后勤支持管理系統ADFS認證集成的應用與研究

斯琦

摘 要：后勤支持管理系統服務于整個渤海油田的后勤保障工作。渤海油田范圍內的所有海上平臺及基地等內、外部單位，均需使用該系統進行海上后勤管理的保障工作。故此，該系統不僅僅服務于企業內部，還有很多外部單位也需要訪問。同時，隨著渤海油田信息化建設的不斷深入，以及國家對國有企業信息系統安全等保要求的逐步提升，原來基于內網環境下的LDAP協議的AD域登錄模式，已經不能滿足渤海油田信息化的安全要求。文章探討如何采用基于SAML的ADFS聯合身份驗證，實現用戶身份驗證的安全性，保證渤海油田后勤支持管理系統的安全外網訪問，以供參考。

關鍵詞：ADFS;安全管理;后勤管理;渤海油田

中圖分類號：TP311.52;TP309.2文獻標識碼：A文章編號：1674-1064（2021）09-0-04

DOI：10.12310/j.issn.1674-1064.2021.09.020

1 概況

后勤支持管理系統，服務于渤海油田的后勤業務管理，面向內外部單位提供后勤業務系統支撐。后勤支持管理系統通過PC、移動終端（手機）等途徑采集后勤作業數據，通過PC端瀏覽器及移動端App向用戶提供服務。系統采用PAAS云+IAAS云架構，應用服務器搭建在PAAS云，數據庫服務器搭建在IAAS云，依托總公司PAAS云＼IAAS云服務器資源，向系統提供計算、存儲、網絡、負載平衡等能力。

后勤支持管理系統采用業內主流的Java EE三層架構設計，PC端采用B/S方式實現。移動App端采用總公司移動云，系統通過數據接口與App端進行業務數據對接。

后勤支持管理系統主要使用以下核心技術：表現層采用Spring MVC做控制，HTML做頁面展現，CSS樣式做頁面美化，ECharts做曲線，Ajax做數據交互。業務層主框架使用SpringBoot，使用流程工具，加入消息引擎做消息推送，項目根據業務情況，自主開發調控模型來做調控算法。持久層采用MybatisPlus做數據持久化，HikariCP建立數據庫連接池。

2 現狀與要求

后勤支持管理系統之前使用系統自己的用戶密碼管理體系，沒有與AD對接。因為總公司系統安全等保的要求，如果需要提供外網訪問的系統，均需要保證用戶身份驗證的安全性，必須采用基于SAML的ADFS聯合身份驗證方案。需要按照以下流程完成ADFS聯合身份驗證。

ADFS用戶認證流程圖中一共分三個角色，如圖1所示：

Server Provider（SP）：提供服務和資源的服務提供者;

Identity Provider（IDP）：用來身份鑒別的服務器，主要是認證用戶，同時生成ADFS服務器（SAML斷言）;

Client：用戶訪問服務的客戶端，比如瀏覽器。

驗證步驟要求主要如下：

用戶嘗試訪問SP提供的服務。

SP根據配置生成一個SAML格式的身份驗證請求數據包。配置包括ADFS服務器地址、證書、IDP返回SP消息數據的URL地址、身份認證協議等信息，通過瀏覽器重定向到ADFS服務器進行SAML身份認證。

IDP解碼SAML請求，并對用戶進行身份驗證，IDP要求提供有效登錄憑據以驗證用戶身份。

IDP生成一個SAML響應，其中包含經過驗證的用戶的用戶名等信息。按照SAML 2.0規范，此響應將使用IDP的DSA/RSA公鑰和私鑰進行數字簽名。

IDP將信息返回到用戶的瀏覽器。根據配置的返回路徑，瀏覽器將該信息轉發到SP。

SP使用IDP的公鑰驗證SAML響應。如果成功驗證該響應，SP則會將用戶重定向到目標網址。當認證步驟中發生認證錯誤時，SP通過瀏覽器向當前用戶顯示明確的錯誤信息，如密碼錯誤、密碼過期、賬號已鎖定等。

用戶成功登錄系統[1]。

3 ADFS登錄的方法

在用戶訪問站點（后勤支持管理系統網站）時，初始化時調用后勤項目的登錄接口。

登錄接口通過配置信息，生成數據包，并把地址轉發到ADFS服務器登錄地址。

使用ADFS界面作為登錄界面，由用戶開始填寫登錄信息。

執行登錄時將登錄信息發送到IDP服務中。

由IDP來做用戶憑證的信息認證，經過驗證信息后再生成數據包，響應給瀏覽器。

瀏覽器拿到IDP的響應后，去訪問后勤系統的ssoLogin接口。

ssoLogin接口對密鑰/公鑰及token的數據處理后，然后使用公鑰驗證IDP服務的響應，如IDP服務響應并返回“成功”狀態，將瀏覽器頁面重定向到后勤系統首頁并進行頁面渲染;否則在瀏覽器頁面渲染ADFS驗證失敗頁面。

后勤支持管理系統向用戶授權訪問系統的權限。

4 ADFS集成配置說明

使用spring框架實現saml協議認證：spring-security-saml2-core。

信息配置：

sp：

# base url

base_url： http：//localhost：9090

# Entity ID of the SP

entity_id： http：//mock-sp

# Private key used to sign the SAML response

private_key： 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

# Public certificate to verify the signature of the SAML response

certificate： MIIDEzCCAfugAwIBAgIJAKoK/heBjcOYMA0GCSqGSIb3DQEBBQUAMCAxHjAcBgNVBAoMFU9yZ2FuaXphdGlvbiwgQ049T0lEQzAeFw0xNTExMTExMDEyMTVaFw0yNTExMTAxMDEyMTVaMCAxHjAcBgNVBAoMFU9yZ2FuaXphdGlvbiwgQ049T0lEQzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANBGwJ/qpTQNiSgUglSE2UzEkUow+wS8r67etxoEhlzJZfgK/k5TfG1wICDqapHAxEVgUM10aBHRctNocA5wmlHtxdidhzRZroqHwpKy2BmsKX5Z2oK25RLpsyusB1KroemgA/CjUnI6rIL1xxFn3KyOFh1ZBLUQtKNQeMS7HFGgSDAp+sXuTFujz12LFDugX0T0KB5a1+0l8y0PEa0yGa1oi6seONx849ZHxM0PRvUunWkuTM+foZ0jZpFapXe02yWMqhc/2iYMieE/3GvOguJchJt6R+cut8VBb6ubKUIGK7pmoq/TB6DVXpvsHqsDJXechxcicu4pdKVDHSec850CAwEAAaNQME4wHQYDVR0OBBYEFK7RqjoodSYVXGTVEdLf3kJflP/sMB8GA1UdIwQYMBaAFK7RqjoodSYVXGTVEdLf3kJflP/sMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQADggEBADNZkxlFXh4F45muCbnQd+WmaXlGvb9tkUyAIxVL8AIu8J18F420vpnGpoUAE+Hy3evBmp2nkrFAgmr055fAjpHeZFgDZBAPCwYd3TNMDeSyMta3Ka+oS7GRFDePkMEm+kH4/rITNKUF1sOvWBTSowk9TudEDyFqgGntcdu/l/zRxvx33y3LMG5USD0x4X4IKjRrRN1BbcKgi8dq10C3jdqNancTuPoqT3WWzRvVtB/q34B7F74/6JzgEoOCEHufBMp4ZFu54P0yEGtWfTwTzuoZobrChVVBt4w/XZagrRtUCDNwRpHNbpjxYudbqLqpi1MQpV9oht/BpTHVJG2i0ro=

# Passphrase of the keystore

passphrase： secret

# Resource URL for the idp metadata

idp_metadata_url： classpath：metadata/mujina.local.idp.metadata.xml

# SingleSignOnServiceLocation

single_sign_on_service_location： http：//localhost：8080/SingleSignOnService

# ACS location

acs_location_path： /saml/SSO

# Protocol binding

protocol_binding： urn：oasis：names：tc：SAML：2.0：bindings：HTTP-POST

# Do we sign the authnRequest

needs_signing： true

# Are endpoints compared. If so then pay notice to the base_url when behind a load balancer

compare_endpoints： true

[此數據只是虛構數據]

Metadata.xml文件中數據配置

<？xml version="1.0" encoding="UTF-8"？>

entityID="http：//mock-idp" cacheDuration="P1Y">

MIIDEzCCAfugAwIBAgIJAKoK/heBjcOYMA0GCSqGSIb3DQEBBQUAMCAxHjAcBgNVBAoMFU9yZ2Fu

aXphdGlvbiwgQ049T0lEQzAeFw0xNTExMTExMDEyMTVaFw0yNTExMTAxMDEyMTVaMCAxHjAcBgNV

BAoMFU9yZ2FuaXphdGlvbiwgQ049T0lEQzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB

ANBGwJ/qpTQNiSgUglSE2UzEkUow+wS8r67etxoEhlzJZfgK/k5TfG1wICDqapHAxEVgUM10aBHR

ctNocA5wmlHtxdidhzRZroqHwpKy2BmsKX5Z2oK25RLpsyusB1KroemgA/CjUnI6rIL1xxFn3KyO

Fh1ZBLUQtKNQeMS7HFGgSDAp+sXuTFujz12LFDugX0T0KB5a1+0l8y0PEa0yGa1oi6seONx849ZH

xM0PRvUunWkuTM+foZ0jZpFapXe02yWMqhc/2iYMieE/3GvOguJchJt6R+cut8VBb6ubKUIGK7pm

oq/TB6DVXpvsHqsDJXechxcicu4pdKVDHSec850CAwEAAaNQME4wHQYDVR0OBBYEFK7RqjoodSYV

XGTVEdLf3kJflP/sMB8GA1UdIwQYMBaAFK7RqjoodSYVXGTVEdLf3kJflP/sMAwGA1UdEwQFMAMB

Af8wDQYJKoZIhvcNAQEFBQADggEBADNZkxlFXh4F45muCbnQd+WmaXlGvb9tkUyAIxVL8AIu8J18

F420vpnGpoUAE+Hy3evBmp2nkrFAgmr055fAjpHeZFgDZBAPCwYd3TNMDeSyMta3Ka+oS7GRFDeP

kMEm+kH4/rITNKUF1sOvWBTSowk9TudEDyFqgGntcdu/l/zRxvx33y3LMG5USD0x4X4IKjRrRN1B

bcKgi8dq10C3jdqNancTuPoqT3WWzRvVtB/q34B7F74/6JzgEoOCEHufBMp4ZFu54P0yEGtWfTwT

zuoZobrChVVBt4w/XZagrRtUCDNwRpHNbpjxYudbqLqpi1MQpV9oht/BpTHVJG2i0ro=

urn：oasis：names：tc：SAML：2.0：nameid-format：persistent

Location="http：//localhost：8080/SingleSignOnService"/>

在初始化時整合這些配置數據，重定向發送到single_sign_on_service_location配置的地址中，由用戶輸入認證憑證，并提交。

完成憑證驗證之后，攜帶需要響應的數據返回給前端。

前端通過調用后勤系統sso接口地址，將密鑰/公鑰及token傳入后端，然后由后端對IDP系統進行驗證。

通過后由后端跳轉到系統頁面當中完成認證操作。

5 結語

隨著數字化和云計算進程的深入，企業信息安全的維度和邊界越來越立體，越來越復雜。保障企業信息安全服務的時間，已經由原來的8小時，轉變為現在的7*24小時，全年365天不間斷提供服務。同時，也不再有物理地點的限制，數據泄露會對企業造成巨大的損失，身份認證是訪問系統資源的入口，對于保障企業信息資源的安全極其重要。集團公司提供的統一的ADFS身份認證服務，通過多因素身份認證、弱密碼監測、密碼錯誤次數超限賬號鎖定策略、大數據分析等安全技術，可以提供非常安全地對信息資源的保護，同時還可以促進企業各信息系統數據共享，提升企業效率。渤海油田后勤系統與集團公司的基于SAML 2.0協議的、啟用雙因素認證的ADFS聯合身份認證服務的集成，實現了后勤系統用戶需要登錄集團公司統一的ADFS單點登錄頁面進行AD身份認證。只有通過了短信或郵件接收的登錄驗證碼和AD密碼的雙重認證后，才能訪問后勤系統資源，極大提高了后勤支持管理系統身份認證的安全性，降低了后勤信息數據泄露的風險。同時，后勤系統也不再需要管理用戶密碼，減輕了系統工作量;后勤系統的用戶也不再需要記憶和維護不同的用戶賬號和密碼，提高了工作效率。渤海油田生產作業的正常運行與優質的后勤作業管理密不可分，后勤資源管理系統正是為了高效支持渤海油田后勤業務的運營而建設的，ADFS身份認證在后勤資源管理系統中的應用，為后勤系統提供了強有力的保障，具有極大的推廣價值。

參考文獻

[1] 灰信網.基于SAML的ADFS認證集成方案[EB/OL].https：//www.freesion.com/article/8033848552，2021-8-20.