面向Websphere的單點登錄方案實現(xiàn)

梁亮 辛超 李妍

摘要：針對企業(yè)Websphere應用系統(tǒng)的特點，提出了基于Websphere平臺的單點登陸架構(gòu)實現(xiàn)方案。詳細介紹了方案中單點登陸的認證過程。單點登錄框架的提出能夠解決企業(yè)Websphere系統(tǒng)中各系統(tǒng)之間的統(tǒng)一身份認證問題，實現(xiàn)應用系統(tǒng)間的單點登陸。從而方便用戶對企業(yè)內(nèi)部資源的使用、減少了企業(yè)內(nèi)部賬戶信息維護的負擔。

關鍵詞：WebSphere 單點登錄 插件集成 Cookie

中圖分類號：TP393.09 文獻標識碼：A 文章編號：1007-9416（2016）08-0074-01

單點登錄（Single Sign On，簡稱SSO），是企業(yè)業(yè)務整合的解決方案之一。SSO的定義是在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)[1]。為了實現(xiàn)更為高效、安全的網(wǎng)絡認證機制，企業(yè)需要一個能夠?qū)τ脩暨M行統(tǒng)一身份認證和集中授權的平臺，實現(xiàn)授權資源的無縫訪問，提高用戶工作效率，減少公司維護成本。

WebSphere是一個企業(yè)級的Web中間件服務器，越來越多的大型企業(yè)在WebSphere上實現(xiàn)多種的企業(yè)應用。面向WebSphere SSO框架的實現(xiàn)，對于企業(yè)的信息化上有著重要的意義。

1 原理

SSO實現(xiàn)原理為當用戶首次訪問一個系統(tǒng)時，系統(tǒng)判斷用戶未驗證后會跳轉(zhuǎn)至登錄頁，用戶登錄驗證通過后，瀏覽器會存儲一個key值（一般采用Cookie方式），當用戶訪問其他系統(tǒng)時會帶著這個key，服務器從用戶瀏覽器中讀取Cookie，對Cookie中的信息解密后，讀取用戶數(shù)據(jù)，判斷用戶uid的有效性。如果有效，再將時間戳與當前時間進行比較，判斷Cookie是否已經(jīng)過期，如果Cookie仍在生命周期內(nèi)，則將用戶訪問資源返回給客戶[2]。

2 方案實施

公司集團下屬一企業(yè)在內(nèi)部WAS系統(tǒng)上部署了協(xié)同辦公系統(tǒng)（BPM）和文檔查詢系統(tǒng)（DM）。在實施SSO之前，用戶在登陸完BPM后，如要訪問DM則仍需要輸入用戶名和密碼進行登錄驗證，增加了用戶的操作復雜度。其系統(tǒng)部署架構(gòu)如圖1所示。

SSO實施的步驟如下：首先統(tǒng)一管理全業(yè)務系統(tǒng)的用戶帳號，必須給每個用戶一個唯一的標識。用戶以統(tǒng)一標識登錄統(tǒng)一認證平臺，使用企業(yè)提供的各類業(yè)務資源[4]。之后，將所有的Websphere應用服務器統(tǒng)一到一個域下，并進行基于域的SSO相關設置，最后在新環(huán)境中部署并配置TAM的相關組件，主要組件為作為保存主策略數(shù)據(jù)的TAM Server和負責進行攔截用戶訪問的WebSeal[5]。

經(jīng)過調(diào)整后的系統(tǒng)部署架構(gòu)如圖2所示。

SSO架構(gòu)的訪問邏輯如下：

（1）用戶發(fā)送訪問應用A的URL請求到HttpServer；

（2）此請求被WebSeal攔截，WebSeal將其重定向到它內(nèi)置的一個表單并要求輸入用戶名/密碼進行認證；

（3）用戶通過form提交用戶名/密碼到WebSeal上；

（4）WebSeal首先去驗證用戶的用戶憑證；

（5）驗證通過返回驗證成功信息；

（6）WebSeal提交用戶名/密碼到LDAP Server（TDS）進行用戶鑒別；

（7）LDAP Server驗證通過返回驗證成功信息；

（8）WebSeal待認證成功后，生成一個LTPA的Token；

（9）之后將請求轉(zhuǎn)發(fā)到WAS端；

（10）WAS收到請求后，如果請求中含有與WAS平臺一致的LTPA Token信息，則WAS不再要求進行認證；

（11）WAS將請求的響應返回；

（12）用戶收到所需的頁面信息響應；

（13）用戶再次訪問應用DM，請求被WebSeal攔截，由于用戶的訪問中帶有LTPA Token相關信息，WebSeal快速檢查請求信息的LTPA Token是否來自所信任的WAS，如果是則不需要再次進行用戶信息鑒別；

（14）HttpServer將請求轉(zhuǎn)給WAS；

（15）由于WAS和WebSeal是信任的，所以也不需要再次認證；

（16）直接返回WebSeal的請求結(jié)果；

（17）用戶收到B系統(tǒng)頁面的信息響應。

3 結(jié)語

方案通過增加相關IBM組件實現(xiàn)應用之間的SSO，具有更好的用戶體驗，用戶用同一身份可以訪問所有的系統(tǒng)提供的服。并且，通過本方案實現(xiàn)的SSO架構(gòu)具有良好的擴展性，后期部署在SSO框架內(nèi)的其他WebSphere應用，可通過J2EE的標準規(guī)范均與現(xiàn)有系統(tǒng)實現(xiàn)SSO融合，減少了后期公司SSO系統(tǒng)擴展維護的成本。在后續(xù)的實施階段中，通過在SSO框架加入企業(yè)資源規(guī)劃系統(tǒng)（ERP）和企業(yè)資產(chǎn)及其維修管理系統(tǒng)（EAM）驗證了方案的可擴展性和可操作性。

參考文獻

[1]龍毅宏，唐志紅，王亞龍，謝坤軒.面向HTTP身份鑒定協(xié)議的單點登陸透明集成技術研究[J].計算機應用研究，2013（9）.

[2]楊文波，張輝，劉瑞.基于Cookie的門戶系統(tǒng)單點登陸模型[J].計算機應用研究，2006（8）.

[3]利用IBM Tivoli Access Manager和IBM WebSphere Portal配置單點登錄[R/OL].2010.6.http：//www.ibm.com/developerworks/cn/websphere/techjournal/0406_singh/0406_singh.html.

[4]郭玲.一種企業(yè)應用中的單點登陸系統(tǒng)的設計[J].計算機與數(shù)字工程，2010（7）.

[5]IBMTivoli Access Manager for e-business [R/OL]. 2008. https：//publib.boulder.ibm.com/tividd/td/ITAME/SC32-1366-01/zh_CN/HTML/am51_wls_guide02.htm#ToC_1.