异构环境下统一身份认证平台设计与实现

魏星 孙武峰 郝龙龙

摘 要：随着公司“135”发展战略及数字化转型发展的需要，公司存量业务系统及增量系统组织机构、用户管理与访问权限孤立分散在各应用系统中，用户类型也呈现了多样化趋势，造成应用系统账号密码不统一、权限不统一和访问入口不统一等现象。由于缺乏统一的用户管理体系与身份治理机制，造成在流程效率、信息安全、风控管理等方面存在诸多风险问题。为此，以“数据融通、信息共享”，建立内外部用户的数字身份安全管理体系以及应用系统安全接入的统一规范，成为数字化转型与提高经营效率的必要条件。建设基于异构环境下统一身份认证平台，加强内部控制以及对内、外部人员的持续动态化、全生命周期“数字身份”安全管控，是当前信息安全环境下的必然趋势。

关键词：数字身份;身份管理;访问控制;单点登录

中图分类号：TP393.08 文献标识码：A 文章编号：1674-1064（2020）08-0031-02

企业信息门户在身份认证环节初步实现了统一授权，为建立应用级身份认证体系，设计符合集团公司实际的分布式服务架构，实现身份认证与权限管理集中管控。在现有企业信息门户基础上进行升级改造，通过融合、协同和共享的方式提供给公司员工，真正实现身份认证统一、业务与权限聚合功能，给企业内外部人员建立统一的“数字身份”。解决用户访问各业务系统账号和密码不统一、不规范、权限乱等问题是文章研究的主要内容。

1 总体架构设计

1.1 系统组成

统一身份认证平台，核心功能模块包括身份管理与访问控制。

数据中心，集中的主数据包括用户相关的基础信息、组织机构、岗位、应用、帐号、密码等信息。同时，根据需求扩展LDAP企业目录服务;身份管理，提供用户、机构、应用、权限等基础数据的集中管控和统一授权[1];统一认证，实现与各业务系统的集中认证以及单点登录功能;企业信息门户，提供应用系统统一访问入口，实现单点登录、待办聚合及综合信息服务;用户自助功能，包括应用系统导航列表、自助密码维护、应用权限申请流程等功能;多因素认证，支持用户名密码认证，同时提供短信验证码登录，以及人脸识别、指纹和多种认证手段的扩展;API接口服务，提供各类数据的管控接口服务，支持多种形式的标准协议，其接口发布在现有公司企业服务总线上;安全标准和技术规范：包括组织机构编码建设和扩展标准、《信息系统账号及权限管理规范》和《应用系统身份认证与权限管理服务架构》等应用系统集成规范等。

1.2 总体架构

结合公司现有各业务系统以及业务管理模式，统一身份认证平台的逻辑架构包括如下。

身份管理平台：由协作共享平台提供用户和机构基础数据，身份管理中数据中心存储用户数据，同时通过多种方式实现与各业务系统的数据对接，包括数据下推以LDAP目录方式;用户通过企业信息门户中的自助服务流程，申请应用系统帐号及权限，管理员审批后平台自动将帐号及权限分配至各业务系统;提供多种认证手段的扩展，包括静态口令认证、短信验证码认证等方式[2]。

2 系统功能

统一身份认证平台主要包括身份管理、访问控制、权限管理及安全审计等[3]。其目的是解决企业内外部人员“数字身份”的安全管理与统一，实现用户全生命周期的集中管理，并通过账号、应用、流量及偏好分析，为数字身份安全赋能。

数据中心为身份管理平台、统一认证平台、企业门户等提供用户数据、业务数据、认证缓存数据和目录服务数据存储;身份管理服务提供主数据管理、应用集成管理、策略管理、权限管理、接口管理、审计管理功能;统一认证服务提供身份认证管理、认证方式管理、认证策略、单点登录、认证接口管理;企业信息门户提供应用导航列表、待办聚合、企业新闻、文件下载、用户自服务、应用代填功能;登录方式包含：用户名+静态口令、用户名+短信验证码方式;企业浏览器提供管控后台、应用兼容性管理、插件集成功能;平台对外接口提供统一认证和单点登录接口、数据同步接口、待办集成接口;身份管理平台通过webservice连接器、ldap方式为下游同步数据;webservice方式通过企业总线;认证服务使用OAuth2.0协议，并支持CAS协议[4]。

2.1 统一身份管理

用户全生命周期管理、用户审批、账号识别、账号分类管理、账号同步、密码策略;进一步实现对企业内所有人员的应用账号（密码）的统一管理;灵活自定义密码规则;安全保护，支持国密加密存储和分级权限保护;用户自助服务，通过平台和手机短信实现用户登录、自主账号申请、密码重置、信息更新与完善;实现用户自助式的信息维护（如密码重置）及权限管理模式，减轻管理员负担。

2.2 統一认证与访问控制

提供统一认证管理、访问控制管理、应用单点登录管理、集中访问入口控制、应用访问授权、多因素认证、访问策略控制和多认证协议;将所有业务系统的认证入口统一，实现安全访问控制[5]。

提供多种安全认证方式和功能，满足应用安全访问需求，适应不同业务场景。

2.3 合规安全审计

对用户管理和访问控制中的关键流程、操作进行审阅;合规审计覆盖到用户管理与访问控制的每个环节;记录应用系统重要的安全相关事件，包括重要用户行为、系统资源的异常使用、授权操作等;相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等[6];建立综合展示视图，进行集中展现和展示，根据记录数据进行分析，可生成统计报表，并对特定事件提供指定方式的报警;单独设置安全管理员角色，使其与管理权限完全独立;日志管理：用来记录用户认证日志、访问日志、操作日志。

查询类报表：提供孤儿账号、系统日志、用户状态、用户账号、用户资源、资源账号的集中查询功能，并提供导出功能。

2.4 与业务系统集成

统一身份认证平台与相关系统对接集成实现用户、组织架构数据同步、单点登录，并与主数据（公司组织架构）平台账号关联，实现管理员仅维护一套主数据账号、组织机构管理工作。

2.5 与企业门户、数据总线及主数据管理平台集成

企业信息门户集成统一认证平台，采用统一的登录入口，使用集团公司统一的用户名和密码登录。

统一身份平台与其他系统的交互通过数据总线实现。

统一身份认证平台支持主数据管理平台建设，实现公司身份数据的标准化和唯一化。

与企业门户、数据总线及主数据管理平台的集成符合集团公司《面向服务的应用系统集成规范》、《主数据管理平台系统接口规范》。

3 部署架构

部署架构图，如图1所示。

身份管理服务（含应用导航、业务控制台、自服务平台）通过两台服务器实现集群，通过A10设备实现负载均衡;认证服务（含认证中心、认证拓扑）通过两台服务器实现集群，通过A10设备实现负载均衡;企业信息门户部署在两台服务器，两个节点使用tomcat集群，通过A10设备实现负载均衡;企业浏览器部署在1台服务器，包括管控后台和数据库;Mysql数据库通过两台服务器实现主从关联;redis通过两台服务器实现3主3从的集群模式;ldap通过两台服务器实现数据复制功能。

4 结语

文章提出基于异构环境下统一身份认证平台的设计与实现，其关键点和难点均在于第三方应用系统的接入，其异构环境为基于配电网企业内外网及公司大楼局域网等复杂网络环境系统下，实现身份管理与认证数据的实时同步。目的是实现公司内外部员工“数字身份”的全生命周期管理。同时，用户通过企业信息门户，输入一次用户名、密码即可访问不同业务系统，并通过身份大数据分析，指导公司开展应用系统实用化工作，进一步提高用户体验，增强公司运营效率。

参考文献

[1] GB/T 31072-2014，科技平台 统一身份认证[S].北京：王志强，杨青海等，2015.

[2] GB/T 32419.6-2017，信息技术 SOA技术实现规范 第6部分：身份管理服务[S].北京：梅宏，赵斌等，2017.

[3] 牟平.国家電网公司统一身份认证平台的设计与实现[D].天津：天津大学，2014.

[4] 沈斌，史鸣杰.统一身份认证平台的设计[J].南京师范大学学报（工程技术版），2004（02）：74-76.

[5] 张立斌，高仲春，张晶.云计算环境下统一身份认证平台的设计与实现[J].工业控制计算机，2013，26（7）：91-92.

[6] 崔晶.统一身份认证系统的设计与实现[J].天津职业院校联合学报，2014（04）：121-124.