基于4A技術的統(tǒng)一身份管理在企業(yè)門戶系統(tǒng)中的應用

摘 要: 通過對企業(yè)門戶、4A（帳號、認證、授權、審計）在功能和原理方面的闡述，介紹了以4A技術為基礎的統(tǒng)一身份管理在企業(yè)門戶系統(tǒng)中的實現(xiàn)方法及所起的重要作用，最后對目前兩種技術融合的優(yōu)缺點進行了比較和總結。
　　關鍵詞： 4A；企業(yè)門戶；統(tǒng)一身份管理

經(jīng)過多年來的信息技術建設，各企業(yè)單位IT自動化程度有了很大提高，已經(jīng)建成了或者正在建設著多種應用系統(tǒng)。隨著業(yè)務的增長，市場競爭的加劇，如何將各個業(yè)務系統(tǒng)相對獨立的用戶管理和分散的應用系統(tǒng)內(nèi)容整合于同一頁面管理下，以及提高低效的新業(yè)務系統(tǒng)接入能力，就成為IT部門急需解決的問題。
企業(yè)門戶是企業(yè)信息化前進的必然戰(zhàn)略性方向，據(jù)美林公司的調(diào)查顯示，企業(yè)對門戶的需求正日益增長，在接受調(diào)查的50家全球百強企業(yè)CIO中，有32%的人反映在開支優(yōu)先權方面，2008年已讓位于企業(yè)門戶。Gartner發(fā)布的數(shù)據(jù)顯示，2008年門戶軟件市場增長了59%，相比之下，同期企業(yè)軟件投資的增長幅度僅為4.3%。Meta Group統(tǒng)計，2008年把門戶作為核心系統(tǒng)的公司將從2007年的不足10%增加到35%左右。
概括地說，企業(yè)門戶就是通過一個唯一入口，為企業(yè)員工、分銷商、代理商、供應商、合作伙伴等同一價值鏈上的相關人員提供個性化的信息、知識、服務與應用。它是一種基于Web的，將不同應用、業(yè)務過程、后端系統(tǒng)、服務和信息、知識等內(nèi)容集成到一個個性化窗口中的功能強大的軟件系統(tǒng)平臺[1]。
　　連接多種應用系統(tǒng)為不同角色的用戶提供快捷服務的門戶系統(tǒng)，其核心的基礎就是用戶身份的管控，包括用戶身份管理、角色和權限管理、網(wǎng)絡行為管控、統(tǒng)一用戶信息管理這幾個部分，即通常所說的4A：統(tǒng)一用戶帳號（Account）管理、統(tǒng)一認證（Authentication）管理、統(tǒng)一授權（Authorization）管理和統(tǒng)一安全審計（Audit）四要素。
1 企業(yè)安全門戶系統(tǒng)設計
　　企業(yè)安全門戶系統(tǒng)的設計包含3個重要的步驟，即明確技術原理、定義功能和設定體系架構。
1.1 技術原理
　　門戶技術原理結構圖如圖1所示。門戶服務主要用來提供來自Web應用的內(nèi)容，它允許用戶可以在瀏覽器中查看一張或一套頁面中顯示的多種信息來源（通常是Web應用）。包含內(nèi)容的頁面被稱作桌面，在桌面的各個區(qū)域出現(xiàn)的各種內(nèi)容來源被稱作頻道[2]。

　　在門戶中，一個被稱作提供者的部件負責將文件中的內(nèi)容或Web應用的輸出，轉換成一種適合頻道的格式?？梢杂脙?nèi)容提供者API為門戶開發(fā)內(nèi)容提供者，并且門戶內(nèi)應帶有多種預置的專門提供者，向客戶端設備提供內(nèi)容的標記語言是超文本標記語言(HTML)、用于移動電話和PDA的HTML (cHTML)、無線標記語言(WML)或可擴展標記語言(XML)等語言中的一種或多種。身份認證、授權、用戶管理以及用戶配置文件信息的存儲，都是通過標識和策略API來完成的。這些API一般都實現(xiàn)于目錄服務之上[2]。
　　門戶聚合來自不同數(shù)據(jù)源的信息，這些來源可以是從企業(yè)內(nèi)外或從垂直或?qū)I(yè)門戶聚合而來的，提供頁面布局和創(chuàng)建可定制的圖形化用戶界面(GUI)所需的元素。負責為聚合轉換和提供內(nèi)容的組件被稱作提供者。
1.2 定義功能
　　對于產(chǎn)生于各種來源的信息，門戶提供一個訪問點，為最終用戶和他們使用的Web應用及服務帶來了多種功能，這些功能包括聚合、展現(xiàn)、自定義和安全。
　　門戶必須讓企業(yè)內(nèi)外的最終用戶和應用都能進行安全訪問。為了實現(xiàn)這個目標，它必須帶來支持企業(yè)現(xiàn)有身份認證機制的靈活性，提供單點登錄功能并且利用標識和策略組件，為其所有用戶和應用提供單點登錄、身份認證、授權、訪問控制和會話管理。
　　此外，門戶應提供以下可選功能：
　　(1)提供虛擬專用網(wǎng)(VPN)解決方案，以便在設備中除了Web瀏覽器外，不再需要裝有任何專用客戶端軟件用戶下訪問企業(yè)內(nèi)部網(wǎng)資源。
　　(2)帶有一個重寫HTML文檔的反向代理，從而允許在不將企業(yè)內(nèi)部網(wǎng)Web站點直接暴露給因特網(wǎng)的情況下，對所有這些站點進行訪問。
1.3 體系架構
　　一般來說，企業(yè)門戶主要分為3層，即Web服務平臺、統(tǒng)一認證平臺和聚集展現(xiàn)平臺其體系架構圖如圖2所示。

　　企業(yè)門戶的Web服務平臺是上層服務的容器，提供基于Web服務的容器和上層應用與模塊的運行環(huán)境。
　　統(tǒng)一認證平臺通過4A技術實現(xiàn)為用戶提供跨系統(tǒng)訪問的單一認證服務和管理功能。統(tǒng)一認證平臺在系統(tǒng)設計中，與企業(yè)門戶系統(tǒng)展現(xiàn)層的業(yè)務邏輯相對獨立，其目的是為企業(yè)建立起完整的單點登錄支撐平臺。將用戶認證功能與企業(yè)門戶系統(tǒng)展現(xiàn)平臺相分離，是充分考慮用戶的使用習慣以及未來的系統(tǒng)擴展。用戶在訪問企業(yè)應用系統(tǒng)時，可以首先通過企業(yè)門戶系統(tǒng)的認證授權功能，獲取訪問其他應用系統(tǒng)的權限，實現(xiàn)單點登錄; 同時，用戶也可以通過直接訪問特定應用系統(tǒng)，由統(tǒng)一認證平臺對用戶進行認證，授予用戶跨系統(tǒng)訪問的權限。
　　聚集展現(xiàn)平臺主要處理用戶訪問企業(yè)門戶系統(tǒng)的訪問安全控制管理、策略管理及內(nèi)容、應用聚集的功能，通常含有應用聚集、桌面展現(xiàn)和內(nèi)容搜索三大功能。同時，企業(yè)門戶系統(tǒng)展示層將負責支撐用戶使用不同訪問設備的內(nèi)容格式提交，通過企業(yè)門戶系統(tǒng)的渠道功能，將企業(yè)內(nèi)部信息資源個極具性化地呈現(xiàn)給訪問用戶。