【正文】 統(tǒng)一的信息化基礎(chǔ)設(shè)施建設(shè)也是當(dāng)前需要面對(duì)的問(wèn)題。 應(yīng)用越來(lái)越多， 用戶(hù)需要頻繁登錄各個(gè)系統(tǒng)，尋找各種業(yè)務(wù)功能進(jìn)行日常業(yè)務(wù)處理。 1 綜述 當(dāng)前， 復(fù)雜的計(jì)算機(jī)應(yīng)用環(huán)境 通常包括了 很多業(yè)務(wù)應(yīng)用，常見(jiàn)的有： 辦公自動(dòng)化、財(cái)務(wù)信息查詢(xún)、圖書(shū)資料借閱管理、電子郵件系統(tǒng)、一卡通系統(tǒng)、 各類(lèi)業(yè)務(wù)應(yīng)用系統(tǒng) 、網(wǎng)絡(luò)設(shè)備和服務(wù)器管理等應(yīng)用。 系統(tǒng)管理員對(duì)用戶(hù)資料管理、開(kāi)戶(hù)、銷(xiāo)戶(hù)、凍結(jié)、解凍、密碼同步等日常操作需要在多個(gè)系統(tǒng)中進(jìn)行處理，用戶(hù)也需要記憶大量賬號(hào)密碼，應(yīng)用比較繁瑣。如何對(duì) 業(yè)務(wù)內(nèi)容 進(jìn)行 統(tǒng)一管理，對(duì)內(nèi)容的展示進(jìn)行有序管理，讓符合業(yè)務(wù)權(quán)限的人員及時(shí)看到完整的信息，讓關(guān)心業(yè)務(wù)內(nèi)容的人能夠看到自己關(guān)心的內(nèi)容， 這些 業(yè)務(wù)個(gè)性化也是當(dāng)前要解決的問(wèn)題。另外，為了更多的支持不同安全等級(jí)用戶(hù)的需要，例如領(lǐng)導(dǎo)、 重要人員、普通用戶(hù)等，他們可以相應(yīng)通過(guò)數(shù)字證書(shū)認(rèn)證、用戶(hù)名 /口令認(rèn)證 、動(dòng)態(tài)口令令牌 等不同安全等級(jí)的認(rèn)證方式登錄使用系統(tǒng)。 在這一解決方案中， 使用 了時(shí)光軟件 如下產(chǎn)品： 1) Cicro WebCarrier Identity 時(shí)光 身份與訪問(wèn)管理套件 2) Cicro WebCarrier Portal 時(shí)光門(mén)戶(hù)管理系統(tǒng) 2 方案概述 建設(shè) 原則 基于良好的信息化建設(shè)頂層設(shè)計(jì)規(guī)劃 信息化 的建設(shè)不僅僅是 計(jì)算能力、網(wǎng)絡(luò)通訊等 基礎(chǔ)設(shè)施的建設(shè)，也是新思路、新觀念、新模式的嘗試和探索，它對(duì) 用戶(hù) 的 日常工作 、管理帶來(lái)新的要求和挑戰(zhàn)， 一個(gè)好的信息化頂層設(shè)計(jì)應(yīng)該 適應(yīng) 業(yè)務(wù) 和管理工作 發(fā)展的要求及時(shí)代的挑 戰(zhàn)。 可持續(xù)性發(fā)展性 信息化 建設(shè)也不可能一蹴而就，它是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)，可持續(xù)性發(fā)展是 信息化建設(shè) 的生命力所在，規(guī)劃必須堅(jiān)持可持續(xù)性發(fā)展的原則，考慮分期建設(shè)的系統(tǒng)之間的平滑銜接，注重建 設(shè)的連續(xù)性、保護(hù)投資。 許多組織未來(lái)可預(yù)見(jiàn)的增長(zhǎng)空間都非常大，從訪問(wèn) 系統(tǒng)的 用戶(hù) 數(shù)量 到 預(yù)期 的業(yè)務(wù)擴(kuò)展都具有很大的增長(zhǎng)性。既可以由數(shù)據(jù)中心統(tǒng)一進(jìn)行用戶(hù)信息、應(yīng)用角色等管理，也可以進(jìn)行分級(jí)分部門(mén)進(jìn)行管理維護(hù)。 通過(guò)統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)，有效的梳理用戶(hù) 以及用戶(hù)歸屬、權(quán)限、角色、崗位等信息；建立單點(diǎn)登錄機(jī)制，有效整合各個(gè)應(yīng)用，為業(yè)務(wù)發(fā)展奠定一個(gè)良好的信息化基礎(chǔ)。 統(tǒng)一身份認(rèn)證技術(shù)主要包括下面幾個(gè)內(nèi)容： ? 集中統(tǒng)一的賬戶(hù)資料管理和密碼管理 ? 集中統(tǒng)一的用戶(hù)屬性和權(quán)限管理 ? 用戶(hù)資料在各個(gè)應(yīng)用系統(tǒng)間同步問(wèn)題 ? 用戶(hù)在各個(gè)應(yīng)用系統(tǒng)中的登錄、權(quán)限控制和漫游 時(shí)光 Identity 套件包括了統(tǒng)一賬戶(hù)資料和密碼管理，提供了統(tǒng)一的用戶(hù)屬性和權(quán)限管理。 時(shí)光 Identity 套件還包括了靈活而強(qiáng)大的用戶(hù)同步服務(wù)管理系統(tǒng)，通過(guò)同步服務(wù)，可以和其他應(yīng)用系統(tǒng)的賬戶(hù)信息進(jìn)行密碼和賬戶(hù)信息的同步。 SSO 方式最大的缺點(diǎn)是需要被集成的應(yīng)用廠商根據(jù)統(tǒng)一認(rèn)證規(guī)范，修改其用戶(hù)登錄和身份驗(yàn)證功能。 通常，應(yīng)用廠商提供認(rèn)證服務(wù)接口的目的不僅僅用于整合登錄時(shí)的身份驗(yàn)證，更多的是通過(guò)接口完成和外部系統(tǒng)的賬戶(hù)同步，如自動(dòng)開(kāi)銷(xiāo)戶(hù)、自 動(dòng)凍結(jié)解凍、自動(dòng)更新用戶(hù)身份資料等等。 頁(yè)面跳轉(zhuǎn)無(wú)法跳入要求輸入驗(yàn)證碼或類(lèi)似機(jī)制的系統(tǒng)中。為降低頁(yè)面跳轉(zhuǎn)的風(fēng)險(xiǎn)，時(shí)光軟件 提供 了 基于“一次性口令”的 頁(yè)面跳轉(zhuǎn) 跳轉(zhuǎn)機(jī)制，比較好的規(guī)避了傳統(tǒng)跳轉(zhuǎn)方案中，“一處泄密、處處泄密”的問(wèn)題。根據(jù)將要整合系統(tǒng)的特點(diǎn)，以及和應(yīng)用系統(tǒng)原廠商或供應(yīng)商的談判情況而確定采取何種技術(shù)進(jìn)行整合。 系 統(tǒng) 基于 J2EE 技術(shù)，通過(guò) 配合時(shí)光統(tǒng)一認(rèn)證產(chǎn)品 ， 快速實(shí)現(xiàn) 企業(yè)級(jí)后端內(nèi)容展現(xiàn) ，以 及企業(yè)級(jí)后端應(yīng)用 交互的平臺(tái)。 產(chǎn)品特點(diǎn) 時(shí)光門(mén)戶(hù) 系統(tǒng) 采用 J2EE 技術(shù)構(gòu)建，符合國(guó)際上先進(jìn)的技術(shù)標(biāo)準(zhǔn)和規(guī)范。 支持通過(guò) SSO 整合應(yīng)用系統(tǒng)深鏈接功能；支持安全口令跳轉(zhuǎn) 。 時(shí)光組織機(jī)構(gòu)建模工具， 是專(zhuān)門(mén)為政府、教育、金融、大型企事業(yè)單位及其分支機(jī)構(gòu)等提供的數(shù)據(jù)整合基礎(chǔ)平臺(tái)管理工具。 后臺(tái) 系統(tǒng) 采用 Java 編寫(xiě)， 既可以運(yùn)行在 Windows系統(tǒng)中，也可以部署在高可靠的 Unix/Linux 操作系統(tǒng)中。 建模工具提供了基于 WebServices 和 RMI 的服務(wù)接口，以供用戶(hù)應(yīng)用程序調(diào)用。 支持動(dòng)態(tài)口令 除了傳統(tǒng)的口令保障用戶(hù)安全外，建模工具 還提供了“ 動(dòng)態(tài)口令 ”支持，為分配了動(dòng)態(tài)密碼令牌的用戶(hù)提供更高的安全保障。 當(dāng)前最主流的是基于時(shí)間同步的硬件令牌，它每60 秒變換一次動(dòng)態(tài)口令，動(dòng)態(tài)口令一次有效，它產(chǎn)生6 位 /8 位動(dòng)態(tài)數(shù)字。 系統(tǒng)外部同步服務(wù)提供以下七個(gè)服務(wù)接口 規(guī)范 ： ? 開(kāi)戶(hù) ? 開(kāi)戶(hù)附帶口令同步 ? 銷(xiāo)戶(hù) ? 凍結(jié) ? 解除 凍結(jié) ? 口令同步 ? 用戶(hù)資料同步 每個(gè)第三方 應(yīng)用系統(tǒng) 接口 都可以根據(jù)具體情況 ， 實(shí)現(xiàn)上述接口 規(guī)范 的全部或部分。但是更多的時(shí)候，系統(tǒng)管理人員可以根據(jù)業(yè)務(wù)要求，在批量操作后，批量下發(fā)同步指令。它包括可以將這次主要的登 錄映射到其 他應(yīng)用中用于同一個(gè)用戶(hù)的登錄的機(jī)制。 時(shí)光單點(diǎn)登錄系統(tǒng)還提供多種終端設(shè)備的自動(dòng)適配支持，包括 iPhone 和類(lèi)似的智能手機(jī)版，平板電腦，手機(jī) WAP 版本，和普通 PC 版本。 CAS 提供靈活但統(tǒng)一的認(rèn)證接口，其認(rèn)證方式與認(rèn)證協(xié)議分離，使得用戶(hù)可自己定制和擴(kuò)展 CAS 認(rèn)證方式。 SSO 的安全性問(wèn)題比普通應(yīng)用的安全性要 更加嚴(yán)格 ，因?yàn)?SSO 存在一種門(mén)檻效應(yīng)。 TGC 有自己的存活周期 ， 參數(shù)默認(rèn)是 120 分鐘，在合適的范圍內(nèi)設(shè)置最小值，太短，會(huì)影響 SSO 體驗(yàn)，太長(zhǎng)，會(huì)增加安全性風(fēng)險(xiǎn)。 ? ServiceTicket 在一段時(shí)間內(nèi)失效。LDAP 提供了符合 目錄協(xié)議規(guī)范的目錄訪問(wèn)機(jī)制。 LDAP 通過(guò) SSL/ TLS 認(rèn)證機(jī)制來(lái)保護(hù)數(shù)據(jù)的完整性和私密性 。時(shí)光 SSO方案能夠?yàn)楦鱾€(gè)應(yīng)用系統(tǒng)提供單點(diǎn)登錄功能，方便用戶(hù)在多個(gè)應(yīng)用系統(tǒng)中漫游。 LDAP 的優(yōu)勢(shì)還在于 ， 可以在任何系統(tǒng)平臺(tái)上 ， 很容易定制應(yīng)用程序?yàn)樗由? LDAP 的支持。 時(shí)光服務(wù)倉(cāng)庫(kù)模 塊包括如下功能： ? 服務(wù)注冊(cè)管理 管理 服務(wù)的名稱(chēng)，描述，版本，地址，端口，密鑰等信息 ? 服務(wù)查找 查詢(xún) 顯示服務(wù)定義， 提供服務(wù)監(jiān)控頁(yè)面查看該服務(wù) 運(yùn)行狀態(tài) ? 服務(wù)發(fā)布 提供 服務(wù)訪問(wèn)者權(quán)限 管理，為 虛擬用戶(hù)定義可訪問(wèn)服務(wù)的清單 提供一組 WebServices， 訪問(wèn)服務(wù)倉(cāng)庫(kù)，獲取可訪問(wèn)服務(wù)清單和參數(shù)，用于應(yīng)用程序聯(lián)機(jī)訪問(wèn)服務(wù) ? 服務(wù)監(jiān)控 根據(jù)服務(wù)定義，配置服務(wù)監(jiān)控采樣周期 ， 查詢(xún)顯示各個(gè)服務(wù)歷史狀態(tài)