1.     概述

易灯（博达单点登录系统）是新一代的用户权限认证和单点登录系统，易灯可以针对在线服务和Web应用系统提供服务。易灯为用户提供了重新组织其内部应用系统访问途径的手段，使用户可以通过统一的用户名和密码访问多个应用系统，同时，由于易灯安装、使用的简单性，降低了用户实施和维护系统的费用。

2.     面临的问题

在当今国民经济信息化的大背景下，政府机构、大中型企业大量采用各种最新的软件应用，同时，这些组织内部仍保留着一些旧的信息系统。这些软件之间需要协同工作来为客户提供服务。B/S架构逐渐成为占据主流的软件结构模式。Web应用的重要优势之一是便于用户在各个应用之间切换或者在一个应用的页面中方便的嵌入另一个应用提供的内容。在客户的体验看来好像是在应用一套单一的系统。

过去的软件系统中，每套Web应用软件往往都有自己的一套用户系统。用户要使用这些Web软件就要记住每个系统中的不同的账号和口令并登录系统。这样带来了种种弊端，如：

n         用户需要记住很多口令，这些口令很容易忘记，给系统管理员带来巨大的工作负荷；

l         有的用户为了防止忘记口令，将应用系统的用户名/密码记录在纸质的载体上甚至将其粘贴到电脑屏幕上，这给信息系统带来了很大的安全隐患；

l         用户登录的次数多了，除了使用不便，浪费时间外，更增加了口令泄露的机会；

l         各个应用系统之间的用户系统不一致。同一个用户在不同系统之间有不同的账号，在多个系统之间的权限、流程、操作记录都无法跟踪控制；

l         每个系统都有一套登录和用户管理的机制，造成重复开发，最终增加了客户的成本负担；

l         系统管理员很难对企业员工的资料进行统一的管理和维护，当现有员工离职、调换部门或新进员工时，管理员要在多个应用系统中做相应的设置，工作量很大且容易产生疏漏；

l         各个系统的开发技术水平参差不齐，可能存在严重的短板安全隐患；

针对上述问题，博达软件开发提供了易灯单点登录系统，为Web安全管理提供了一套完整的解决方案。

3.     产品设计思想

单点登录服务是实现多应用系统间单点登录（Single Sign On， SSO）的基础。单点登录技术的思想是由单一服务器作为用户管理和登录的安全服务器（即易灯单点登录服务器），负责所有的用户登录相关的事务，而各Web应用服务器则只需处理应用相关的事务，如应用系统内部操作权限的授予及其他安全策略的应用等。

在一个易灯单点登录系统中，有三方面角色参与其中，如下图所示：

图 1 易灯系统概览

l         易灯  Server：用户在执行登录时首先连接到易灯 Server，进行主账号的验证；

l         被集成的第三方应用（SSO Web应用）：可以是任意的符合易灯 SSO接口标准的Web应用，一般是以Web页面形式表现的B/S应用软件；

l         用户浏览器：访问SSO Web应用的浏览器。在登录时会被重定向到易灯单点登录服务器，通过身份验证后返回Web应用服务器的应用页面。

4.     产品的技术优势

l         支持对各类web应用系统的登录模式的自动集成。

l         支持ASP、ASP.NET应用和J2EE应用，客户端软件可以采用Java、VB、Delphi等任意开发工具；

l         可以将现有的账号进行批量导入。

5.     产品功能组成

BD 易灯单点登录产品由两部分组成（如下页图所示）：

l         个人门户

l         配置管理器

图 2 易灯功能模块

其中：

n         个人门户提供了如下功能：

Ø         主账号的注册、删除功能，即向系统中添加新的主账号或是删除已有的主账号；

Ø         主账号同应用的关联关系查看，即查看特定账号已绑定了哪些应用系统。

Ø         使用统一的账号密码登录到不同的应用。

Ø         关联账号查看，即查看同本应用绑定的主账号及相关用户资料；

Ø         关联关系删除，即删除某个主账号同本应用的关联关系。

n         易灯配置管理器对外提供了如下功能：

Ø         用户管理：管理易灯中所有的注册用户，提供增加、删除、修改主账号的功能；

Ø         应用管理：管理易灯可以提供单点登录登录的应用系统，提供自动分析与手工分析应用系统登录参数的功能；

Ø         主账号导入：可以批量导入账号和密码。

Ø         IP限制：可以设定允许访问易灯的IP地址段，这样就只有指定IP地址的计算机可以访问易灯。

Ø         备份恢复：可以对易灯中的数据进行备份，并在系统发生故障时进行数据恢复。

Ø         操作日志管理：用户的操作日志记录。

6.     产品的工作过程

l         用户通过浏览器访问易灯个人门户并进行登录；

l         用户在易灯个人门户中，选择访问的Web应用；

l         易灯个人门户将访问直接转向到访问的Web应用，不需要用户单独登录该Web应用。

7.     运行环境

服务器端

硬件：P4 2GHz以上，1GB内存以上，硬盘剩余空间40G以上

操作系统：Windows 2000/2003

8.     应用效益

l         管理层面

n         可以方便地集成企业中现有的系统，保护了用户的投资；

n         消除信息孤岛，使用户在系统切换的过程中无须再次输入帐号/密码进行验证，从而提高了工作效率；

n         通过集成组织内的应用系统，产生了信息聚集放大效应，形成了信息增值服务的模式，扩大了信息价值空间。

l         技术层面

n         用户只需记忆自己的单点登录主账号和主密码，第三方系统的本地账号和密码在同主账号关联后便不再需要。避免了用户同时记忆多个帐号/密码以及在系统间切换时输入不同帐号/密码的麻烦；

n         减少了密码泄露的机会，使组织的信息系统更加安全；

n         方便管理员对用户信息的集中统一管理。

l         投资回报ROI

n         消除信息孤岛，提高协同工作的效率；

n         集中管理组织人员的身份信息，减轻了管理员的工作负荷；

n         节约专业技术/维护人员成本30% ~ 40%；

9.     典型案例

Ø         中国石油新疆石油管理局综合信息门户

Ø         西安航空发动机（集团）有限公司信息门户

Ø         淮北矿业集团综合信息及绩效考核系统