系統識別號 | U0002-2506200815531100 |
---|---|
DOI | 10.6846/TKU.2008.00905 |
論文名稱(中文) | 以身份管理整合為基礎的單一登入入口網站架構設計 |
論文名稱(英文) | Design of a Identity Management integrated Single Sign-On Portal |
第三語言論文名稱 | |
校院名稱 | 淡江大學 |
系所名稱(中文) | 資訊工程學系碩士在職專班 |
系所名稱(英文) | Department of Computer Science and Information Engineering |
外國學位學校名稱 | |
外國學位學院名稱 | |
外國學位研究所名稱 | |
學年度 | 96 |
學期 | 2 |
出版年 | 97 |
研究生(中文) | 卓克羽 |
研究生(英文) | Ko-Yu Chou |
學號 | 795410124 |
學位類別 | 碩士 |
語言別 | 繁體中文 |
第二語言別 | |
口試日期 | 2008-06-23 |
論文頁數 | 71頁 |
口試委員 |
指導教授
-
徐郁輝
委員 - 謝文恭 委員 - 洪文斌 |
關鍵字(中) |
身份管理 單一登入 入口網站 |
關鍵字(英) |
Identity Management Single Sign-On Portal |
第三語言關鍵字 | |
學科別分類 | |
中文摘要 |
隨著網路發展及資訊技術的不斷的更新及演進,企業的內部資訊應用系統逐漸增加並網路化,以增進及提升整體營運效率。 由於系統建置的時間與平台不盡相同,因此每個資訊系統各自擁有認證、授權等功能,且包括使用者帳號與角色等資料。對於使用者而言,必須各別登入每個系統,方可使用該系統之功能。此外,若使用者於各個系統內之帳號或密碼不同,則需記憶多組帳號與密碼。上述兩點將造成使用者之不便。 從系統管理層面而言,每個系統的授權規則皆儲存於各自的資料庫中,系統管理者必須各自維護每個系統之授權規則,其中包括:使用者-角色、角色-資源的對映關係。因此,分散於各系統的認證模組、授權模組、帳戶資料庫,將對使用者與管理者造成諸多不便。 另外企業或政府機構需要類似Yahoo、Google之類的大型入口網站功能,因為它們提供大量的綜合分類的訊息且易於檢索;換言之,企業或政府機構需要為內部員工、外部客戶群量身訂制有價值的企業訊息,以快速的因應環境變化。但是令企業感到頭痛的是,一些有價值的企業訊息獲取不易,必須整合來自不同的應用系統、不同的數據來源及不同平台的各式各樣類型的資訊及資源。 本論文擬透過整合身份管理、單一登入及入口網站相關技術解決上述問題,運用身份管理機制將多個網路資訊應用系統整合至單一身份控管平台。透過單一登入機制,使用者只需記憶一組帳號密碼,即可存取後端資訊應用系統。建立一入口網站平台,整合後端資訊應用系統,提供個人化資訊。最後本論文將以一個學校網路資訊系統環境為例,實作身份管理、單一登入及入口網站的整合。 |
英文摘要 |
With network development and constant renewal of the information technology and gradual progress, the information in the enterprise uses the system to increase the networking of combining gradually, in order to promote and improve whole operational efficiency. Because the time and platform of the systems construction are not the same, each information system has functions , such as authentication , authorization ,etc. each, and include the materials , such as user's account number and role ,etc.. As to user , must inscroll each system specifically , can use the function of this system . In addition, if user's account number or password in each system are different, need memory much group's account number and password. Will cause the user's inconvenience. As regards system management aspect, the mandate rule of each system is all stored in one's own databases , the system administrator must maintain the mandate rule of each system each , including: User - Relation that the role , the role - resources are right to reflect. So, disperse in the authentication mould group of every system , authorize the mould group , account database , will cause a great deal of inconvenience to user and administrator. Large-scale entry website's function that enterprises or the government organs need similar Yahoo , Google etc. in addition, because they offer a large amount of information with categorised synthesis and easy search; In other words, enterprises or the government organs need to order valuable enterprise information for interior employee , outside customer a group of quantity body, environmental change by answer fasting. But what made enterprises feel troublesome is, it is difficult that some valuable enterprise information is obtained , must combine and come from different application system , different data source and information and resource of the types of all kinds of different platforms . This thesis plans to solve above-mentioned problems through Identity Management , Single Sign-On and Portal technology , the system is combined to the single identity and accused of managing the platform to use the mechanism of management of the identity to use a lot of network message. Through inscrolling the mechanism singly, the user only takes an account of memory, can access the information application system of back end . Set up one Portal platform, combine back end information and use the system , offer individualized information. A thesis will take environment of information system of the network of a school as an example finally, do the Identity Management , Single Sign-On and Portal in fact. |
第三語言摘要 | |
論文目次 |
表目錄 III 圖目錄 IV 第一章 緒論 1 1.1 研究背景 1 1.2 研究動機與目的 2 1.2.1 研究動機 2 1.2.2 研究目的 3 1.3 國內外研究發展現況 4 1.4 論文架構 5 第二章 相關研究與核心技術 6 2.1 入口網站簡介 6 2.1.1 Portal系統架構與核心技術 6 2.1.2 Portlet技術 7 2.2 單一登入之研究 13 2.2.1 認證服務伺服器 13 2.2.2 Global Sign-On 13 2.2.3 Reverse Web Proxy Server 15 2.2.4 安全控管機制 - Junction 16 2.2.5 系統整合 18 2.3 身份管理簡介 20 2.3.1 Organization Tree 21 2.3.2 Organization Role 22 2.3.3 Services 22 2.3.4 Reconciliation 23 2.4 權限控管機制 24 2.4.1 後端應用系統權限管理 24 第三章 系統分析與設計 27 3.1 需求分析 27 3.2 系統架構與設計 30 3.2.1 使用者帳號整合 31 3.2.2 單一登入 33 3.2.3 入口網站整合 34 第四章 系統建置 36 4.1 系統軟硬體環境規劃 36 4.1.1 硬體環境部署 36 4.1.2 網路環境部署 36 4.1.3 軟體部署 37 4.1.4 目錄服務伺服器 38 4.1.5 核心模組安裝及設定 41 4.2 帳號整合配置 45 4.2.1 組織樹建立 45 4.2.2 組織角色建立 46 4.2.3 服務建立 46 4.2.4 帳號對映關係建立 51 4.3 單一登入配置 52 4.3.1 Junction配置 52 4.3.2 Global Sign-On配置 53 4.3.3 Forms-Base Single Sign-On配置 54 4.3.4 HTTP Header配置 55 4.4 入口網站整合 56 4.4.1 Portal頁面建立與Portlet配置 56 4.4.2 Portlet權限設定 57 4.5 系統測試 58 第五章 結論與展望 60 5.1 結論 60 5.2 未來展望 60 參考文獻 61 附錄 英文論文 63 表目錄 表2.1 連接器列表 23 表3.1 行為者說明 28 表3.2 應用系統執行環境 28 表3.3 資訊系統儲存媒介 29 表3.4 資訊系統授權規則 29 表3.5 密碼加密演算法 33 表3.6 群組分類表 35 表4.1 硬體環境部署 36 表4.2 軟體部署 37 表4.3 目錄伺服器安裝元件 38 表4.4 入口網站安裝元件 41 表4.5 存取管理安裝元件 43 表4.6 身份管理系統安裝元件 44 表4.7 後端資訊應用系統Junction Point設定 52 表4.8 使用者之帳號對映關係 53 表4.9 Forms-Base Single Sign-On設定檔 54 表4.10 PHP接收HTTP Header範例程式 55 表4.11 測試資料 58 圖目錄 圖1.1 使用者與後端資訊系統關係 1 圖1.2 入口網站整合平台之功能 3 圖1.3 單一登入與身份管理之入口網站整合平台架構 3 圖2.1 入口網站架構 7 圖2.2 入口網站中的應用程式元件-Portlet 8 圖2.3 Web Application Deployment Descriptor格式 9 圖2.4 Portlet Deployment Descriptor格式 10 圖2.5 JSP程式應用範例 11 圖2.6 Portlet類別架構 12 圖2.7 Portlet應用程式介面之類別示意圖 12 圖2.8 不同帳號與密碼之情境 14 圖2.9 GSO Lock Box及GSO運作機制 15 圖2.10 Reverse Proxy Server & Web Application之系統架構圖 16 圖2.11 Reverse Web Proxy Server & Junction之運作機制 17 圖2.12 既有資訊系統之登入模組 18 圖2.13 使用HTTP Header整合後端資訊系統的登入模組 19 圖2.14 使用Forms-Base Single Sign-On整合資訊系統的登入模組 20 圖2.15 Identity Manager與後端資訊系統關聯架構圖 21 圖2.16 組織樹示意圖 21 圖2.17 使用者與Portlet權限對映關係 24 圖2.18 Portal依據權限顯示不同之Portlet示意圖 25 圖2.19 後端系統依權限顯示不同內容之示意圖 26 圖3.1 整合平台與不同角色、資訊系統示意圖 28 圖3.2 系統整合架構 30 圖3.3 使用者帳號資料結構 32 圖4.1 網路架構圖 37 圖4.2 選擇安裝元件 39 圖4.3 實例管理工具 40 圖4.4 設定埠號 40 圖4.5 新增字尾 41 圖4.6 安裝Portal伺服器 42 圖4.7 啟用LDAP配置 43 圖4.8 選擇User Registry類型 44 圖4.9 安裝Tivoli Identity Manager 45 圖4.10 Identity Manager Organization Tree 46 圖4.11 Identity Manager Organization Role 46 圖4.12 學生資料匯入服務 47 圖4.13 Identity Directory Integrator學生資料CSV檔案匯入配置 48 圖4.14 Identity Directory Integrator學生資料CSV檔剖析程式 48 圖4.15 校務資訊系統MSSQL服務連結設定 49 圖4.16 網頁郵件系統、Internet服務系統OpenLDAP服務連結設定 49 圖4.17 單一登入系統LDAP服務連結設定 49 圖4.18 人事資料與單一登入系統對映建立 50 圖4.19 人事資料與網頁Mail系統及Internet服務系統對應建立 50 圖4.20 人事資料與校務資訊系統對應連結建立 51 圖4.21 班級資訊系統Reconciliation設定 51 圖4.22 校務資訊系統Junction之設定 52 圖4.23 建立GSO認證 53 圖4.24 使用者GSO列表 54 圖4.25 設定Forms-Base Single Sign-On設定檔位置 55 圖4.26 用戶端身份識別標頭設定 55 圖4.27 建立Portal頁面介面 56 圖4.28 Iframe Portlet參數設定 57 圖4.29 Portlet嵌入至Portal網頁 57 圖4.30 班級資訊系統權限設定 58 圖4.31 Portal登入頁面 59 圖4.32 學生身份Portal個人化頁面 59 |
參考文獻 |
[1] M. Wahl, T. Howes, S. Kille, Lightweight Directory Access Protocol (v3), NWG RFC-2251, December 1997. [2] C. Weider, J. Reynolds, Executive Introduction to Directory Services Using the X.500 Protocol, NWG RFC-1308, March 1992. [3] Axel Buecker, Johan Værn, Eddie Hartman, A First Glance at IBM Directory Integrator: Integrating the Enterprise Data Infrastructure, IBM RedPaper,2003. [4] Axel Buecker,Mike Campbell, IBM Tivoli Access Manager for e-business, IBM RedPaper,2005. [5] Samar, V., "Single sign-on using cookies for Web applications", Enabling Technologies: Infrastructure for Collaborative Enterprises, 1999. (WET ICE '99) Proceedings. IEEE 8th International Workshops on, Stanford, CA, 16-18 June 1999, pp.158-163. [6] Satoh, F. and Itoh, T., "Single Sign On architecture with dynamic tokens", Applications and the Internet, 2004. Proceedings. 2004 International Symposium on, pp.197-200. [7] Jani Hurst, Single Sign-on, Proceedings of the Helsinki University of Technology Seminar on Network Security, 1997. [8] Peter Kohler, Simple Single Sign-On Solution for Web Applications, SANS Institute, 2004. [9] Duncan A. Buell and Ravi Sandhu, "Identity Manager", Internet Computing, IEEE Computer Society, 2003. [10] Andrej Volchkov, "Revisiting Single Sign-On – A Pragmatic Approach in a New Context", Security, IEEE IT Pro, 2001. [11] 朱建達,建立於公開金鑰基礎建設的單一簽入系統,碩士論文,國立交通大學,新竹,2001。 [12] 李長庚,一個開放的Web-Based Single Sign-On服務架構,碩士論文,國立交通大學,新竹,2003。 [13] 何健豪,行動代理人網路環境下安全機制之研究,碩士論文,大葉大學,彰化,2003。 [14] 鄭浩瑋,網路安全技術在單一簽入入口網站之設計與建置,碩士論文,中原大學,桃園,2003。 [15] 簡毓麟,網站系統單次簽入之企業應用整合,碩士論文,國立交通大學,新竹,2004。 [16] 李志朗,以自然人憑證整合Web-based及傳統主從式資訊系統單一簽入機制之研究,碩士論文,雲林科技大學,雲林,2005。 [17] 黃秀卿,建構在Web環境下以XML為基礎的單一登入之設計與實作,碩士論文,中華大學,新竹,2005。 [18] 江岳霖,基於階層式存取控制的單一簽入入口網站之建置與設計,碩士論文,中原大學,桃園,2005。 [19] 廖英彥,網際網路單一簽入系統應用,碩士論文,世新大學,台北,2005。 [20] 潘宏賓,單一簽入系統之設計與建置,碩士論文,屏東科技大學,屏東,2005。 [21] 王世緯,以目錄整合技術為基礎的單一簽入系統設計,碩士論文,台北科技大學,台北,2006。 [22] 林聖倫,一個以服務導向架構為基礎的網路帳號同步化管理系統,碩士論文,台北科技大學,台北,2007。 |
論文全文使用權限 |
如有問題,歡迎洽詢!
圖書館數位資訊組 (02)2621-5656 轉 2487 或 來信