ARES 資通電子報 yyyy.mm
  • 技術交流

資訊系統帳號整合小秘訣

author 黃嘉傑 by 黃嘉傑

帳號資料規劃

一個資訊系統在上線導入前總是會有帳號整合的問題,小公司或許可以手動建檔,但一般企業通常都已建置 AD(Active Directory)/ LDAP(Light-weighted Data Access Protocol)帳號認證或是其他的帳號系統。理想的帳號導入要能兼容手動建檔、AD / LDAP 匯入、異質系統(資料庫)匯入…等多種方式。資通 ARES PP(ARES Privacy Protector;隱私保鑣)能將企業員工帳號、密碼資訊匯入系統,讓使用者無須改變操作習慣,登入原本的帳號及密碼就能使用加密軟體。

由於來源不同,帳號可以區分為兩類:

  • 手動新增帳號 - 不須同步更新。
  • 自動同步帳號 - 排程定期與資料來源(AD / LDAP / 資料庫等)同步更新。

ARES PP 除了可用 AD / LDAP 帳號,讓企業內部裡的成員可以登入使用外,當 AD 裡沒有的成員,像是 admin 管理員、短期工讀生、上下游合作廠商等,亦可使用手動新增帳號的方式使用該系統。這樣的帳號設計方式可以擁有高度的彈性。

帳號資料匯入

針對 AD / LDAP 資料的探索,.Net 開發實作上可以引用 CodeProject 上的開源類別庫 Wrapper API for using Microsoft Active Directory Services

  • Load All Users
  • Load All Groups
  • Load Group
  • Load User

其類別提供的 Function 可以簡單的將 AD 資料物件化,以利於後續處理。

將 AD 資料物件化

開發及除錯的過程可以利用 Microsoft 提供的 Active Directory Explorer(AD Explorer),視覺化 UI 的操作,便於登入測試、資料正確性檢查等,是個相當好用的輔助工具。

Active Directory Explorer

若帳號來源不是 AD / LDAP 的話,可能性就很五花八門。常遇到的就是其他系統的資料庫,像是人事系統之類,這種情境最好是預先定義好中繼資料表的格式。分成二階段作業,第一段先透過特定系統的 API(Application Programming Interface,應用程式介面)或是客製的程式將帳號資料轉入中繼資料表,第二段再由中繼資料表匯入該系統。這樣的好處是,不管系統要導入到哪一家公司,只要專注於第一段轉入中繼表的部份即可,但因為帳號資料來源不是標準格式,這部份大多要由該企業 IT 協助完成。

帳號驗證

帳號驗證部份,依照帳號的類型可以有不同的驗證方式。手動帳號由系統內部直接進行帳號密碼比對驗證,AD 匯入進來的帳號則是即時連線 AD 驗證,AD 登入驗証的實作一樣使用Wrapper API for using Microsoft Active Directory Services 開源的類別庫 ADManager.Login(string UserName, string Password)會相當的容易。

SSO 單一簽入

企業內部通常會有多個系統,但游走在每個系統都要登入,反覆輸入帳號密碼是很煩人的事。Single Sign-On(SSO,單一登入)正是救星,讓使用者在企業內部子系統間游走只要登入一次即可。

介紹一款開源的 SSO 解決方案來建置 SSO 環境,CAS(Central Authentication Service)

SSO
圖片來源:CAS(Central Authentication Service)網站

首先要建置一台 CAS Server 負責進行登入的身份驗證及發行 Ticket 票證,原有的系統都視為 CAS Client,像是人事系統、公文系統等,實作 CAS Client 的設定情境流程如下:

未登入

進入公文系統首頁,使用者尚未登入(沒有 Ticket 票證),公文系統的登入頁面將自動導向 CAS Server 要求輸入帳號密碼進行登入,登入成功後取得 Ticket 票證,並導回剛剛的公文系統,公文系統檢查 Ticket 票證即可識別使用者身份,視為已登入。

已登入

使用者又開啟人事系統網頁,系統檢查到已有 Ticket 票證並取得身份,即視為已登入。只要是有套用 CAS Client 的子系統,都可以識別從 CAS Server 發行的 Ticket 票證,就可以單一登入游走在各系統之間。

登出

使用者從人事系統登出時會將 Ticket 票證做註銷清除,此時不管是連到人事系統或公文系統,因為沒有 Ticket 票證,都會再次被導到 CAS Server 的登入頁面。

上述為資訊系統帳號整合的方法說明。企業無須擔心購入資安系統之後,各系統之間要轉換多組帳號與密碼進行登入,資通 ARES PP(ARES Privacy Protector;隱私保鑣)能協助企業進行系統串接與設定,讓使用者無痛使用資安軟體,企業安心守護機密資料!

FB 又罷工啦