4.4 用户认证及访问权限控制 4.4.1 用户认证流程
用户认证即用户登录到系统中,系统确认登录信息有效后,为其提供一个合法的身份。Tivoli Access Manager的WebSeal组件是所有应用系统的统一的认证入口。
根据不同的安全需求,可以采用不同的认证方式进行用户身份的认证。 ? 通过目录服务存储的用户ID和口令来认证用户身份; ? 采用X509v3电子证书,电子证书存放在客户端,通过调用客户端的证书进行身份认
证。
对于系统认证的方式可以根据现有系统的安全需求,采用某一种认证方式,或者使用多种认证方式以保证系统访问的安全性。
鉴于现有应用系统的用户接入主要采用内网接入的方式,因此用户认证主要采用用户ID和口令的方式,部分安全级别较高的应用系统可以采用二次认证的方式。
用户认证通过WebSeal组件进行统一认证,用户进入系统的认证流程如下:
WEB用用用WebSeal用用TAM用用用用用用LDAP用用用用用用用用用用用用用用123456
图4-1用户认证流程
说明:
(1) 用户通过用户ID+密码进行系统登录。
(2) WebSeal组件通过LDAP提供的接口从LDAP服务进行用户身份认证; (3) LDAP认证服务将用户认证信息返回到TAM策略管理组件,该组件根据用户角色决
定用户能够使用的应用功能及个性化定制;
(4) TAM策略管理模块把用户可以使用的相应的功能及个性化定制内容返回给门户
系统;
(5) 门户系统将用户可见的应用功能可内容展现到用户浏览器中。
(6) 用户通过门户系统访问在门户上集成的应用系统时通过WebSeal组件完成单点
登陆认证,具体单点登陆认证实现参见《中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分》。 4.4.2 访问权限控制
11
用户的权限包括对应用的访问权限和操作权限。
访问权限用于控制不同用户对系统数据和功能的访问范围,可以根据用户所在的用户组或角色来控制用户在系统中的访问权限。
操作权限是控制用户组或角色的对系统中资源的访问操作权限,操作权限由系统管理员来定义系统中的用户组或角色,并分配其相应的系统操作功能和访问页面。
为更好的集中管理各系统中用户的访问权限,需要将系统的访问权限由Tivoli Access Manager系统统一进行管理,而系统的访问权限主要是通过管理用户的属性,也就是管理用户所在的用户组或角色,来控制用户在系统中的访问权限。而对于操作权限,即用户组或角色的权限分配由原系统各自分配和管理。
为规范新建系统实现统一授权管理,需要在统一用户管理的基础上,将各系统用户所在的用户组或角色信息,以用户属性的方式加载到统一用户目录中,然后由门户系统提供统一的用户授权页面,根据各系统中用户所属的用户组或角色,以实现用户访问门户系统的统一用户访问授权管理。 5 两级门户互联
本部分将概要说明门户互联的方式,详细介绍几种门户互联技术实现方法及对比,并针对全国门户、省分(总部)门户待办集成的细节作出规范要求。 5.1 门户互联访问类型
门户系统间的互连,主要是指某个用户通过本地门户访问异地的门户,主要支持下面几种情况的门户互访:
1) 总部用户能够通过总部门户访问各省分门户,并通过省分门户访问省分的办公自动
化、经营分析等系统的数据和信息。
2) 总部用户能够通过总部门户访问全国门户中的集中应用。 3) 省分用户能够通过省分门户访问全国门户中的集中应用。 在进行门户互访时需要解决的主要问题就是跨域单点登录,即需要在两个门户之间建立互相信任机制,通过这种信任机制允许对方系统的用户访问归属地的应用。 5.2 门户互连实现技术 5.2.1 门户互联技术列举
? 链接直接跳转
链接直接跳转是指在需要访问到其他门户网站上的信息时直接跳转到另一个门户网站。用户在进行跨门户的跳转时,不同门户之间的用户信息的传递通过跨域的单点登录(CDSSO)来实现。
链接跳转是门户互联互通时最基本的一种互连方式,各省的门户均应实现与全国门户的链接跳转方式的互联,即各省用户能够通过连接跳转的方式跳转到全国门户中,全国门户能够识别用户的身份,并授予相应的访问权限。总部门户需要实现与全国门户以及各省门户的链接跳转式的互联互通。 ? iFrame
各级门户之间通过Portal提供的iFrame Portlet实现远程门户内容在本地门户的展现。 ? WSRP
12
WSRP是业界标准的门户之间互联的标准,WSRP可以实现在一个门户上调用另一个远程的门户上运行的portlet。它有两个步骤:1)服务提供者将本地的portlet以WSRP的方式发布出来。2)服务使用者在远程portlet目录中浏览相应的服务,并将选中的服务添加到本地门户中。
总部或者省分用户在需要在本地显示全国门户上特定Portlet内容时,可以使用WSRP方式。与链接跳转不同的是WSRP在显示源于其他门户上的信息时,仍然是在本地门户系统上进行,而链接方式将客户导引到远程的门户系统上。 ? 通用Web服务
通用Web服务与WSRP类似,也是在本地的门户上调用远程门户上的内容,他们的区别是WSRP是对远程门户上界面信息的远程调用,而通用Web服务是通过web服务方式,调用远程服务的数据以及流程。 ? RSS RSS(Rich Site Summary)是当前流行的一种信息发布格式,众多的公共网站都对该协议提供了支持。RSS是通过xml的格式,发布内容的摘要和内容,供其它的RSS客户端进行远程的调用。
各省分需要发布到总部或全国门户上的内容,以及总部希望发布到各省门户上的内容可以使用RSS进行发布。具体实现方式是内容的提供方以RSS格式提供内容,在使用方的门户上部署RSS portlet,将远程数据源上的RSS内容提供给门户的用户。 ? 统一开发Portlet分别部署
由总部或者总部指定的部门统一开发连接特定应用的portlet,然后由各省的管理员部署到全国及各省的门户系统中,并根据本省系统的实际情况进行参数配置。统一开发portlet分别部署能够有效重用开发资源,并且运行时有较高的运行效率。WSRP、通用Web服务、RSS方式等方式都是在各个省分公司通过远程调用的方式获得已经在总部门户上部署好的内容,当总部门户内容发生变化是,WSRP等机制会把变化的内容直接反映到各个省分公司,不需要省分公司人员干预。而这种方式需要一个把在总部开发好的Portlet发送到各个省分公司,由省分公司管理员单独部署的过程。 所以这个方式和WSRP等方式最大的区别的是,WSRP方式是通过省分门户Portlet调用总部门户Porlet实现的,而这个方式是通过把统一开发好的Portlet部署到各个省分门户,然后通过这个Portlet调用总部具体的某个应用实现的,不需要借助访问总部门户系统。 5.2.2 推荐方式及性能对比
为实现两级门户系统互联的业务目标,推荐链接直接跳转、iFrame和WSRP三种技术为可选的门户互联实现方式。
通过试点阶段进行的性能对比测试可知:采用链接直接跳转和iFrame时,系统响应速度较快;采用WSRP时,系统响应速度较慢。因此建议优先采用链接直接跳转和iFrame两种技术。 5.3 统一待办集成 5.3.1 概述
统一待办集成工作涉及三个独立部署的门户系统:全国门户、总部门户及省分门户,其中每个门户系统都包含自己的待办列表。总部或省分用户访问本地水平应用时产生的待办工
13
作信息将统一展现在本地门户的待办列表中;而当总部或省分用户访问集中应用时,所产生的待办工作信息需统一集成到本地门户(总部或省分门户)的待办列表中。 5.3.2 集成方式
统一待办集成的实现方式如下图:
图5-1 统一待办实现示意图
为避免在两个门户系统之间直接进行数据交换可能导致的性能和安全性问题,采用中间数据库的方式对数据交换操作进行缓冲,即在全国门户、总部门户和省分门户均部署中间数据库表,待办数据的交换将在这些库表间进行操作。
全国集中应用生成的待办信息将实时存储到全国门户的中间数据库中,全国门户读取其中的信息生成待办工作列表,展现给未建设门户的省分的用户使用。
总部门户及省分门户定期从全国门户的中间数据库中同步总部或本省的待办数据至本地的中间数据库,并生成统一待办列表展现在总部或省分门户上。定期同步的频率为每小时一次。
总部或省分用户在本地门户上点击待办工作链接,通过跨域认证(CDSSO)后可直接访问全国集中应用中的相应数据和功能。当用户完成业务处理后,全国集中应用将原来的待办工作自动转变为已办工作,并实时地写入全国门户的中间数据库中。此时全国门户的中间数据库将触发实时更新过程,将已办工作数据实时更新至总部或省分门户的中间数据库中。
在完成上述每一步操作过程时,均须同步写入相应的日志数据。 5.3.3 表结构设计 一、待办数据库字段:
14
表5-1 待办数据库字段 属性名 PendingID PendingCode PendingTitle PendingDate PendingPersonID PendingURL PandingStatus PandingCityCode PandingType 属性描述 待办ID 待办信息的编号 待办标题 待办时间 待办人UserID 待办信息URL 待办状态 省分代码 待办信息来源 属性类型 Long Varcher Varcher Timesample Varcher Varcher Varcher Varcher Varcher 长度 50 200 50 200 1 10 50 是否为空 否 否 否 否 否 否 否 否 是否自增 是 示例:
PandingCityCode:山东(SD)
日志数据库字段如下表:
表5-2 日志数据库字段 属性名 ID UserID OperDesc OperDate 属性描述 日志ID 操作人ID 操作描述 操作时间 属性类型 Long Varcher Varcher Timestamp 长度 50 200 是否为空 否 否 否 否 是否自增 时 其中,操作的记录格式为:
对**表进行了(增加/修改/删除)操作,(增加/修改/删除了)编号**,标题**,指定待办人**的数据。 6 单点登录实现
中国联通门户系统中认证和访问授权控制使用独立的认证和授权系统实现。认证和授权系统基于Tivoli Access Manager建设。本部分将从门户内部、跨门户及全国门户三个方面的流程及技术细节进行深入阐述和要求。 6.1 省分门户内的单点登录
15