經(jīng)過(guò)多年來(lái)的信息技術(shù)建設(shè)，各企業(yè)單位IT自動(dòng)化程度有了很大提高，已經(jīng)建成了或者正在建設(shè)著多種應(yīng)用系統(tǒng)。隨著業(yè)務(wù)的增長(zhǎng)，市場(chǎng)競(jìng)爭(zhēng)的加劇，如何將各個(gè)業(yè)務(wù)系統(tǒng)相對(duì)獨(dú)立的用戶管理和分散的應(yīng)用系統(tǒng)內(nèi)容整合于同一頁(yè)面管理下，以及提高低效的新業(yè)務(wù)系統(tǒng)接入能力，就成為IT部門急需解決的問(wèn)題。

　　企業(yè)門戶是企業(yè)信息化前進(jìn)的必然戰(zhàn)略性方向，據(jù)美林公司的調(diào)查顯示，企業(yè)對(duì)門戶的需求正日益增長(zhǎng)，在接受調(diào)查的50家百?gòu)?qiáng)企業(yè)CIO中，有32%的人反映在開支優(yōu)先權(quán)方面，2008年已讓位于企業(yè)門戶。

　　概括地說(shuō)，企業(yè)門戶就是通過(guò)一個(gè)入口，為企業(yè)員工、分銷商、代理商、供應(yīng)商、合作伙伴等同一價(jià)值鏈上的相關(guān)人員提供個(gè)性化的信息、知識(shí)、服務(wù)與應(yīng)用。它是一種基于Web的，將不同應(yīng)用、業(yè)務(wù)過(guò)程、后端系統(tǒng)、服務(wù)和信息、知識(shí)等內(nèi)容集成到一個(gè)個(gè)性化窗口中的功能強(qiáng)大的軟件系統(tǒng)平臺(tái)。

　　連接多種應(yīng)用系統(tǒng)為不同角色的用戶提供快捷服務(wù)的門戶系統(tǒng)，其的基礎(chǔ)就是用戶身份的管控，包括用戶身份管理、角色和權(quán)限管理、網(wǎng)絡(luò)行為管控、統(tǒng)一用戶信息管理這幾個(gè)部分，即通常所說(shuō)的4A：統(tǒng)一用戶帳號(hào)管理、統(tǒng)一管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計(jì)（Audit）四要素。

　　1 企業(yè)安全門戶系統(tǒng)設(shè)計(jì)

　　企業(yè)安全門戶系統(tǒng)的設(shè)計(jì)包含3個(gè)重要的步驟，即明確技術(shù)原理、定義功能和設(shè)定體系架構(gòu)。

　　1.1  技術(shù)原理

　　門戶技術(shù)原理結(jié)構(gòu)圖如圖1所示。門戶服務(wù)主要用來(lái)提供來(lái)自Web應(yīng)用的內(nèi)容，它允許用戶可以在瀏覽器中查看一張或一套頁(yè)面中顯示的多種信息來(lái)源。包含內(nèi)容的頁(yè)面被稱作桌面，在桌面的各個(gè)區(qū)域出現(xiàn)的各種內(nèi)容來(lái)源被稱作頻道。

　　Web服務(wù)（Web Service）是基于XML和HTTPS的一種服務(wù)，其通信協(xié)議主要基于SOAP，服務(wù)的描述通過(guò)WSDL，通過(guò)UDDI來(lái)發(fā)現(xiàn)和獲得服務(wù)的元數(shù)據(jù)。Web service平臺(tái)需要一套協(xié)議來(lái)實(shí)現(xiàn)分布式應(yīng)用程序的創(chuàng)建。任何平臺(tái)都有它的數(shù)據(jù)表示方法和類型系統(tǒng)。要實(shí)現(xiàn)互操作性，Web service平臺(tái)必須提供一套標(biāo)準(zhǔn)的類型系統(tǒng)，用于溝通不同平臺(tái)、編程語(yǔ)言和組件模型中的不同類型系統(tǒng)。在傳統(tǒng)的分布式系統(tǒng)中，基于界面（interface）的平臺(tái)提供了一些方法來(lái)描述界面、方法和參數(shù)（譯注：如COM和COBAR中的IDL語(yǔ)言）。

　　在門戶中，一個(gè)被稱作提供者的部件負(fù)責(zé)將文件中的內(nèi)容或Web應(yīng)用的輸出，轉(zhuǎn)換成一種適合頻道的格式?？梢杂脙?nèi)容提供者API為門戶開發(fā)內(nèi)容提供者，并且門戶內(nèi)應(yīng)帶有多種預(yù)置的專門提供者，向客戶端設(shè)備提供內(nèi)容的標(biāo)記語(yǔ)言是超文本標(biāo)記語(yǔ)言（HTML）、用于移動(dòng)電話和PDA的HTML 、無(wú)線標(biāo)記語(yǔ)言（WML）或可擴(kuò)展標(biāo)記語(yǔ)言（XML）等語(yǔ)言中的一種或多種。身份、授權(quán)、用戶管理以及用戶配置文件信息的存儲(chǔ)，都是通過(guò)標(biāo)識(shí)和策略API來(lái)完成的。這些API一般都實(shí)現(xiàn)于目錄服務(wù)之上。

　　門戶聚合來(lái)自不同數(shù)據(jù)源的信息，這些來(lái)源可以是從企業(yè)內(nèi)外或從垂直或門戶聚合而來(lái)的，提供頁(yè)面布局和創(chuàng)建可定制的圖形化用戶界面（GUI）所需的元素。

　　1.2  定義功能

　　對(duì)于產(chǎn)生于各種來(lái)源的信息，門戶提供一個(gè)訪問(wèn)點(diǎn)，為終用戶和他們使用的Web應(yīng)用及服務(wù)帶來(lái)了多種功能，這些功能包括聚合、展現(xiàn)、自定義和安全。

　　門戶必須讓企業(yè)內(nèi)外的終用戶和應(yīng)用都能進(jìn)行安全訪問(wèn)。為了實(shí)現(xiàn)這個(gè)目標(biāo)，它必須帶來(lái)支持企業(yè)現(xiàn)有身份機(jī)制的靈活性，提供單點(diǎn)登錄功能并且利用標(biāo)識(shí)和策略組件，為其所有用戶和應(yīng)用提供單點(diǎn)登錄、身份、授權(quán)、訪問(wèn)控制和會(huì)話管理。

　　此外，門戶應(yīng)提供以下可選功能：

　?。?）提供虛擬專用網(wǎng)（VPN）解決方案，以便在設(shè)備中除了Web瀏覽器外，不再需要裝有任何專用客戶端軟件用戶下訪問(wèn)企業(yè)內(nèi)部網(wǎng)資源。

　　VPN英文全稱是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。vpn被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份技術(shù)。

　?。?）帶有一個(gè)重寫HTML文檔的反向代理，從而允許在不將企業(yè)內(nèi)部網(wǎng)Web站點(diǎn)直接暴露給因特網(wǎng)的情況下，對(duì)所有這些站點(diǎn)進(jìn)行訪問(wèn)。

　　1.3  體系架構(gòu)

　　一般來(lái)說(shuō)，企業(yè)門戶主要分為3層，即Web服務(wù)平臺(tái)、統(tǒng)一平臺(tái)和聚集展現(xiàn)平臺(tái)其體系架構(gòu)圖如圖2所示。

　　企業(yè)門戶的Web服務(wù)平臺(tái)是上層服務(wù)的容器，提供基于Web服務(wù)的容器和上層應(yīng)用與模塊的運(yùn)行環(huán)境。

　　統(tǒng)一平臺(tái)通過(guò)4A技術(shù)實(shí)現(xiàn)為用戶提供跨系統(tǒng)訪問(wèn)的單一服務(wù)和管理功能。統(tǒng)一平臺(tái)在系統(tǒng)設(shè)計(jì)中，與企業(yè)門戶系統(tǒng)展現(xiàn)層的業(yè)務(wù)邏輯相對(duì)獨(dú)立，其目的是為企業(yè)建立起完整的單點(diǎn)登錄支撐平臺(tái)。將用戶功能與企業(yè)門戶系統(tǒng)展現(xiàn)平臺(tái)相分離，是充分考慮用戶的使用習(xí)慣以及未來(lái)的系統(tǒng)擴(kuò)展。 同時(shí)，用戶也可以通過(guò)直接訪問(wèn)特定應(yīng)用系統(tǒng)，由統(tǒng)一平臺(tái)對(duì)用戶進(jìn)行，授予用戶跨系統(tǒng)訪問(wèn)的權(quán)限。

　　聚集展現(xiàn)平臺(tái)主要處理用戶訪問(wèn)企業(yè)門戶系統(tǒng)的訪問(wèn)安全控制管理、策略管理及內(nèi)容、應(yīng)用聚集的功能，通常含有應(yīng)用聚集、桌面展現(xiàn)和內(nèi)容搜索三大功能。同時(shí)，企業(yè)門戶系統(tǒng)展示層將負(fù)責(zé)支撐用戶使用不同訪問(wèn)設(shè)備的內(nèi)容格式提交，通過(guò)企業(yè)門戶系統(tǒng)的渠道功能，將企業(yè)內(nèi)部信息資源個(gè)極具性化地呈現(xiàn)給訪問(wèn)用戶。

　　2.4A原理和統(tǒng)一身份管理

　　門戶系統(tǒng)中的4A技術(shù)，為整個(gè)系統(tǒng)的安全性提供了完善的平臺(tái)保障。

　　初的4A技術(shù)是單點(diǎn)登錄，隨著各企業(yè)不斷開展電子商務(wù)和將內(nèi)部資源不同程度地向客戶、合作伙伴及員工開放，對(duì)于企業(yè)至關(guān)重要的信息財(cái)產(chǎn)安全越發(fā)顯得重視，尤其是在信息訪問(wèn)越發(fā)便捷的背景下，這些資產(chǎn)也暴露在越來(lái)越多的威脅中。毫無(wú)疑問(wèn)，信息保護(hù)的私密性、完整性、真實(shí)性和可靠性的需求日益突出，系統(tǒng)和安全管理人員需要對(duì)企業(yè)內(nèi)部的用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配、集中審計(jì)，從技術(shù)上保證支撐系統(tǒng)安全策略的實(shí)施，

　　帳號(hào)管理即是將自然人與其擁有的所有系統(tǒng)帳號(hào)的關(guān)聯(lián)進(jìn)行集中管理，包括按照密碼策略自動(dòng)更改密碼、4不同系統(tǒng)間的帳號(hào)同步等。一般帳號(hào)管理的實(shí)體部件通常采用目錄服務(wù)器，基于“屬性：值”對(duì)和層級(jí)樹狀邏輯組織的用戶帳號(hào)數(shù)據(jù)，更加適合輕量目錄訪問(wèn)協(xié)議（LDAP）的處理。LDAP是輕量目錄訪問(wèn)協(xié)議，英文全稱是Lightweight Directory Access Protocol，一般都簡(jiǎn)稱為L(zhǎng)DAP。它是基于X.500標(biāo)準(zhǔn)的，但是簡(jiǎn)單多了并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP，這對(duì)訪問(wèn)Internet是必須的。LDAP的規(guī)范在RFC中都有定義，所有與LDAP相關(guān)的RFC都可以在LDAPman RFC網(wǎng)頁(yè)中找到。LDAP其實(shí)是一電話簿，類似于我們所使用諸如NIS、DNS （Domain Name Service）等網(wǎng)絡(luò)目錄，也類似于你在花園中所看到的樹木。不少LDAP開發(fā)人員喜歡把LDAP與關(guān)系數(shù)據(jù)庫(kù)相比，認(rèn)為是另一種的存貯方式，然后在讀性能上進(jìn)行比較。實(shí)際上，這種對(duì)比的基礎(chǔ)是錯(cuò)誤的。LDAP和關(guān)系數(shù)據(jù)庫(kù)是兩種不同層次的概念，后者是存貯方式（同一層次如網(wǎng)格數(shù)據(jù)庫(kù)，對(duì)象數(shù)據(jù)庫(kù)），前者是存貯模式和訪問(wèn)協(xié)議。

　　管理用以實(shí)現(xiàn)支撐系統(tǒng)對(duì)操作者身份的合法性檢查。對(duì)信息系統(tǒng)中的各種服務(wù)和應(yīng)用來(lái)說(shuō)，身份是一個(gè)基本的安全考慮，只有通過(guò)系統(tǒng)預(yù)設(shè)規(guī)則的身份，才能夠接觸系統(tǒng)功能和應(yīng)用系統(tǒng)的數(shù)據(jù)。

　　授權(quán)管理是指對(duì)用戶使用支撐系統(tǒng)資源的具體情況進(jìn)行合理分配的技術(shù)，實(shí)現(xiàn)不同用戶對(duì)系統(tǒng)不同部分資源的訪問(wèn)按安全和數(shù)據(jù)敏感級(jí)別定義系統(tǒng)內(nèi)部資源的訪問(wèn)權(quán)限。

　　審計(jì)管理是指收集、記錄用戶對(duì)支撐系統(tǒng)資源的使用情況，以便于統(tǒng)計(jì)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)情況，并且在出現(xiàn)安全事故時(shí)，可以追蹤原因，追究相關(guān)人員的責(zé)任，以減少由于內(nèi)部計(jì)算機(jī)用戶濫用網(wǎng)絡(luò)資源造成的安全危害。

　　3  企業(yè)門戶系統(tǒng)中的統(tǒng)一身份管理應(yīng)用

　　下面以基于J2EE體系的門戶和統(tǒng)一身份管理服務(wù)為例加以說(shuō)明。

　　統(tǒng)一身份管理流程如圖3所示，統(tǒng)一身份管理平臺(tái)與企業(yè)門戶服務(wù)緊密集成，提供統(tǒng)一、統(tǒng)一授權(quán)、訪問(wèn)控制、單點(diǎn)登錄和行為審計(jì)5大功能，完成訪問(wèn)者與門戶之間的登錄和資源列表返回、信息資源訪問(wèn)請(qǐng)求和用戶身份傳遞等前后臺(tái)的身份識(shí)別和信息訪問(wèn)過(guò)程。統(tǒng)一身份管理平臺(tái)一般包含訪問(wèn)管理器和身份管理器兩個(gè)邏輯部分。

　?。?） 訪問(wèn)管理器和身份管理器

　　訪問(wèn)管理器為門戶服務(wù)提供了針對(duì)Web服務(wù)器、J2EE應(yīng)用服務(wù)器、Web代理服務(wù)器以及典型企業(yè)應(yīng)用的多個(gè)策略代理 ；另外，它還提供了訪問(wèn)管理器 SDK，用以集成企業(yè)的Java或C/C++應(yīng)用，實(shí)現(xiàn)集中、授權(quán)和單點(diǎn)登錄。J2EE技術(shù)目前，Java 2平臺(tái)有3個(gè)版本，它們是適用于小型設(shè)備和智能卡的Java 2平臺(tái)Micro版（Java 2 Platform Micro Edition，J2ME）、適用于桌面系統(tǒng)的Java 2平臺(tái)標(biāo)準(zhǔn)版、適用于創(chuàng)建服務(wù)器應(yīng)用程序和服務(wù)的Java 2平臺(tái)企業(yè)版。J2EE是一種利用Java 2平臺(tái)來(lái)簡(jiǎn)化企業(yè)解決方案的開發(fā)、部署和管理相關(guān)的復(fù)雜問(wèn)題的體系結(jié)構(gòu)。J2EE技術(shù)的基礎(chǔ)就是Java平臺(tái)或Java 2平臺(tái)的標(biāo)準(zhǔn)版，J2EE不僅鞏固了標(biāo)準(zhǔn)版中的許多優(yōu)點(diǎn)，例如"編寫、隨處運(yùn)行"的特性、方便存取數(shù)據(jù)庫(kù)的JDBC API、CORBA技術(shù)以及能夠在Internet應(yīng)用中保護(hù)數(shù)據(jù)的安全模式等等，同時(shí)還提供了對(duì) EJB、Java Servlets API、JSP（Java Server Pages）以及XML技術(shù)的全面支持。其終目的就是成為一個(gè)能夠使企業(yè)開發(fā)者大幅縮短投放市場(chǎng)時(shí)間的體系結(jié)構(gòu)。

　　用戶管理與信息同步系統(tǒng)由身份管理器實(shí)現(xiàn)，對(duì)各應(yīng)用或子網(wǎng)絡(luò)系統(tǒng)用戶帳號(hào)的集中管理，包括用戶帳號(hào)在其相對(duì)應(yīng)的應(yīng)用系統(tǒng)里的自動(dòng)創(chuàng)建及創(chuàng)建的規(guī)則，帳號(hào)生成的審批流程管理，帳號(hào)的禁用和銷毀，帳號(hào)在各個(gè)應(yīng)用系統(tǒng)之間的對(duì)應(yīng)關(guān)系及同步，口令的管理，提供統(tǒng)一的管理界面和分級(jí)授權(quán)管理，帳號(hào)的審計(jì)和風(fēng)險(xiǎn)分析等。身份管理器也是一個(gè)標(biāo)準(zhǔn)的J2EE應(yīng)用系統(tǒng)，它通過(guò)部署于其本身服務(wù)器端（而不是要管理的應(yīng)用系統(tǒng)一端）的資源適配器創(chuàng)建和管理在各個(gè)應(yīng)用系統(tǒng)上的用戶帳號(hào)。

　　（2） 統(tǒng)一

　　訪問(wèn)管理器提供了公共的服務(wù)架構(gòu)，具有靈活的方式和多種服務(wù)接口。因此，基于統(tǒng)一的服務(wù)的應(yīng)用系統(tǒng)間可以實(shí)現(xiàn)單點(diǎn)登錄。

　　訪問(wèn)管理器提供的服務(wù)基于JAAS（Java與授權(quán)服務(wù)）框架，提供Java和XML/HTTP兩種應(yīng)用接口。

　　（3） 方式定制化接口

　　不同的方式具有不同的安全性、易用性和部署成本。因此，針對(duì)企業(yè)門戶中不同的用戶群與不同的應(yīng)用范圍，需要對(duì)方式進(jìn)行定制化。在訪問(wèn)管理器中，可以根據(jù)角色、用戶、服務(wù)指定不同的方式，也可以在時(shí)直接指定模塊。對(duì)于不同組織、角色和服務(wù)，可以配置個(gè)性化的選項(xiàng)。

　　訪問(wèn)管理器為應(yīng)用程序提供兩種類型的編程接口。對(duì)基于Java的應(yīng)用系統(tǒng)（包括基于JSP的WEB應(yīng)用系統(tǒng)和基于Java的應(yīng)用程序）可以使用Java編程接口；對(duì)于非Java的應(yīng)用系統(tǒng)，可以使用XML/HTTP編程接口或C/C＋＋編程接口。Java，是由Sun Microsystems公司于1995年5月推出的Java程序設(shè)計(jì)語(yǔ)言和Java平臺(tái)的總稱。用Java實(shí)現(xiàn)的HotJava瀏覽器（支持Java applet）顯示了Java的魅力：跨平臺(tái)、動(dòng)態(tài)的Web、Internet計(jì)算。從此，Java被廣泛接受并推動(dòng)了Web的迅速發(fā)展，常用的瀏覽器現(xiàn)在均支持Java applet。Java平臺(tái)由Java虛擬機(jī)（Java Virtual Machine）和Java 應(yīng)用編程接口（Application Programming Interface、簡(jiǎn)稱API）構(gòu)成。Java 應(yīng)用編程接口為Java應(yīng)用提供了一個(gè)獨(dú)立于操作系統(tǒng)的標(biāo)準(zhǔn)接口，可分為基本部分和擴(kuò)展部分。在硬件或操作系統(tǒng)平臺(tái)上安裝一個(gè)Java平臺(tái)之后，Java應(yīng)用程序就可運(yùn)行?，F(xiàn)在Java平臺(tái)已經(jīng)嵌入了幾乎所有的操作系統(tǒng)。這樣Java程序可以只編譯，就可以在各種系統(tǒng)中運(yùn)行。

　　（4） 單點(diǎn)登錄支持

　　單點(diǎn)登錄的根本原理是保持用戶的會(huì)話（session）狀態(tài)。訪問(wèn)管理器對(duì)單點(diǎn)登錄提供的SDK級(jí)別的支持，SDK（Software Development Kit, 即軟件開發(fā)工具包 ）一般是一些被軟件工程師用于為特定的軟件包、軟件框架、硬件平臺(tái)、操作系統(tǒng)等建立應(yīng)用軟件的開發(fā)工具的集合。SDK是一些被軟件工程師用于為特定的軟件包、軟件框架、硬件平臺(tái)、操作系統(tǒng)等創(chuàng)建應(yīng)用軟件的開發(fā)工具的集合，一般而言SDK即開發(fā) Windows 平臺(tái)下的應(yīng)用程序所使用的SDK。它可以簡(jiǎn)單的為某個(gè)程序設(shè)計(jì)語(yǔ)言提供應(yīng)用程序接口 API 的一些文件，但也可能包括能與某種嵌入式系統(tǒng)通訊的復(fù)雜的硬件。一般的工具包括用于調(diào)試和其他用途的實(shí)用工具。SDK 還經(jīng)常包括示例代碼、支持性的技術(shù)注解或者其他的為基本參考資料澄清疑點(diǎn)的支持文檔。 其中包括單點(diǎn)登錄令牌的創(chuàng)建與驗(yàn)證。以Web應(yīng)用的單點(diǎn)登錄為例：用戶通過(guò)訪問(wèn)管理器的頁(yè)面進(jìn)行，通過(guò)之后，平臺(tái)為該用戶創(chuàng)建一個(gè)單點(diǎn)登錄令牌，并將該令牌的ID通過(guò)cookie返回至用戶瀏覽器；當(dāng)用戶訪問(wèn)Web應(yīng)用系統(tǒng)時(shí)，單點(diǎn)登錄令牌ID自動(dòng)通過(guò)cookie傳遞至Web應(yīng)用系統(tǒng)，Web應(yīng)用系統(tǒng)可以通過(guò)單點(diǎn)登錄令牌ID還原單點(diǎn)登錄令牌，并向Access Manager驗(yàn)證單點(diǎn)登錄令牌是否有效。

　　綜上，基于4A技術(shù)的統(tǒng)一身份管理為企業(yè)門戶服務(wù)帶來(lái)較為全面的安全保障，從人員、訪問(wèn)、授權(quán)和審計(jì)等角度保護(hù)企業(yè)內(nèi)部應(yīng)用的數(shù)據(jù)的合法使用，具有如下優(yōu)點(diǎn)：

　?。?）統(tǒng)一、授權(quán)和審計(jì)，管理維護(hù)工作復(fù)雜度大幅度降低，減少維護(hù)操作帶來(lái)的故障隱患；

　?。?）統(tǒng)一監(jiān)管，企業(yè)系統(tǒng)安全狀況隨時(shí)被自動(dòng)監(jiān)管；

　?。?）免去用戶在各系統(tǒng)間切換時(shí)需要再次輸入用戶名和口令的繁瑣操作，減少帳號(hào)密碼泄露機(jī)會(huì)；

　?。?）對(duì)各個(gè)系統(tǒng)進(jìn)行統(tǒng)一的訪問(wèn)審計(jì)，利于綜合分析，及時(shí)發(fā)現(xiàn)入侵行為。

　　但從技術(shù)實(shí)現(xiàn)方式和用戶使用效果上看，基于4A的統(tǒng)一身份管理也存在著一定的不足，具體表現(xiàn)為：

　?。?）技術(shù)實(shí)現(xiàn)方式限制較多，例如基于策略代理的SSO，對(duì)門戶系統(tǒng)產(chǎn)品提出固定要求，對(duì)特定產(chǎn)品的版本、未提供開放接口的系統(tǒng)缺乏靈活的處理方法；

　?。?）合規(guī)審計(jì)能力一般不強(qiáng)，多數(shù)產(chǎn)品只提供以日志為主的審計(jì)能力，以及基于日志的數(shù)據(jù)傳輸接口由第三方模塊完成審計(jì)。

　　相信，隨著企業(yè)門戶對(duì)安全管控需求的不斷細(xì)化，隨著各廠家產(chǎn)品和技術(shù)的發(fā)展，4A技術(shù)對(duì)企業(yè)門戶安全的貢獻(xiàn)將越來(lái)越突出。

參考文獻(xiàn):

[1]. COM datasheet http://www.hbjingang.com/datasheet/COM_1118194.html.