专利名称:基于多应用系统统一用户管理及单点登陆平台的实现方法
技术领域:
本发明涉及一种基于多应用系统统一用户管理及单点登陆平台的实现方法,属于计算机软件系统集成领域。
背景技术:
随着计算机技术的发展与应用,许多公司、企业、事业单位都使用了大量应用系统来管理公司各项业务,支撑公司日常运营与快速发展,这些系统都是分散而独立地单独运行,每个系统都是独立运行的系统,需对每个系统进行单独登录。由于每个系统具有独立的权限管理,因此企业对登录各个系统的安全不能进行统一控制,因此企业信息安全可能因为疏忽或者用户权限的分配不当而得不到有效保证。现在企业的信息系统存在如下几个问题:1、系统操作复杂麻烦。由于登录不同系统要使用不同的用户名,因此用户必须记住登录每个系统的用户名与密码;同时用户的工作任务可能需要登录多个系统才能完成,给系统操作人员带来了使用上的麻烦。2、信息安全问题。每个系统是单独运行的系统,需要对每个系统的用户进行单独的权限管理,势必造成信息的安全风险增加。现在信息安全是公司、企业、事业单位重点建设内容,大型企业、科研机构、安全部门等特别注重信息安全。3、信息泄露难定位与追究。每天企业人员都在大量使用应用系统,由于登录人员不同、登录系统不同、登录地点不同,导致企业一旦发生信息安全泄露就很难进行责任定位与追究。由于不能进行责任定位与追究,因此企事业一般人员不重视信息安全问题,信息泄露难以被杜绝与控制。
发明内容
为了克服上述现有技术存在的缺点,本发明的目的在于提供一种基于多应用系统统一用户管理及单点登陆平台的实现方法。为了解决上述问题,本发明采用以下技术方案:基于多应用系统统一用户管理及单点登陆平台的实现方法,其特征是,包括以下步骤:A、统一用户管理步骤:Al、将发生变动的平台用户信息整理为XML格式数据;A2、将XML格式数据推送到各个已经经过平台验证的应用系统;A3、各应用系统根据各自需求对XML格式数据进行读取;B、单点登陆步骤:B1、平台为需要登陆到其他应用系统的用户生成一个令牌;B2、平台将令牌、平台服务地址和应用系统展示页面做为访问应用系统特定页面的参数;B3、应用系统接收到参数后, 用获取到的令牌做为参数请求访问平台服务页面;
B4、平台服务页面接收到请求后,进行令牌验证,若验证通过,则向应用系统返回用户名,否则不予通过,并通过应用系统页面进行相应提示;B5、应用系统获得用户名后,自动进行登陆操作,操作成功后直接跳入之前平台传入的展示页面。进一步地,所述令牌验证采用用户名+ 口令的验证方式和/或基于数字证书的方式。本发明的有益效果是:本发明通过基于多应用系统统一用户管理及单点登陆平台的实现方法,能够整合企业各个独立存在的现有应用系统。通过本发明提供的方法,能够很好地对企业信息泄露进行责任定位,为企业责任追究提供依据,同时,由于把企业的各个应用系统整合到一个平台,且为各个系统提供了单点登录、统一权限以及用户对企业各个系统进行安全控制的功能,减少了信息泄露风险、方便了用户操作、提高了企事业单位的办公效率。
下面结合附图和实施例对本发明做进一步的说明:图1是本发明所述平台同步用户的简要流程示意图;图2是本发明所述平台单点登陆的流程示意图;图3是本发明所述平台的身份验证系统结构示意图;图4是本发明所述平台基于统一用户管理和身份认证服务的执行过程示意图;图5是本发明所述平台的日志管理系统接口示意图。
具体实施例方式如图1所示,本发明所述平台同步用户流程包括监测信息变化、调用应用系统服务和确认同步成功等三个主要环节。监测信息变化环节:在平台内新增、修改、删除用户,系统会自动监测到,将变动的信息整理为xml格式的数据。调用应用系统服务环节:循环调用各应用系统提供的用户同步接口,将XML格式数据推送过去。确定同步成功环节:确定发送的数据已经被应用系统成功接收并录入。若数据并未被接收或者录入失败,则平台记录下准备第二次推送,直至数据推送成功。如图2所示,本发明所述平台的单点登录流程如下:一、用户在访问受保护性资源同时,平台会自动获取本地标示(令牌、URL等)并调用单点登录客户端。二、客户端应用系统判断是否具有本地信息。1、如果客户端应用系统没有本地登录信息,则判断标示字符串中是否含有token。I)若本地字符串中不含有token,则重定向到服务端验证页面获取token。2)若标示字符串中含有token,则验证标示是否一致。2.1)若标示 一致,则用token到服务端验证,验证服务验证token并返回验证结果,判断token是否有效,若token无效则重定向到登录页面。若有效,则设置本地登录信息并进行验证授权,得到保护资源访问授权。2.2)若不一致,则重定向到服务端验证页面获取token。2、如果客户端应用系统存在本地登录信息,则使用token登录服务端验证,验证服务验证token并返回用户标示。判断token是否有效,如果token无效,则重定向到登录页面;如果token有效,则判断用户标示是否与本地信息一致。如果用户标示与本地标示信息一致,则设置本地登录信息并进行验证授权,得到保护资源访问授权;否则,返回服务端验证页面。图3是本发明所述平台的身份验证系统结构示意图。如图3所示,本发明所述平台的身份验证系统包括统一用户身份验证系统、CRL下载系统、证书状态适时验证系统、接口组件和用户名+口令库。统一用户身份验证系统:为应用系统提供用户身份验证服务,该系统以统一的用户管理系统为基础,为用户提供可选择的身份验证方式,如可以选择用户名+口令的方式或是基于数字证书的方式。CRL下载系统:该系统主要是自动定期下载证书注销。列表,为用户身份验证提供基础支撑。证书状态适时验证系统:该系统主要是和PKI系统的OCSP系统发生交互,获取证书的适时状态。接口组件:该组件主要是为应用系统提供用户可信身份的获取服务。用户名+ 口令库:该数据库主要存储的是用户在相应应用系统中的用户名+ 口令,作为验证用户用户名+ 口令是否正确使用。
图4是本发明所述平台基于统一用户管理和身份认证服务的执行过程示意图。如图4所示,本发明所述平台基于统一用户管理和身份认证服务的执行过程如下:1、用户使用在统一认证服务注册的用户名和密码登陆统一认证服务,而密码则使用了 Base64编码表示的HASH值;统一认证服务创建了一个会话,同时将与该会话关联的访问认证凭据返回给用户,在SOAP消息中,访问认证凭据使用Base64编码。2、用户使用这个访问认证凭据访问应用系统,不过用户并不将请求消息直接交给应用系统,而是传给统一用户管理和身份认证服务,在消息中标识了应用系统的ID,如:〃C1ACF26D-9672-4404-9D70-39B756E62AB4"。3、统一认证服务访问应用系统注册库(UDDI Registry),获取了应用系统的访问入口(统一认证服务可以将这个访问入口缓存在本地,以减少以后与应用系统注册库的交互次数)。并确认这个应用系统的确是支持统一用户管理和身份认证服务的。4、假设返回消息中的service Detail所包含的binding Template结构中所指明的服务访问入口 access Point是http地址。5、统一认证服务将请求消息转发给指定的应用系统,如果该应用系统使用自己的用户系统的话,那么该消息应当包含了预先定义好的相关联的用户名和密码等。6、应用系统将请求结果返回给统一认证服务,最后统一认证服务将响应消息返回给用户,完成调用。图5是本发明所述平台的日志管理系统接口示意图。如图5所示,某一应用系统做了某项可产生日志的操作后,系统调用webservice将日志信息发送到平台。平台通过接口接收到日志信息后,解析日志信息并按照应用系统分类进行保存。通过以上方案详细描述,可以发现本发明通过基于多应用系统统一用户管理及单点登陆平台的实现方法,能够整合企业各个独立存在的现有应用系统。通过本发明提供的方法,能够很好地对企业信息泄露进行责任定位,为企业责任追究提供依据,同时,由于把企业的各个应用系统整合到一个平台,且为各个系统提供了单点登录、统一权限以及用户对企业各个系统进行安全控制的功能,减少了信息泄露风险、方便了用户操作、提高了企事业单位的办公效率。对于在本技术领域所公知的一些细节,本发明没有做出详细说明,在不脱离本发明的范围和精神的情况下,本领域技术人员可以对本发明做出修改,这些修改均应包含在本发明的保护范 围之内。
权利要求
1.基于多应用系统统一用户管理及单点登陆平台的实现方法,其特征是,包括以下步骤: A、统一用户管理步骤: Al、将发生变动的平台用户信息整理为XML格式数据; A2、将XML格式数据推送到各个已经经过平台验证的应用系统; A3、各应用系统根据各自需求对XML格式数据进行读取; B、单点登陆步骤: B1、平台为需要登陆到其他应用系统的用户生成一个令牌; B2、平台将令牌、平台服务地址和应用系统展示页面做为访问应用系统特定页面的参数; B3、应用系统接收到参数后,用获取到的令牌做为参数请求访问平台服务页面; B4、平台服务页面接收到请求后,进行令牌验证,若验证通过,则向应用系统返回用户名,否则不予通过,并通过应用系统页面进行相应提示; B5、应用系统获得用户名后,自动进行登陆操作,操作成功后直接跳入之前平台传入的展示页面。
2.根据权利要求1所述的基于多应用系统统一用户管理及单点登陆平台的实现方法,其特征是,所述令牌验证采用用户名+ 口令的验证方式和/或基于数字证书的方式。
全文摘要
一种基于多应用系统统一用户管理及单点登陆平台的实现方法,它包括统一用户管理步骤和单点登陆步骤,当平台的用户信息发生变动时,自动发送用户信息到各个应用系统;当点击应用系统链接时,如在平台已通过验证,则无需输入密码直接登入。本发明能够整合企业各个独立存在的现有应用系统。通过本发明提供的方法,能够很好地对企业信息泄露进行责任定位,为企业责任追究提供依据,同时,由于把企业的各个应用系统整合到一个平台,且为各个系统提供了单点登录、统一权限以及用户对企业各个系统进行安全控制的功能,减少了信息泄露风险、方便了用户操作、提高了企事业单位的办公效率。
文档编号H04L9/32GK103227799SQ20131017491
公开日2013年7月31日 申请日期2013年5月13日 优先权日2013年5月13日
发明者杨玉明, 李发文, 李鹏, 张敬杰, 许振锴 申请人:山东临沂烟草有限公司