浅谈统一用户管理系统的建设方案

admin管理员组

文章数量:1531794

2024年7月19日发(作者：)

浅谈统一用户管理系统的建设方案

作者：杨智楠

来源：《计算机光盘软件与应用》2011年第21期

摘要：随着信息技术的迅猛发展，企业用户在日常办公中使用的应用系统越来越多，由于

受建设年代、开发技术、设计方法等因素的制约，应用系统之间往往互相孤立，各自形成了独

立的用户信息库和用户认证体系，包括组织机构、角色定义、身份认证等等互相独立，信息不

一致。如此不仅使用户在使用应用系统时需要记录多个密码，增加了出错的可能性，而且由于

不同系统间用户认证的安全性不一，安全风险非常突出。针对这种情况，建立一套统一用户管

理系统成为企业用户的选择，而这个系统为企业统一的工作流管理、统一数据交换、统一信息

等功能提供的基础的服务。

关键词：统一用户；身份认证；单点登录

中图分类号：F626 文献标识码：A 文章编号：1007-9599 (2011) 21-0000-02

Unified User Management System Building Program

Yang Zhinan

(China Life Insurance Co.,Ltd.,Beijing 100033,China)

Abstract:With the rapid development of information technology,business users in their daily

office applications use more and more,due to building age,development of technology,design and

other factors,often mutual isolation between applications,each form independent of the user

information database and user authentication system,including organizational structure,role

definitions,authentication,and so independent of each other,the information is will

not only allow users to use applications need to record multiple passwords,increasing the likelihood of

errors,and because of the different systems of different security user authentication,security risks are

very view of this situation,the establishment of a unified user management system

become the user's choice,and this unified system for enterprise workflow management,unified data

exchange,to provide unified messaging and other functions based services.

Keywords:Unified user;Authentication;Single sign-on

一、统一用户管理系统的定义

统一用户管理系统（Unified user management platform），是基于LDAP或基于数据库，对

组织机构内所有应用系统统一用户信息的存储、认证以及权限管理，使得用户通过单点登录，

就可以访问所有授权访问的资源和服务。统一用户管理系统通常包括用户信息管理、用户认证

管理、用户授权管理三个方面。以下图是统一用户管理系统主要功能的示意图

二、账号数据库管理

账号数据库管理是指通过一定的组织机构和人员树形结构，将所有应用系统用户信息分门

别类，以LDAP目录服务或者数据库的方式，提供用户信息的最基础数据。通常用户信息由

ERP提供的组织机构和员工信息为核心数据，同时以应用系统相关的其他用户信息为辅组成整

个企业的用户信息目录。账号数据库为所有其他应用系统提供信息服务，实现用户信息同步。

三、用户认证管理

用户认证管理的核心是基于证书的认证服务和单点登录技术。实现证书认证的产品很多，

如CA证书、吉大正元证书等，采用数字证书进行用户主账号强身份认证如图所示：

基于证书的典型数据处理流程如下：（1）用户申请证书成功后，将获得证书及证书安装

程序；（2）用户使用证书安装程序将数字证书安装在所使用的计算机上；（3）用户使用证书

进行系统登录，集中认证服务器端返回自己的证书及一个带签名的随机数；（4）浏览器端控

件验证服务器端证书及随机数的签名可靠性，确认所访问系统的正确性，防止WEB站点假

冒；（5）浏览器端控件使用自己证书私钥对所获取的随机数进行签名处理，连同用户证书组

成认证数据包，并上传到集中认证服务器；通过随机数的签名处理，能够提高抗重放攻击能

力；（6）服务器端安全网关接收到认证数据包之后，进行拆包、验证证书、验证签名和验证

随机数。如果以上环节均成功，则说明该登录用户身份的真实性已经得到确认；（7）UUM系

统在用户身份真实性的基础上，根据证书唯一标记项在主LDAP中查找，判断该真实用户是否

为合法用户，如果是合法用户，则通过身份认证，允许用户登录并进行操作；否则，拒绝该用

户登录。

四、单点登录技术

实现单点登录的产品很多，如IBM Tivoli、Oracle Esso、还有大量开源的SSO产品，实现

技术主要包括Session和Cookie两类。在Session机制中，用户信息存放在服务器端，客户端

仅保留Session ID；Cookie机制中，用户信息存放在客户端。

基于Kerberos的单点登录协议是Ticket-Based SSO模型的典型应用，是由美国麻省理工学

院提出的基于可信赖的第三方的认证系统。其提供了一种在开放式网络环境下进行身份认证的

方法，它使网络上的用户可以相互证明自己的身份，现在己经成为了一个公认的标准。

Kerberos的原理示意图如下所示。

Kerberos协议服务器知道所有用户和服务的密码。用户需告诉认证服务器用户名、地址、

要访问的服务名，认证服务器查询数据库中的用户密码，用户的服务票采用密码加密，并发给

用户，用户收到后，输入密码解密，拿到服务票据，为避免用户访问其它服务还要再次输入密

码，Kerberos引入了AS（认证服务器）和TGS（授权许可证服务器）的概念，用户首次登

录，由AS授予用户票据授权票TGT，并保存在用户的缓存或浏览器Cookie中，用户如果要

访问服务，会发送TGT给TGS，TGS会将服务的密码加密服务票，连同服务和用户的会话密

钥发送给用户，用户将验证器和服务票发送给服务，服务用自己的密码解开服务票，取出用户

名，并和验证器中的用户名比较，若一致，则建立用户和服务之间的会话。下面是单点登录整

体示意图：

流程序列描述如下：（1）用户访问UUM系统模块；（2）返回UUM系统的登录页面；

（3）用户输入主账号及密码，提交认证请求；（4）UUM系统进行认证，生成根票据并保

存；（5）完成登录，返回UUM系统门户界面；（6）用户点击门户页面上的应用资源链接；

（7）UUM系统生成被访问应用资源的票据；（8）UUM系统使用票据访问应用资源；（9）

应用资源获取并解析票据，校验票据合法性；（10）校验成功，应用系统根据票据向UUM系

统查询用户账号信息；（11）UUM系统对票据信息进行校验，校验成功则向应用系统返回用

户账号信息；（12）应用系统根据用户帐账号信息，在本地查询用户访问权限并返回应用资源

界面。

五、用户授权管理

统一用户管理实施难度最大的环节就在于统一授权，因为各个系统的权限管理从粒度、到

维度、从功能点、到数据权限都不一样，有的比较简单，只控制了增删改查，有的还和流程引

擎相关联。通常最简单的一种方法，在统一用户管理系统中建立用户和各应用系统角色的对应

关系，这种方式告诉统一用户管理人员，该用户在各系统有什么权限，但用户的实际功能授权

和数据权限授权都是在应用系统中实现的。我们可以从实现管理人员统一的用户授权视图开

始，作为过渡，逐渐通过把应用系统的权限体系梳理明确后，分步骤的整合到统一用户管理系

统中。

六、结束语

目前用户统一管理、统一认证已经在中国人寿信息化建设中成功使用多年，用户权限集中

管理还在规划和研究过程中，考虑到办公系统权限较为简单、角色种类也比较少，下一步我们

将从办公系统入手，逐步实现用户统一权限管理。

参考文献：

[1]夏明忠,夏以轩,姜丽萍.统一用户认证和授权管理的实现[J].计算机与应用化学,2011,8

[2]肖爱华.统一用户管理系统设计与实现[D].国防科学技术大学,2006,3

[3]刘敬峰.基于目录服务的统一用户管理平台设计与实现[D].电子科技大学,2009,11

[4]贺超波,陈启买,欧阳辉.数字化校园门户平台统一身份认证的实现[J].现代计算机(专业

版),2008,12

本文标签： 用户统一认证系统应用