摘要：根据企业办公平台信息系统建设的需求提出了企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登录解决方案，解决用户在同时使用多个应用系统所遇到的重复登录问题。依据协同办公平台系统的物理结构，详述了系统的体系分析、设计，最后给出了基于web services单点登录解决方案，并结合OOP面向对象技术描述了方案的分析、设计与实现，满足企业信息化建设的需要。

关键词：办公平台;SSO;OOP面向对象技术;web 服务

随着计算机和网络技术的飞速发展，各种应用系统的不断涌现，需要身份认证也迅速增多，管理人员迫切需要有一个集中统一的用户身份认证及授权管理系统，能够在分布式网络环境中进行有效的用户身份以及访问控制管理，SSO技术正是解决传统认证机制所存在的问题。

1  问题提出

结合企业信息化建设发展状况，提出了加强协同办公平台应用建设，已有的办公系统各自独立运行，拥有一套独立用户数据库，在业务处理中需要登录多个业务信息系统，每个系统中的用户数、用户名、密码各不相同，流程流转繁琐，将已有的系统用户库进行统一管理是不现实的。为了建立一套功能完善、使用简单、办事高效的综合协同办公平台，实现各部门协同办公，满足协同工作流程需求，需要把各个部门业务流程进行集成，统一认证接口，建立一套统一的系统登录平台，运用成熟的单点登录技术（SSO），把多个业务信息系统整合到一个平台，实现信息共享。

2  系统分析

单点登录SSO是在一个多系统共存的环境下，用户在一处登录后，就不用在其它系统中登录，也就是用户的一次登录能得到其它所有系统的信任。SSO设计采用OOP技术的层次化、模块化，主要实现单点登录、身份认证服务、基于角色访问控制和高可扩展性。即实现一个扩展性良好的单点登录核心框架，再根据实际的需求，在基本平台的基础上重点解决个性化访问与应用集成问题。系统通过向企业用户和企业业务系统提供身份认证服务，最终实现个人入口、多种方式的单点登录，即登录一次即可访问所有有权限的资源。

3  系统设计

面向对象程序设计OOP是一种计算机编程架构、核心技术封装、继承、多态。基于OOP的SSO技术采用MVC，即（模型-视图-控制器）三层结构进行设计。模型表示业务数据和业务逻辑，采用JAVABEAN和EJB实现，视图是SSO中用户看到与用户交互的界面，由JSP页面和Actionform组成。控制器由Actionservlet类和Actionle类来实现。系统主要是依赖于客户端Cookie。浏览器使用者在Web层被提示进行应用程序的认证，身份传到应用服务器，用于认证用户成功登录的结果是生成一个Cookie。它的作用范围是应用服务器驻留的DNS域，Cookie返回给向应用程序服务器发送请求的浏览器。

对需要登录业务信息系统接口进行整合，可以通过功能树嵌入，在桌面嵌入其它系统的WebPart，通过XML Web Service进行数据绑定、整合。

实现单点登录技术是要解决如何产生和存储信任机制，也就是其它信息系统如何验证这个信任的有效性。目前已有很多产品支持SSO，但SSO产品的实现方式也不尽相同。WebSphere通过Cookie记录认证信息，WebLogic则是通过Session共享认证信息。Cookie是一种客户端机制，它存储的内容主要包括名字、值、过期时间、路径和域，路径与域合在一起构成了Cookie的作用范围，因此常应用Cookie方式实现SSO，但域名必须相同;Session是一种服务器端机制，当客户端访问服务器时，服务器为客户端创建一个唯一的SessionID，使在整个交互过程中始终保持状态，交互的信息则可由应用指定，而应用Session方式实现SSO，不能在多个浏览器之间实现单点登录，但可以跨域。

4  系统实现

SSO通过向企业用户和应用系统提供身份认证服务，最终实现一个入口、多种方式的单点登录，即登录一次即可访问所有有权限允许的资源。当用户登录系统时，客户端软件根据用户的凭证为用户建立一个安全上下文，包含用于验证用户的安全信息，系统用安全上下文和安全策略来判断用户是否具有访问系统资源的权限[1]。

认证与授权管理员：用户需求认证强度非常高，但不能有频繁的业务系统登录过程。核心人员配备USB KEY， 并且在USB KEY中存放标准证书，证书唯一识别该用户。

证书注册管理员包括一般管理人员和在使用被保护的企业重要数据管理人员，配备标准的证书，在SSO中可设置通过证书认证的用户可以不用输入密码，这些人员使用各个应用系统时即满足了高强度的身份认证，也避免了用户记忆密码的繁琐。

普通用户：大量使用业务信息系统，而且在各个业务信息系统中频繁切换，这些用户的需求为认证强度要高，只要有一套用户名、密码即可登录任何已经在单点登录系统中注册的业务系统，免去记忆在多个业务信息系统的不同用户名和密码。

使用完善独立的SSO技术，实现了协同办公平台在多个业务信息系统中的集成和流程流转，为异构系统在不同的平台上使用不同的应用服务器建立不同的业务系统，而且单点登录的规划设计和使用最终成为用户统一管理、统一授权中的一部分。

5  结束语

本文介绍基于OPP技术的单点登录系统作为分布式计算机环境下统一用户管理、安全鉴别用户、提高工作效率的有效手段，通过SSO技术完成企业基本业务信息系统集成，实现多个系统单点登录，解决了工作流程网上流转。SSO技术在协同办公平台中的应用，对优化业务管理流程、提高工作效率起到重要作用，为企业各项工作业务流程的开展带来更多的便利。

参考文献

[1] 单点登录系统设计与实现.北京邮电大学

[2] WEB应用单点登录系统的设计.哈尔滨师范大学学报

[3] 单点登录系统模型分析[J]. 成都大学学报（自然科学版） 淡艳，尹谦

[4] 单点登录系统的研究与实践[J]. 电脑知识与技术. 2009（15）