、應(yīng)用效果

通過單點(diǎn)登錄和信息集成的方案對(duì)天津石化信息門戶進(jìn)行提升以后，大大提高了用戶操作的便捷性，用戶只需登錄一次信息門戶，就能完成對(duì)各個(gè)應(yīng)用系統(tǒng)的統(tǒng)一身份認(rèn)證，無需再進(jìn)行第二次認(rèn)證即可完成登錄，并且在集成待辦區(qū)可以直觀的看到需要辦理的所有待辦事宜，可以根據(jù)事務(wù)的緊急程度按部就班的進(jìn)行處理。

五、結(jié)束語

總之，在信息時(shí)代的今天，信息技術(shù)的發(fā)展是保證企業(yè)穩(wěn)步發(fā)展的基礎(chǔ)，是設(shè)計(jì)企業(yè)的藍(lán)圖，尤其石化企業(yè)作為國有大中型企業(yè)，要想在市場(chǎng)競爭中立于不敗之地，實(shí)現(xiàn)資源共享、信息集成、消除信息孤島更是石化企業(yè)信息化建設(shè)中的的重中之重。