基于SSO的統一用戶管理系統的設計與實現

胡麗麗

摘要：本文設計實現了一個基于SSO的統一用戶管理系統，闡述了系統的技術路線和框架，詳細描述了系統的分析，并簡要介紹系統的實現方法。最后介紹了統一用戶管理系統在政府用戶管理中的應用，研究如何通過統一用戶管理系統為公眾和政府提供信息資源共享與服務。

關鍵詞：SSO；統一用戶管理；統一身份認證；信息共享

中圖分類號：TP311 文獻標識碼：A 文章編號：1007-9416（2017）10-0136-02

目前，政府信息化建設正快速發展，覆蓋政府部門業務的信息系統已不斷開發成熟并使用，諸如內部OA系統、項目管理系統、政務服務管理系統等。而這些信息系統功能需求不一，開發大多是相互獨立的。這使得用戶完成某項工作需要進入不同的系統，而每一個系統大都需要用戶輸入用戶名、口令等驗證身份，這樣用戶就得面對多個系統的用戶名、密碼，給用戶訪問業務系統帶來了不便性。同時，用戶需要在各個應用系統間頻繁切換登陸，業務操作的復雜性增加了，降低了工作效率。因此，需要設計一個能夠高度整合用戶信息的系統，使得用戶能夠單點登陸，多點漫游，這樣基于SSO單點登錄的統一用戶管理系統就應運而生。

1 系統架構

1.1 技術路線

統一認證和授權提供了對用戶的認證、授權、加密等管理，對各接入系統提供SSO單點登錄接口，系統提供Web Service接口，同時支持xml和 json兩種數據格式來接入各應用系統；認證模式采用基于OAuth2.0技術的票據和令牌認證資源。

SSO單點登錄就是當用戶訪問各子系統的應用時，只需要提交一次認證信息就可以訪問有訪問權限的應用，從而簡化登錄過程，提高工作效率。通過放置反向代理服務器，完成所有用戶對后臺Web資源的訪問，可以與所有Web應用進行集成，與后臺的Web應用建立連接，同時，在將用戶的登錄信息傳送給應用的整個過程中保持著對用戶的透明性。只要用戶登陸了一次子系統，便可以有權訪問所有的Web應用，此過程由代理服務器完成。

1.2 系統框架

系統主要由兩部分組成，分別是統一身份管理子系統、統一認證子系統。統一身份管理子系統主要完成用戶和組織機構間關聯關系的構建，其中，與用戶有從屬關系的組織機構可以是縱向的，亦可是橫向的；統一認證子系統主要實現單點登錄令牌的創建與驗證。系統主要實現以下功能：

（1）組織和權限管理：統籌規劃省內省直、市（縣區）所關聯的所有行政單位，包括部門和工作組管理，統一配置橫向及縱向部門關聯信息，方便組織結構代碼便捷易懂，無縫推送到各電子政務系統。

（2）用戶管理：實現用戶信息的統一管理，其中，這些用戶信息來源于組織機構中各部門，包括登陸用戶名、登陸密碼、真實姓名、主組織、附屬組織、所屬角色及用戶順序等基本資料的管理。

（3）權限管理：包括應用資源、角色管理及授權管理。應用資源為接入到統一用戶管理系統中的各類政務應用系統；角色管理針對統一用戶管理系統中的用戶角色配置，非政務應用系統中的角色配置；授權管理用于控制用戶能否訪問相應的業務系統，一般用戶同步給相關業務系統后就默認能夠訪問。

（4）安全認證管理：針對電子政務有效性、機密性、完整性、不可抵賴性與審查能力五個方面的安全需求，系統需提供相關接口實現安全認證。

2 系統的功能設計

根據系統架構的分析設計，統一用戶管理系統主要基于SSO技術，為用戶提供訪問各應用系統相應權限內資源入口，實現信息系統間互聯互通。下面具體分析一下統一身份管理子系統和統一認證子系統的功能與設計方法。

2.1 統一身份管理子系統的設計

統一身份管理子系統實現用戶、角色、組織、部門、組、資源（即業務系統）的統一管理。

統一身份管理子系統具有分級分權管理的功能，即由組織、部門管理員按照系統管理員授予的權限，管理本地、本部門的用戶信息，如下級單位的管理員可以管理本級人員和策略等。用戶則可以根據需要做自助服務，如更改自己的密碼或個人信息。如果用戶修改了密碼，則會自動更新到各應用系統中 。

新用戶需在用戶資源庫中注冊用戶身份信息，然后由統一用戶管理系統管理員分配可使用資源給用戶，由業務系統管理員配置用戶在業務系統中的權限。系統監控用戶身份信息數據庫，當用戶身份信息或可使用資源發生變化時，自動觸發身份管理子系統中預先制定的流程，將用戶信息自動配給各應用系統中。如用戶修改了密碼，將會觸發密碼更新工作流將密碼自動更新到各應用系統中。

2.2 統一認證子系統的設計

單點登陸技術的實現包括令牌的創建與驗證，該過程由統一認證子系統完成。主要流程如下：通過底層的SSO認證模塊，用戶通過驗證，此時，該用戶在用戶頁面獲得認證子系統創建的一個單點登陸令牌ID，令牌ID由cookie返回得到；當該用戶訪問其他已關聯應用系統時，cookie傳遞登陸令牌ID，正被登陸的應用系統令牌ID還原登錄令牌，并向SSO驗證令牌是否有效。如果有效，則該應用系統可以直接獲取用戶身份信息，而不再需要用戶進行再次認證。

為實現在復雜環境下的單點登錄，統一認證子系統提供了LDAP（用戶名口令）認證、自注冊認證和匿名認證等內置的認證方式，設計了基于SDK/Web Service/HTTP接口的動態票據單點登錄、基于SDK/Web Service/HTTP接口的用戶名密碼單點登錄、基于Agent的單點登錄和基于HTTP重定向技術表單方式的單點登錄。圖1為統一認證子系統體系結構圖。

統一認證子系統提供了兩種用戶認證界面，可以是基于C/S客戶端的，也可以是基于WEB的 。用戶認證界面動態生成，不同用戶登陸將顯示不同的系統列表，其中，列表由單點登陸系統根據不同的用戶、組織和客戶端特色化生成，搜集了用戶認證信息。用戶界面向最終用戶顯示登陸表單，并將用戶認證信息傳回服務器端。服務器端調用平臺的接口API進行認證。endprint

統一認證子系統提供認證接口，以便實現其他的業務系統與其集成，實現用戶認證信息的共享。一旦新的應用系統通過接口完成集成，只要用戶通過一次認證，用戶信息即可被被集成系統認可。其中，新的接入系統無需建立用戶數據庫，只在LDAP中擁有一套用戶身份信息（用戶名和密碼，或數字證書標識）即可。

統一認證子系統提供Web Service/Http接口，與應用系統的開發語言無關的需求。為了保證認證過程的安全可靠，可以通過使用https對對會過程進行加密。

3 系統的實現

根據系統的模塊分析和設計，通過采用開發工具MyEclipse8.5，Web服務器Tomcat7， 存儲管理數據庫Oracle，實現統一用戶管理系統的開發?；贘2EE標準框架，系統通過Bean層、Dao層、Service層和Action層的大量代碼的實現，并以大量Jsp頁面展示，通過Struts、Spring、Hibernate及web服務文件配置，實現了統一用戶管理系統的功能開發[1]。其中，系統提供基于Web Service和HTTP的兩種API認證接口，API接口認證方式和接入系統采用的平臺和語言無關。系統通過commnetAuth和easyAuth兩套認證流程，保障用戶的信息安全，控制保障數據的隱私性。

4 思考

統一用戶的管理應用于多個方面，存在的問題不少，如何有效實現用戶信息整合，全網互聯互通，保障用戶信息安全，必須做好各項標準規范的研究和制定，安全管理認證流程。各級政府、各部門的信息化水平程度不一，在系統的設計和實施上要充分考慮到他們的差異性，盡可能多地提供認證方式、接口技術，保障系統的順利建設。

目前，全國各級政府都在建設統一用戶管理系統（平臺），如何利用本系統實現省、市級用戶管理系統共建共享，這不僅節約財政投資，還可以實現用戶數據的共享與交換，能切實為公眾和政府提供信息資源共享與服務[2]。

5 結語

立足于政府業務系統用戶管理的需要，統一用戶管理系統的設計與實現，提供組織和用戶管理、統一認證、單點登錄、登錄入口等服務，提高政府處理業務的協同能力，降低用戶使用業務系統的門檻。

參考文獻

[1]杜聚賓.搞定J2EE：Struts+Spring+Hibernate整合詳解與典型案例[M].北京：電子工業出版社，2012.

[2]陳海倫.基于SSH框架的信用信息管理系統的設計與實現[J].電腦知識與技術，2015，（4X）：74-75.endprint