本發明公開了一種基于應用角色托管的用戶集成系統及方法。用戶集成系統，包括認證服務端和至少一個業務服務端，所述認證服務端包括，用戶管理模塊，注冊執行模塊，用戶綁定模塊，令牌驗證接口模塊，所述業務服務端執行應用服務，包括，注冊模塊，角色和權限發現接口，令牌鑒權模塊。本發明通過角色托管的方式提出的用戶集成方案，避免了前述認證服務器無法準確的描述應用服務權限模式等問題。提供了基于Oauth2.0認證和授權的用戶集成系統，實現了統一的用戶管理系統，包括用戶管理、授權管理和鑒權管理；實現了應用的快速用戶集成；提供完整的用戶集成框架，適應異構應用，實現了基于Oauth2.0的認證和授權，應用范圍更廣。

技術領域

本發明涉及用戶集成系統，尤其涉及一種基于應用角色托管的用戶集成系統及方法。

背景技術

應用系統集成難題，對于一個現代企業來說，必然擁有大量應用系統，如電子郵件、OA辦公系統、CRM系統、HR系統、進銷存系統等，這些系統操作在企業日常辦公中是每個員工必不可少的工作。用戶登錄每個系統都必須進行認證和授權工作，如果這些系統認證都是相互獨立、互不相干的，毫無疑問，企業IT部門的大部分時間和精力將用于各個系統的認證和授權管理，這不僅會大大提高企業的生產和辦公成本，降低整個企業的工作效率，而且將產生嚴重的安全隱患。

企業內應用系統集成存在著如下的技術問題：多套用戶系統上線，造成多套帳號維護；帳號維護不能實現統一、更新不及時，維護工作量大；使用者需要記住多套帳號密碼、修改時需要分別登錄多套系統維護，造成使用習慣非常不便；除了保證數據在物理上的安全，更多的時候是保證數據被安全的訪問。安全的基本要點就是認證(Authentication)和授權(Authorization)；對于企業來說，數據就是核心，就是生命，就是競爭力，如何保證多套應用系統數據的安全，就成為企業IT管理的重點；新接入的系統如何實現與舊系統的無縫對接并不增加系統復雜性。

傳統的應用系統集成在面對該問題時，通常采取以下方法對應：

1)通過用戶數據集成實現用戶的統一，即通過將部分應用系統的用戶數據集中到某個應用系統的用戶管理系統中，并改造應用系統，實現用戶集成。該方法常用于煙囪系統的改造；

2)通過內容管理系統或門戶網站實現內容集成，并在內容管理系統或門戶網站上于用戶管理集成實現軟件系統集成。該方法在各種政務應用、BS模式應用的集成。

前者的代表主要有LDAP。LDAP的英文全稱是Lightweight Directory AccessProtocol，一般都簡稱為LDAP。它是基于X.500標準的，但是簡單多了并且可以根據需要定制。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。LDAP的核心規范在RFC中都有定義，所有與LDAP相關的RFC都可以在LDAPman RFC網頁中找到。現在LDAP技術不僅發展得很快而且也是激動人心的。在企業范圍內實現LDAP可以讓運行在幾乎所有計算機平臺上的所有的應用程序從LDAP目錄中獲取信息。LDAP目錄中可以存儲各種類型的數據：電子郵件地址、郵件路由信息、人力資源數據、公用密匙、聯系人列表，等等。通過把LDAP目錄作為系統集成中的一個重要環節，可以簡化員工在企業內部查詢信息的步驟，甚至連主要的數據源都可以放在任何地方。