基于4A技術(shù)的統(tǒng)一身份管理在企業(yè)門戶系統(tǒng)中的應(yīng)用

　　(1) 訪問(wèn)管理器和身份管理器
　　訪問(wèn)管理器為門戶服務(wù)提供了針對(duì)Web服務(wù)器、J2EE應(yīng)用服務(wù)器、Web代理服務(wù)器以及典型企業(yè)應(yīng)用的多個(gè)策略代理 (Policy Agent) ；另外，它還提供了訪問(wèn)管理器 SDK，用以集成企業(yè)的Java或C/C++應(yīng)用，實(shí)現(xiàn)集中認(rèn)證、授權(quán)和單點(diǎn)登錄[4]。
　　用戶管理與信息同步系統(tǒng)由身份管理器實(shí)現(xiàn)，對(duì)各應(yīng)用或子網(wǎng)絡(luò)系統(tǒng)用戶帳號(hào)的集中管理，包括用戶帳號(hào)在其相對(duì)應(yīng)的應(yīng)用系統(tǒng)里的自動(dòng)創(chuàng)建及創(chuàng)建的規(guī)則，帳號(hào)生成的審批流程管理，帳號(hào)的禁用和銷毀，帳號(hào)在各個(gè)應(yīng)用系統(tǒng)之間的對(duì)應(yīng)關(guān)系及同步，口令的管理，提供統(tǒng)一的管理界面和分級(jí)授權(quán)管理，帳號(hào)的審計(jì)和風(fēng)險(xiǎn)分析等。身份管理器也是一個(gè)標(biāo)準(zhǔn)的J2EE應(yīng)用系統(tǒng)，它通過(guò)部署于其本身服務(wù)器端（而不是要管理的應(yīng)用系統(tǒng)一端）的資源適配器創(chuàng)建和管理在各個(gè)應(yīng)用系統(tǒng)上的用戶帳號(hào)。
　　(2) 統(tǒng)一認(rèn)證
　　訪問(wèn)管理器提供了公共的認(rèn)證服務(wù)架構(gòu)，具有靈活的認(rèn)證方式和多種認(rèn)證服務(wù)接口。因此，基于統(tǒng)一的認(rèn)證服務(wù)的應(yīng)用系統(tǒng)間可以實(shí)現(xiàn)單點(diǎn)登錄。
　　訪問(wèn)管理器提供的認(rèn)證服務(wù)基于JAAS（Java認(rèn)證與授權(quán)服務(wù)）框架，提供Java和XML/HTTP兩種應(yīng)用認(rèn)證接口。
　　(3) 認(rèn)證方式定制化接口
　　不同的認(rèn)證方式具有不同的安全性、易用性和部署成本。因此，針對(duì)企業(yè)門戶中不同的用戶群與不同的應(yīng)用范圍，需要對(duì)認(rèn)證方式進(jìn)行定制化。在訪問(wèn)管理器中，可以根據(jù)角色、用戶、服務(wù)指定不同的認(rèn)證方式，也可以在認(rèn)證時(shí)直接指定認(rèn)證模塊。對(duì)于不同組織、角色和服務(wù)，可以配置個(gè)性化的認(rèn)證選項(xiàng)。
　　訪問(wèn)管理器為應(yīng)用程序提供兩種類型的認(rèn)證編程接口。對(duì)基于Java的應(yīng)用系統(tǒng)（包括基于JSP的WEB應(yīng)用系統(tǒng)和基于Java的應(yīng)用程序）可以使用Java編程接口；對(duì)于非Java的應(yīng)用系統(tǒng)，可以使用XML/HTTP編程接口或C/C＋＋編程接口。
　　(4) 單點(diǎn)登錄支持
　　單點(diǎn)登錄的根本原理是保持用戶的會(huì)話（session）狀態(tài)。訪問(wèn)管理器對(duì)單點(diǎn)登錄提供的SDK級(jí)別的支持，其中包括單點(diǎn)登錄令牌的創(chuàng)建與驗(yàn)證。以Web應(yīng)用的單點(diǎn)登錄為例：用戶通過(guò)訪問(wèn)管理器的認(rèn)證頁(yè)面進(jìn)行認(rèn)證，認(rèn)證通過(guò)之后，平臺(tái)為該用戶創(chuàng)建一個(gè)單點(diǎn)登錄令牌，并將該令牌的ID通過(guò)cookie返回至用戶瀏覽器；當(dāng)用戶訪問(wèn)Web應(yīng)用系統(tǒng)時(shí)，單點(diǎn)登錄令牌ID自動(dòng)通過(guò)cookie傳遞至Web應(yīng)用系統(tǒng)，Web應(yīng)用系統(tǒng)可以通過(guò)單點(diǎn)登錄令牌ID還原單點(diǎn)登錄令牌，并向Access Manager驗(yàn)證單點(diǎn)登錄令牌是否有效。如果有效，則應(yīng)用系統(tǒng)可以從單點(diǎn)登錄令牌獲取用戶身份信息，而不再需要用戶進(jìn)行再次認(rèn)證。對(duì)于C/S結(jié)構(gòu)的應(yīng)用，單點(diǎn)登錄過(guò)程類似，只是單點(diǎn)登錄令牌ID的傳遞方式不同。
　　綜上，基于4A技術(shù)的統(tǒng)一身份管理為企業(yè)門戶服務(wù)帶來(lái)較為全面的安全保障，從人員、訪問(wèn)、授權(quán)和審計(jì)等角度保護(hù)企業(yè)內(nèi)部應(yīng)用的數(shù)據(jù)的合法使用，具有如下優(yōu)點(diǎn)：
　　(1)統(tǒng)一認(rèn)證、授權(quán)和審計(jì)，管理維護(hù)工作復(fù)雜度大幅度降低，減少維護(hù)操作帶來(lái)的故障隱患；
　　(2)統(tǒng)一監(jiān)管，企業(yè)系統(tǒng)安全狀況隨時(shí)被自動(dòng)監(jiān)管；
　　(3)免去用戶在各系統(tǒng)間切換時(shí)需要再次輸入用戶名和口令的繁瑣操作，減少帳號(hào)密碼泄露機(jī)會(huì)；
　　(4)對(duì)各個(gè)系統(tǒng)進(jìn)行統(tǒng)一的訪問(wèn)審計(jì)，利于綜合分析，及時(shí)發(fā)現(xiàn)入侵行為。
　　但從技術(shù)實(shí)現(xiàn)方式和用戶使用效果上看，基于4A的統(tǒng)一身份管理也存在著一定的不足，具體表現(xiàn)為：
　　(1)技術(shù)實(shí)現(xiàn)方式限制較多，例如基于策略代理的SSO，對(duì)門戶系統(tǒng)產(chǎn)品提出固定要求，對(duì)特定產(chǎn)品的版本、未提供開(kāi)放接口的系統(tǒng)缺乏靈活的處理方法；
　　(2)合規(guī)審計(jì)能力一般不強(qiáng)，多數(shù)產(chǎn)品只提供以日志為主的審計(jì)能力，以及基于日志的數(shù)據(jù)傳輸接口由第三方模塊完成審計(jì)報(bào)告。
　　相信，隨著企業(yè)門戶對(duì)安全管控需求的不斷細(xì)化，隨著各廠家產(chǎn)品和技術(shù)的發(fā)展，4A技術(shù)對(duì)企業(yè)門戶安全的貢獻(xiàn)將越來(lái)越突出。