政务信息系统整合共享中统一用户登录与管理的应用

李金兰

（北京数起科技有限公司 北京市 100044）

1 研究背景

近年来,党中央、国务院大力推进政务信息系统整合共享，先后印发了《关于政务信息系统整合共享实施方案的通知》（国办发〔2017〕39 号）、《加快推进落实〈政务信息系统整合共享实施方案〉工作方案的通知》（发改高技〔2017〕1529 号）、《国务院关于印发政务信息资源共享管理暂行办法的通知》（国发〔2016〕51 号）等政策文件，为了加快推进政务信息系统整合共享，实现“网络通”、“数据通”、“业务通”，通过多个项目的实践积累，本文研究提出通过统一用户登录与管理快速实现政务信息系统整合共享。

2 总体设计

统一用户登录与管理的方案如下：

（1）建立统一的登陆点。在集成门户页面建立统一登录入口，通过此入口进行对各应用系统的统一登录。

（2）建立统一的身份认证。建立统一用户身份认证系统，对用户提交的身份信息进行认证，认证通过后将用户的身份数据传输给用户相关应用系统（Token 方式），业务应用系统根据身份数据识别用户身份并进行权限控制；传输的用户身份数据并不包含认证相关数据，认证通过统一用户身份认证系统处理，各业务应用系统不再进行用户的认证。

（3）建立统一的用户认证信息库。建立统一的用户认证信息库，保存统一登录用户的用户身份数据、认证数据。用户认证信息库作为统一身份认证的数据基础。

（4）建立统一用户身份管理。管理统一登录用户的用户身份数据、认证数据，用户身份的创建、维护集中通过统一用户身份管理进行管理，相关业务系统通过消息机制获取用户身份信息，并进行系统内权限管理。

统一登录由中心认证服务、统一用户管理两部分有机组成一个系统来实现，其逻辑结构如图1所示。

3 统一用户管理

3.1 统一用户身份管理

在建立集中认证的过程中，用户身份的集中是一个必须的工作，否则就无法了解在不同应用中用户的对应情况是否一致。用户身份集中可以有多种实现方式，包括用户同步、应用对应关系设置等多种方法，但对于政务信息系统这样规模的客户而言，用户身份集中也就意味着需要一个集中的用户身份管理系统，这个系统是所有应用系统用户身份数据、认证数据的管理点，由它来进行用户身份信息的创建、维护工作。相关业务系统中将不再设置用户身份信息的创建、维护等功能；通过消息机制把用户信息同步到各业务系统，在需要时对用户进行授权。

而对于最终用户而言，用户管理系统又提供用户口令修改等工作可以让用户自己来完成，并且只需在统一用户身份管理中进行维护，从而减少用户管理所需要的技术支持工作量。

统一用户管理实现逻辑如图2所示。

表1：基本信息表

图1：统一用户登录与管理实现逻辑

图2：统一用户管理实现逻辑

3.2 用户认证数据统一

为用户认证数据建立统一的用户认证信息库。

用户系统具有稳定、读操作量很大、写的操作量比较小的特点，统一用户管理选择数据库服务器作为统一用户系统认证信存储，在统一用户数据库，可以存放用户的基础、共用的信息，基本信息如表1。

3.3 统一用户管理技术要求

从上面分析知道，统一用户管理有如下技术要求：

（1）建立统一的用户身份数据和用户认证数据；

（2）各业务系统根据统一用户身份数据对系统中原有的用户数据进行清洗、更新做到与统一用户身份数据的一致；

（3）用户身份认证通过统一用户身份认证系统处理，各业务应用系统不再进行用户的认证；

图3：统一登录流程

图4：某局业务系统与其他单位系统接口

（4）存储用户认证数据由统一用户系统认证信息库存储，各应用系统不再存储用户认证数据；

（5）用户身份数据、认证数据的管理包括创建、维护等集中通过统一用户身份管理进行管理；

（6）相关业务系统中将不再设置用户身份信息的创建、维护等功能，通过消息机制同步用户信息，对用户进行操作权限、数据权限的应用系统内授权。

4 统一用户登录

图5：系统部署

统一用户登录需要建立统一的登录验证服务器，进行统一的用户管理，负责验证登录用户的身份，其他的应用系统需要统一调整到该服务器来验证，以实现统一登录。

（1）统一用户管理。用户认证信息（用户ID、用户密码）进行统一管理，各应用系统不再进行用户的新增、删除等功能，并不再存储用户认证信息。

认证服务器新增用户后，通过消息机制通知各业务应用系统，业务应用系统更新本应用的用户信息，并对新增用户进行业务授权管理。

（2）单点登录认证。应用系统的访问认证在认证服务器中实现，各应用系统不再对用户身份进行认证。

根据政务信息化的技术特点及具体情况，建议采用基于中心认证服务的统一登录方案进行实现。

4.1 基于中心认证服务的单点登录

基于中心认证服务方式的单点登录要求：

（1）业务应用系统信任统一用户认证系统的认证结果。

（2）访问控制在统一用户认证系统中实现，业务应用系统不再对用户身份进行认证并不再存储用户认证数据。

（3）根据统一用户管理系统中的用户身份数据更新应用系统中的用户名，实现全局的用户统一。

（4）统一用户身份认证系统对用户提交的身份信息进行认证，认证通过后将用户的身份数据传输给用户相关应用系统（Token 方式），业务应用系统根据身份数据识别用户身份并进行权限控制。统一登录流程如图3所示。

4.2 统一用户登录技术要求

从上面分析知道，统一用户登录有如下技术要求：

（1）在应用系统注册认证客户端（过滤器形式）。

（2）应用系统改造获得用户登录验证方式。

（3）业务应用系统信任统一用户认证系统的认证结果。

（4）访问控制在统一用户认证系统中实现，业务应用系统不再对用户身份进行认证并不再存储用户认证数据。

（5）根据统一用户管理系统中的用户身份数据更新应用系统中的用户名，实现全局的用户统一。

（6）统一用户身份认证系统对用户提交的身份信息进行认证，认证通过后将用户的身份数据传输给用户相关应用系统（Token 方式），业务应用系统根据身份数据识别用户身份并进行权限控制。

5 系统接口设计

政务信息系统整合后形成的业务系统需要和各原有系统建立对接，统一进行身份认证，实现统一登录。

以某局政务信息系统整合共享项目为例，为实现用户的统一认证，某局业务系统需要和相关单位系统进行用户的同步，用户主要由相关单位业务系统进行统一管理。由于相关单位系统的特殊性，用户的创建过程是由用户注册并由相关单位系统管理员审批通过，因此这类用户需要相关单位系统主动推送用户信息到某局业务系统。

因此用户的创建有两种方式，一种是由某局业务系统创建同步给相关单位系统，一种由相关单位系统审批通过同步给某局业务系统，接口调用流程图如图4所示。

6 系统部署设计

通过完成多个部委政务信息整合共享项目的实践积累，政务信息系统整合共享系统部署大同小异，以某局政务信息系统整合共享项目为例，阐述统一用户登录和管理的系统部署。

某局外网环境：基于某局现有的外网运行环境，配备1 台数据库服务器和1 台应用服务器。数据库服务器用于应用集成系统数据库和应用门户系统数据库，应用服务器用于应用门户系统、应用集成系统和单点登录服务。

电子政务外网环境：基于某局现有的电子政务外网运行环境，利用已有的网络设施，配备1 台数据库服务器和1 台应用服务器。数据库服务器用于数据共享交换平台数据库，应用服务器用于共享交换平台系统、数据中心系统和交换节点服务。系统部署如图5所示。

7 总结

国家要求各部委建设“大平台”，对政务信息系统整合共享提出了具体要求和完成时间，本文提出的统一用户登录与管理 能够快速实现政务信息系统整合，不仅能够完成国家对建设“大平台”的时间要求，也降低了对现有先用系统进行重大改造的成本。