基于4A技術(shù)的統一身份管理在企業(yè)門(mén)戶(hù)系統中的應用

　　(1) 訪(fǎng)問(wèn)管理器和身份管理器
　　訪(fǎng)問(wèn)管理器為門(mén)戶(hù)服務(wù)提供了針對Web服務(wù)器、J2EE應用服務(wù)器、Web代理服務(wù)器以及典型企業(yè)應用的多個(gè)策略代理 (Policy Agent) ；另外，它還提供了訪(fǎng)問(wèn)管理器 SDK，用以集成企業(yè)的Java或C/C++應用，實(shí)現集中認證、授權和單點(diǎn)登錄[4]。
　　用戶(hù)管理與信息同步系統由身份管理器實(shí)現，對各應用或子網(wǎng)絡(luò )系統用戶(hù)帳號的集中管理，包括用戶(hù)帳號在其相對應的應用系統里的自動(dòng)創(chuàng )建及創(chuàng )建的規則，帳號生成的審批流程管理，帳號的禁用和銷(xiāo)毀，帳號在各個(gè)應用系統之間的對應關(guān)系及同步，口令的管理，提供統一的管理界面和分級授權管理，帳號的審計和風(fēng)險分析等。身份管理器也是一個(gè)標準的J2EE應用系統，它通過(guò)部署于其本身服務(wù)器端（而不是要管理的應用系統一端）的資源適配器創(chuàng )建和管理在各個(gè)應用系統上的用戶(hù)帳號。
　　(2) 統一認證
　　訪(fǎng)問(wèn)管理器提供了公共的認證服務(wù)架構，具有靈活的認證方式和多種認證服務(wù)接口。因此，基于統一的認證服務(wù)的應用系統間可以實(shí)現單點(diǎn)登錄。
　　訪(fǎng)問(wèn)管理器提供的認證服務(wù)基于JAAS（Java認證與授權服務(wù)）框架，提供Java和XML/HTTP兩種應用認證接口。
　　(3) 認證方式定制化接口
　　不同的認證方式具有不同的安全性、易用性和部署成本。因此，針對企業(yè)門(mén)戶(hù)中不同的用戶(hù)群與不同的應用范圍，需要對認證方式進(jìn)行定制化。在訪(fǎng)問(wèn)管理器中，可以根據角色、用戶(hù)、服務(wù)指定不同的認證方式，也可以在認證時(shí)直接指定認證模塊。對于不同組織、角色和服務(wù)，可以配置個(gè)性化的認證選項。
　　訪(fǎng)問(wèn)管理器為應用程序提供兩種類(lèi)型的認證編程接口。對基于Java的應用系統（包括基于JSP的WEB應用系統和基于Java的應用程序）可以使用Java編程接口；對于非Java的應用系統，可以使用XML/HTTP編程接口或C/C＋＋編程接口。
　　(4) 單點(diǎn)登錄支持
　　單點(diǎn)登錄的根本原理是保持用戶(hù)的會(huì )話(huà)（session）狀態(tài)。訪(fǎng)問(wèn)管理器對單點(diǎn)登錄提供的SDK級別的支持，其中包括單點(diǎn)登錄令牌的創(chuàng )建與驗證。以Web應用的單點(diǎn)登錄為例：用戶(hù)通過(guò)訪(fǎng)問(wèn)管理器的認證頁(yè)面進(jìn)行認證，認證通過(guò)之后，平臺為該用戶(hù)創(chuàng )建一個(gè)單點(diǎn)登錄令牌，并將該令牌的ID通過(guò)cookie返回至用戶(hù)瀏覽器；當用戶(hù)訪(fǎng)問(wèn)Web應用系統時(shí)，單點(diǎn)登錄令牌ID自動(dòng)通過(guò)cookie傳遞至Web應用系統，Web應用系統可以通過(guò)單點(diǎn)登錄令牌ID還原單點(diǎn)登錄令牌，并向Access Manager驗證單點(diǎn)登錄令牌是否有效。如果有效，則應用系統可以從單點(diǎn)登錄令牌獲取用戶(hù)身份信息，而不再需要用戶(hù)進(jìn)行再次認證。對于C/S結構的應用，單點(diǎn)登錄過(guò)程類(lèi)似，只是單點(diǎn)登錄令牌ID的傳遞方式不同。
　　綜上，基于4A技術(shù)的統一身份管理為企業(yè)門(mén)戶(hù)服務(wù)帶來(lái)較為全面的安全保障，從人員、訪(fǎng)問(wèn)、授權和審計等角度保護企業(yè)內部應用的數據的合法使用，具有如下優(yōu)點(diǎn)：
　　(1)統一認證、授權和審計，管理維護工作復雜度大幅度降低，減少維護操作帶來(lái)的故障隱患；
　　(2)統一監管，企業(yè)系統安全狀況隨時(shí)被自動(dòng)監管；
　　(3)免去用戶(hù)在各系統間切換時(shí)需要再次輸入用戶(hù)名和口令的繁瑣操作，減少帳號密碼泄露機會(huì )；
　　(4)對各個(gè)系統進(jìn)行統一的訪(fǎng)問(wèn)審計，利于綜合分析，及時(shí)發(fā)現入侵行為。
　　但從技術(shù)實(shí)現方式和用戶(hù)使用效果上看，基于4A的統一身份管理也存在著(zhù)一定的不足，具體表現為：
　　(1)技術(shù)實(shí)現方式限制較多，例如基于策略代理的SSO，對門(mén)戶(hù)系統產(chǎn)品提出固定要求，對特定產(chǎn)品的版本、未提供開(kāi)放接口的系統缺乏靈活的處理方法；
　　(2)合規審計能力一般不強，多數產(chǎn)品只提供以日志為主的審計能力，以及基于日志的數據傳輸接口由第三方模塊完成審計報告。
　　相信，隨著(zhù)企業(yè)門(mén)戶(hù)對安全管控需求的不斷細化，隨著(zhù)各廠(chǎng)家產(chǎn)品和技術(shù)的發(fā)展，4A技術(shù)對企業(yè)門(mén)戶(hù)安全的貢獻將越來(lái)越突出。