基于活动目录的通用授权管理平台的设计与实现

基于活动目录的通用授权管理平台的设计与实现

Ξ

唐瑞春1,毛　健2,徐建良1,任丽婕1

(1.中国海洋大学信息科学与工程学院,山东青岛266100;2.青岛市中心医院山东青岛266042)

摘　要:　考虑应用系统中如何安全、高效的进行统一的人员管理及权限管理问题,研究基于微软活动目录构建通用中间件并以WebService 方式发布的解决方案。具体内容包括把活动目录作为统一的人员库;构建通用授权管理平台统一管理用户在不同的软件系统中的角色和权限;该管理平台以WebService 的方式向其它的应用系统提供接口。文中示例表明该方案切实可行,应用范围广。关键词:　活动目录;中间件;权限管理

中图法分类号:　TP393 文献标识码:　A 文章编号:　167225174(2006)0621013206

政府信息化建设的发展,促进了电子政务等应用

系统中用户量的激增和软件系统的多样化,这对人员管理工作提出了更高的要求。如何安全、高效的进行人员及权限管理,是电子政务等应用系统发展需要解决的一个重要问题。

中间件技术作为1种支持分布式应用的重要基础设施出现,为应用程序员提供了1种统一的编程模型。中间件技术广泛应用在移动计算、多媒体应用、实时系统等领域[1]。Flavien 等研究了基于多agent 范例的中间件技术[2],J.Salceda 等研究了用于多种分布式系统的全局管理的中间件解决方案[3],将中间件技术应用到电子政务等应用系统中,可有效地屏蔽基础平台的异构性和分布性,有效地解决权限管理等问题。大型多用户应用系统的访问控制和安全管理普遍具有内部结构功能复杂和外部用户量大、权限管理复杂和权限验证效率低下等特点[4],Sandbu 等提出了基于角色访问控制的参考模型,该模型提供了应用级访问控制机制和安全管理方法[5],将角色访问控制模型应用到人员权限管理中可解决较为复杂的权限管理。但是上述论文并没有给出将中间件技术和基于角色的访问控制模型相结合从而实现可应用在异构系统中的人员管理方案。

本文研究1种基于活动目录的人员权限管理方案的设计与实现问题。通过以活动目录作为统一的人员库,构建通用的中间件—授权管理平台来统一管理用户。

在不同的应用系统中的角色和权限,并通过Web 2Service 接口的方式进行功能发布,既能实现每个用户在所有软件中都使用同一账户和密码,又为实现异构系统单点登录提供1个解决办法,进一步提高办公效率。本平台既可应用到电子政务系统中又可应用到其

它的应用系统中,具有较好的通用性。

1　基于活动目录的人员管理平台构建

活动目录是一种事务性数据库。它负责存储网络上的对象信息,包括用户、组、计算机、域、组织单位和安全策略,并使管理员和用户更方便地查找和使用这种信息。活动目录根据网络标准协议进行定期地复制、更改。应用系统使用轻量目录访问协议(LDAP )方便地提取活动目录中的信息。

本文通过活动目录提供的组织单位(Organization 2al unit )和用户(User )这2种目录信息来实现组织架构的构建。在域中构建组织单位树,其下创建用户。用组织单位和用户分别代表组织架构中的单位、部门和人员,通过组织单位的树状分布表现各单位和各部门的隶属结构。从而形成“域—多级组织单位—用户”的人员管理平台。采用活动目录提供的管理台工具创建组织架构,实现组织单位和域用户的分级管理。

各个组织单位的管理权限委派功能是通过活动目录的委派控制功能来实现,实现由各单位管理员对自己所在组织单位的群组及人员的变更情况进行维护。委派控制功能有较强的灵活性,根据不同情况可以给予管理员不同的权限,例如:某管理员可以维护组织单位及人员而另一个管理员只能够对人员进行维护。这种管理方式可以有效地降低组织单位变更所引起的工作量,高效率的实现各机关部门的组织单位及人员的管理,并且通过数据复制机制可实现各域控制器之间数据的一致性和时效性。基于活动目录构建的通用授权管理平台可实现对应用系统的权限管理。应用系统通过该平台可从活动目录中提取组织结构和人员信息。

Ξ基金项目:山东省优秀中青年科学家奖励基金项目(03BS007)资助

收稿日期:2006207213;修订日期:2006209213

作者简介:唐瑞春(19682),女,副教授。E 2mail :tangruichun @

　第36卷　第6期　

2006年11月　

中国海洋大学学报

PERIODICAL OF OCEAN UNIV ERSITY OF CHINA

36(6):1013～1018

Nov.,2006

2　通用授权管理平台构建

在政府机关通常使用多种应用系统,以往的软件

系统通常都是在各自的数据库中有各自的用户表,角色权限表,用户需要在不同的软件系统中注册个人信息,用户每打开一个软件,都需要输入在该软件中注册的用户名和密码,影响办公效率,为解决这个问题,本文采用在活动目录的基础上构建通用授权管理平台的方式,对应用系统进行统一的权限管理。2.1总体架构

中间件是1种独立的系统软件或服务程序,分布式应用软件借助中间件在不同的技术之间共享资源。在本文中,将通用授权管理平台作为活动目录与各应用系统的中间件,使应用系统通过该中间件与活动目录建立联系,实现信息的提取和人员管理等功能。通用授权管理平台的基本功能主要分为两部分,一是对电子政务系统群进行权限分配;二是作为应用系统访问活动目录的中间件。因为许多非微软架构开发的异构应用系统不能直接访问活动目录,采用中间件技术可解决异构系统的单点登陆问题。

该中间件具有2个特点,

一是通用性强,有效地屏蔽了基础平台的异构性,适用于多种应用系统,例如:电子政务、企业管理等;二是功能强大,采用基于角色的权限控制,可实现复杂的权限管理并提高权限验证效率。

基于通用授权管理平台的总体架构(见图1)。

图1　基于通用授权管理平台的架构图Fig.1　Structure diagram based on current

authorization management platform

在图1中可以看到,通用授权管理平台主要满足

了应用系统的4个需求:提取活动目录信息、提出用户验证要求、角色权限分配和角色权限提取。

(1)提取活动目录信息:应用系统经常要提取活动目录的信息,比如:收发文需要提取人员列表,选择发送人。应用系统向通用授权管理平台提出请求,通用授权管理平台访问活动目录,提取活动目录信息,并反馈给应用系统。

(2)提出用户验证要求:应用系统将用户输入的用户名和密码提供给通用授权管理平台,通用授权管理平台访问活动目录,在活动目录中验证用户是否合法,将结果反馈给应用系统。

(3)角色权限分配与存储:通用授权管理平台从活动目录中提取用户账户,对其分配角色权限,并将数据存储到通用授权数据库中。

(4)角色权限提取:应用系统向通用授权管理平台提供用户账户,提出提取权限请求,通用授权管理平台从通用授权数据库中提取出该用户的角色权限,反馈给应用系统。

2.2基于角色的权限管理方式

权限管理方式的实质是在用户和权限之间建立1种机制,以角色为单元来分配系统的权限,用户拥有了一定数量的合适的角色也就获得了其访问权限。

在应用系统中,一项业务处理通常被分割成不同的任务,由多人共同承担,另外,由于应用类的软件对权限分配的要求很高,其性质决定了这一类软件中的数据具有较高的保密性,不同人员只能看到不同的内容,人员权限分配比较复杂,所以引入了角色这个元素。处理业务的人称为角色,不同的角色具有不同的处理权限,通过角色、用户、功能间的相互关联实现对权限的抽象控制。全局用户　所有用户能进行的公共操作;内部用户　所有内部用户能进行的公共操作;外部用户　所有外部用户能进行的公共操作;部门管理员　部门用户中具有部门权限管理的用户;系统管理员　用户中具有系统配置、权限管理的用户;一般用户　所有用户能进行的一般操作;普通人员　科员或普通员工能进行的公共操作;领导　领导能进行的公共操作;开发人员　开发阶段等同于系统管理员,运行阶段权限需重设或取消;访客　只能看到对外开放的信息,对于1个完全内部使用的系统,这一角色可以不设置。

以电子政务系统为例,将电子政务系统按照功能分成模块,每个模块有不同的角色,不同角色对应不同的操作权限。人员属于角色,一个人员对应某个模块可以属于多个角色,角色对应着不同的功能。这种设计方式可以方便的实现复杂的权限分配工作。电子政务系统功能块一般包括:邮件、收文、发文、会议、活动、人大、政协、领导决策、业务管理、实用信息、系统管理等

4

101中　国　海　洋　大　学　学　报2006年