图一

图二

    随着烟草信息化建设的快速发展，各单位的业务部门基本建立了各自的应用系统，但由于很多系统缺乏整体规划，系统的安全性和可维护性不高。通过统一用户管理系统（Single Sign On，简称SSO），用户只需登陆一个账户，就可以访问所有相互信任的应用系统，不需要死记众多系统的用户名和密码。当增加新用户或用户权限改变时，系统管理员只需维护统一用户管理系统就可以了，不必再单独维护各应用系统。统一用户管理系统连接了各“信息孤岛”，提高了信息系统的安全性和可维护性，在用户管理方面层次更清晰、更规范、更安全，在用户登录方面更简单、更有效。因此，建设统一用户管理系统非常必要。目前，该系统已在浙江省嘉兴市烟草专卖局（公司）顺利实施，将在浙江省烟草专卖局（公司）系统推广使用。在此，笔者结合工作实际，对该系统的设计与应用进行介绍。 

统一用户管理系统的构建原则 

    统一用户管理系统的建设，需在坚持保护原有投资、接入成本最小化和方便用户的原则下进行。主要应做到以下几点：新应用系统的用户管理必须符合统一用户管理的要求，原有应用系统的用户管理可根据系统升级计划逐步纳入统一用户管理系统；统一用户管理系统中的用户，除临时用户在统一用户管理系统创建外，其他用户都来源于HR（人力资源管理）系统，在HR系统未建设前，用户可先从统一用户管理系统中创建，确保用户的唯一性；要支持行业CA中心（证书授权中心）认证。 

系统的总体架构

    统一用户管理系统中用户存储采用LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）技术，用户身份管理采用IM（Identity Manager，身份管理）系统，身份认证采用AM（Access Manager，访问控制）系统。

    从逻辑架构图（图一）中可以看出，平台的核心是访问控制系统和身份管理系统，它们分别通过各自的标准接口集成各应用系统，从而达到统一认证、单点登录和统一用户管理的目标。

    从系统的物理架构图（图二）中可以看出，Access Manager是AM系统的核心，由省、市两级部署。省公司AM系统负责省公司本级应用系统、省公司集中部署应用系统用户的统一认证和单点登录；地市级公司AM系统负责地市级公司应用系统用户的统一认证和单点登录。Identity Manager是IM系统的核心，由省公司集中部署，负责全省用户信息的管理，并与应用系统同步。目录服务器（Directory Server）由省、市两级部署。省公司目录服务器存储全省的用户信息，地市级公司目录服务器存储本地区的用户信息。通过同步策略可实现省、市两级目录服务器信息的同步。省市两级都采用两台目录服务器，以便于系统备份。 

SUN SSO技术的应用 

    嘉兴烟草统一用户管理系统通过SUN公司的SSO技术实现。

    SUN SSO技术是Sun Java System Access Manager（Sun Java访问控制系统）产品中的一个组成部分。它提供端到端的身份管理，同时可与60多种第三方资源和技术实现互操作，是业内集成程序最多、最为开放的身份管理解决方案之一。

    Java Access Manager（Java访问控制）基于J2EE架构，采用标准的API（应用程序编程接口），可扩展性强，具有高可靠性和高实用性。

    SSO的核心在于统一用户认证，登录、认证请求通过Identity Server（身份认证服务器）完成。

    嘉兴烟草统一用户管理系统在推广使用过程中，加入了各应用系统的导航入口，将内网门户定为统一认证和单点登录的入口，以LDAP认证方式（即用户名+口令认证方式）为主要认证方式。单位员工通过登陆OA系统就可登陆所有的接入统一认证的业务系统，从而避免了用户记忆多个用户名和密码的问题，同时有效地规范了各业务系统的组织机构和人员信息管理。

    统一用户管理系统的实施，在方便用户使用的同时，也方便了系统管理员进行用户和权限的管理，提高了系统的安全性。

作者 浙江省嘉兴市烟草专卖局（公司）