基于4A技術(shù)的統一身份管理在企業(yè)門(mén)戶(hù)系統中的應用

摘 要: 通過(guò)對企業(yè)門(mén)戶(hù)、4A（帳號、認證、授權、審計）在功能和原理方面的闡述，介紹了以4A技術(shù)為基礎的統一身份管理在企業(yè)門(mén)戶(hù)系統中的實(shí)現方法及所起的重要作用，最后對目前兩種技術(shù)融合的優(yōu)缺點(diǎn)進(jìn)行了比較和總結。
　　關(guān)鍵詞： 4A；企業(yè)門(mén)戶(hù)；統一身份管理

經(jīng)過(guò)多年來(lái)的信息技術(shù)建設，各企業(yè)單位IT自動(dòng)化程度有了很大提高，已經(jīng)建成了或者正在建設著(zhù)多種應用系統。隨著(zhù)業(yè)務(wù)的增長(cháng)，市場(chǎng)競爭的加劇，如何將各個(gè)業(yè)務(wù)系統相對獨立的用戶(hù)管理和分散的應用系統內容整合于同一頁(yè)面管理下，以及提高低效的新業(yè)務(wù)系統接入能力，就成為IT部門(mén)急需解決的問(wèn)題。
企業(yè)門(mén)戶(hù)是企業(yè)信息化前進(jìn)的必然戰略性方向，據美林公司的調查顯示，企業(yè)對門(mén)戶(hù)的需求正日益增長(cháng)，在接受調查的50家全球百強企業(yè)CIO中，有32%的人反映在開(kāi)支優(yōu)先權方面，2008年已讓位于企業(yè)門(mén)戶(hù)。Gartner發(fā)布的數據顯示，2008年門(mén)戶(hù)軟件市場(chǎng)增長(cháng)了59%，相比之下，同期企業(yè)軟件投資的增長(cháng)幅度僅為4.3%。Meta Group統計，2008年把門(mén)戶(hù)作為核心系統的公司將從2007年的不足10%增加到35%左右。
概括地說(shuō)，企業(yè)門(mén)戶(hù)就是通過(guò)一個(gè)唯一入口，為企業(yè)員工、分銷(xiāo)商、代理商、供應商、合作伙伴等同一價(jià)值鏈上的相關(guān)人員提供個(gè)性化的信息、知識、服務(wù)與應用。它是一種基于Web的，將不同應用、業(yè)務(wù)過(guò)程、后端系統、服務(wù)和信息、知識等內容集成到一個(gè)個(gè)性化窗口中的功能強大的軟件系統平臺[1]。
　　連接多種應用系統為不同角色的用戶(hù)提供快捷服務(wù)的門(mén)戶(hù)系統，其核心的基礎就是用戶(hù)身份的管控，包括用戶(hù)身份管理、角色和權限管理、網(wǎng)絡(luò )行為管控、統一用戶(hù)信息管理這幾個(gè)部分，即通常所說(shuō)的4A：統一用戶(hù)帳號（Account）管理、統一認證（Authentication）管理、統一授權（Authorization）管理和統一安全審計（Audit）四要素。
1 企業(yè)安全門(mén)戶(hù)系統設計
　　企業(yè)安全門(mén)戶(hù)系統的設計包含3個(gè)重要的步驟，即明確技術(shù)原理、定義功能和設定體系架構。
1.1 技術(shù)原理
　　門(mén)戶(hù)技術(shù)原理結構圖如圖1所示。門(mén)戶(hù)服務(wù)主要用來(lái)提供來(lái)自Web應用的內容，它允許用戶(hù)可以在瀏覽器中查看一張或一套頁(yè)面中顯示的多種信息來(lái)源（通常是Web應用）。包含內容的頁(yè)面被稱(chēng)作桌面，在桌面的各個(gè)區域出現的各種內容來(lái)源被稱(chēng)作頻道[2]。

　　在門(mén)戶(hù)中，一個(gè)被稱(chēng)作提供者的部件負責將文件中的內容或Web應用的輸出，轉換成一種適合頻道的格式?？梢杂脙热萏峁┱逜PI為門(mén)戶(hù)開(kāi)發(fā)內容提供者，并且門(mén)戶(hù)內應帶有多種預置的專(zhuān)門(mén)提供者，向客戶(hù)端設備提供內容的標記語(yǔ)言是超文本標記語(yǔ)言(HTML)、用于移動(dòng)電話(huà)和PDA的HTML (cHTML)、無(wú)線(xiàn)標記語(yǔ)言(WML)或可擴展標記語(yǔ)言(XML)等語(yǔ)言中的一種或多種。身份認證、授權、用戶(hù)管理以及用戶(hù)配置文件信息的存儲，都是通過(guò)標識和策略API來(lái)完成的。這些API一般都實(shí)現于目錄服務(wù)之上[2]。
　　門(mén)戶(hù)聚合來(lái)自不同數據源的信息，這些來(lái)源可以是從企業(yè)內外或從垂直或專(zhuān)業(yè)門(mén)戶(hù)聚合而來(lái)的，提供頁(yè)面布局和創(chuàng )建可定制的圖形化用戶(hù)界面(GUI)所需的元素。負責為聚合轉換和提供內容的組件被稱(chēng)作提供者。
1.2 定義功能
　　對于產(chǎn)生于各種來(lái)源的信息，門(mén)戶(hù)提供一個(gè)訪(fǎng)問(wèn)點(diǎn)，為最終用戶(hù)和他們使用的Web應用及服務(wù)帶來(lái)了多種功能，這些功能包括聚合、展現、自定義和安全。
　　門(mén)戶(hù)必須讓企業(yè)內外的最終用戶(hù)和應用都能進(jìn)行安全訪(fǎng)問(wèn)。為了實(shí)現這個(gè)目標，它必須帶來(lái)支持企業(yè)現有身份認證機制的靈活性，提供單點(diǎn)登錄功能并且利用標識和策略組件，為其所有用戶(hù)和應用提供單點(diǎn)登錄、身份認證、授權、訪(fǎng)問(wèn)控制和會(huì )話(huà)管理。
　　此外，門(mén)戶(hù)應提供以下可選功能：
　　(1)提供虛擬專(zhuān)用網(wǎng)(VPN)解決方案，以便在設備中除了Web瀏覽器外，不再需要裝有任何專(zhuān)用客戶(hù)端軟件用戶(hù)下訪(fǎng)問(wèn)企業(yè)內部網(wǎng)資源。
　　(2)帶有一個(gè)重寫(xiě)HTML文檔的反向代理，從而允許在不將企業(yè)內部網(wǎng)Web站點(diǎn)直接暴露給因特網(wǎng)的情況下，對所有這些站點(diǎn)進(jìn)行訪(fǎng)問(wèn)。
1.3 體系架構
　　一般來(lái)說(shuō)，企業(yè)門(mén)戶(hù)主要分為3層，即Web服務(wù)平臺、統一認證平臺和聚集展現平臺其體系架構圖如圖2所示。

　　企業(yè)門(mén)戶(hù)的Web服務(wù)平臺是上層服務(wù)的容器，提供基于Web服務(wù)的容器和上層應用與模塊的運行環(huán)境。
　　統一認證平臺通過(guò)4A技術(shù)實(shí)現為用戶(hù)提供跨系統訪(fǎng)問(wèn)的單一認證服務(wù)和管理功能。統一認證平臺在系統設計中，與企業(yè)門(mén)戶(hù)系統展現層的業(yè)務(wù)邏輯相對獨立，其目的是為企業(yè)建立起完整的單點(diǎn)登錄支撐平臺。將用戶(hù)認證功能與企業(yè)門(mén)戶(hù)系統展現平臺相分離，是充分考慮用戶(hù)的使用習慣以及未來(lái)的系統擴展。用戶(hù)在訪(fǎng)問(wèn)企業(yè)應用系統時(shí)，可以首先通過(guò)企業(yè)門(mén)戶(hù)系統的認證授權功能，獲取訪(fǎng)問(wèn)其他應用系統的權限，實(shí)現單點(diǎn)登錄; 同時(shí)，用戶(hù)也可以通過(guò)直接訪(fǎng)問(wèn)特定應用系統，由統一認證平臺對用戶(hù)進(jìn)行認證，授予用戶(hù)跨系統訪(fǎng)問(wèn)的權限。
　　聚集展現平臺主要處理用戶(hù)訪(fǎng)問(wèn)企業(yè)門(mén)戶(hù)系統的訪(fǎng)問(wèn)安全控制管理、策略管理及內容、應用聚集的功能，通常含有應用聚集、桌面展現和內容搜索三大功能。同時(shí)，企業(yè)門(mén)戶(hù)系統展示層將負責支撐用戶(hù)使用不同訪(fǎng)問(wèn)設備的內容格式提交，通過(guò)企業(yè)門(mén)戶(hù)系統的渠道功能，將企業(yè)內部信息資源個(gè)極具性化地呈現給訪(fǎng)問(wèn)用戶(hù)。