文档介绍:构建基于分布式SOA架构的统一身份认证体系
摘 要:构建基于分布式SOA架构的统一身份认证体系的目的是将各信息系统用户、权限资源进行统一管理。但实现这一目标的前提是要充分了解SOA架构的特点。文章就此展开了论述,首先,明确最重要的是Web Service接口、LDAP接口能使业务系统直接获得目录服务器的反馈信息,并实现业务系统之间的相互通信[2]。
3 基于分布式SOA架构应用系统集中方法
若要实现数据的集中,则必须实现业务系统接种。业务系统的集中不单是指物理服务器集中,而且还包括系统数据流的集中。所以,在构建统一身份认证系统时,一定要深入研究如何进行数据流的集中,真正实现统一认证、统一管理。
SOA架构的松耦合是指具有中立的接口定义。其优点在于灵活性高、可靠性高。基于这种理念,在实现业务系统的集中时可不对已有的业务系统进行改造、整合,而采用SOA网络规范统一的网络接口。这样只要业务系统能够支持规范接口即可。此时,目录服务器所提供的以LDAP为基础的服务在SOA网络中,就会被抽象为身份认证服务。当业务系统使用这项服务时,就可通过调用SOA网络服务接口来完成。显然,这种调用方式比较简单、直接[3]。
4 基于分布式SOA架构的统一身份认证体系实现
基础模块
完整的基于分布式SOA架构的统一身份认证体系应当包括统一身份认证系统、网络环境、硬件设备、集群环境等。统一身份系统起码要有认证模块、授权模块、查询模块、系统服务模块。其他模块可以结合实际情况,灵活添加。
认证模块的核心部分是LDAP服务器、用户身份和权限的数据库。在实际应用中,业务系统提交核查用户信息时,首先,会调动LDAP接口、Web Service接口。其次,认证模块就会进行检索,并再次通过数据接口使用户信息进入到数据库中,进行查询。最后,返回的用户权限信息会被再反馈给业务系统,从中能够发现认证模块的主要作用就是结合用户信息,进行目录模型检索,并实现数据库信息的查询。
授权模块的主要作用就是进行用户权限的分配,如初始化权限产生新用户。可以说,授权模块是分配业务系统权力的核心。所以,一定要加强授权模块的管理,避免出现授权被篡改的问题,影响到整个系统的安全。另外,在授权模块中,业务系统角色可分为超级管理员、监督管理员、应用系统权限管理员。不同业务系统角色的权限、作用都不相同。
查询模块的主要作用就是进行特定用户的查找、用户权限的变更及所有同权限用户的汇总。系统服务模块主要是为超级管理员服务的,如提供统一身份认证服务、业务系统相互连接配置服务、系统日志管理和维护服务、系统备份服务等。
另外,考虑到业务系统不同角色的使用权限不同,且大部分用户基本都是使用内部网络。所以,在遇到需要外联本网络外的服务器时,还要设置防火墙和***。这样做能提高该系统的安全,避免系统受到非法攻击。
部署架构
基于分布式SOA架构的统一身份认证体系部署架构应当包括3大部分:Web服务器集群、应用服务器集群和数据库服务器集群。数据库服务器集群与应用服务器集群之间选择NFS访问方式。同时数据库服务集群与磁盘库、磁盘阵列之间的信息交换应当通过SAN交换机,用户的终端设备在接入内网前,需要