Nghiên cứu tìm hiểu EAI, UDDI services và active directory, triển khai thử nghiệm EAI với một số dịch vụ thông tin

Nghiên cứu tìm hiểu EAI, UDDI services và active directory, triển khai thử nghiệm EAI với một số dịch vụ thông tin

ĐỒ ÁN

TỐT NGHIỆP ĐẠI HỌC

NGÀNH CÔNG NGHỆ THÔNG TIN

NGHIÊN CỨU TÌM HIỂU EAI, UDDI

SERVICES VÀ ACTIVE DIRECTORY, TRIỂN KHAI THỬ NGHIỆM EAI VỚI MỘT

SỐ DỊCH VỤ THÔNG TIN

Sinh viên thực hiện :

Lớp : TRUYỀN THÔNG VÀ MẠNG MÁY TÍNH-K51

Giáo viên hướng dẫn : TS HÀ QUỐC TRUNG

HÀ NỘI, 5-2011

PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP

1 Thông tin về sinh viên

Họ và tên sinh viên : Trần Tuấn Trung

Điện thoại liên lạc : 0945850597 Email : tuantrung1987@yahoo.com

Lớp : Truyền thông và Mạng máy tính K51 Hệ đào tạo : Đại học chính quy

Đồ án tốt nghiệp được thực hiện tại : Trung tâm mạng thông tin, trường Đại học BáchKhoa Hà Nội

Thời gian làm ĐATN : Từ ngày 22/ 02/ 2011 đến 04/ 06/ 2011

2 Mục đích nội dung của ĐATN

Nội dung của đồ án tốt nghiệp đi vào tìm hiểu và triển khai một giải pháp để tích hợpcác ứng dụng nghiệp vụ đang hoạt động riêng lẻ trong cùng một doạnh nghiệp, tổ chức nóichung và trong trường Đại học Bách Khoa Hà Nội nói riêng sử dụng Web Services vàActive Directory

3 Các nhiệm vụ cụ thể của ĐATN

- Tìm hiểu Web Services

- Tìm hiểu và triển khai UDDI Services

- Tìm hiểu và triển khai Active Directory

- Tìm hiểu và triển khai cấu hình xác thực, phân quyền truy cập Web Servicesthông qua Active Directory

4 Lời cam đoan của sinh viên :

Tôi -Trần Tuấn Trung- cam kết ĐATN là công trình nghiên cứu của bản thân tôi dưới

sự hướng dẫn của TS Hà Quốc Trung

Các kết quả nêu trong ĐATN là trung thực, không phải là sao chép toàn văn của bất kỳcông trình nào khác

Hà Nội, ngày tháng năm

TS Hà Quốc Trung

TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP

Cấu trúc đồ án tốt nghiệp gồm những nội dung chính sau :

Phần 1 : WEB SERVICES, ACTIVE DIRECTORY VÀ BÀI TOÁN TÍCH HỢP NGHIỆPVỤ

Chương 1 sẽ mô tả về mô hình hiện tại của hệ thống nghiệp vụ cần được tích hợp, cụthể ở đây là hệ thống thông tin trường Đại học Bách Khoa Hà Nội, đưa ra giải pháp cũngnhư những yêu cầu của hệ thống mới cần thực hiện được và mô tả hệ thống mong muốn sẽxây dựng được sau khi đã hoàn thành giai đoạn thực hiện đồ án tốt nghiệp Các mục tiếptheo trong chương 1 sẽ đi vào việc tìm hiểu EAI, UDDI Services, Active Directory, nhữngcông nghệ liên quan và vai trò của chúng trong việc xây dựng hệ thống

Phần 2 : TRIỂN KHAI WEB SERVICES VÀ ACTIVE DIRECTORY CHO ỨNG DỤNGNGHIỆP VỤ

Chương 2 sẽ đi sâu vào việc phân tích hoạt động và sự tương tác của UDDI Services,Active Directory với các thành phần khác trong hệ thống cần xây dựng Các mục tiếp theotrong chương 2 sẽ mô tả chi tiết việc lựa chọn công cụ phần mềm, phần cứng, cách thức đểcài đặt, triển khai UDDI Services và Active Directory trong hệ thống, kịch bản mô phỏnghoạt động và cuối cùng là kết quả đồng thời nhận xét về ưu, nhược điểm của chúng trong

hệ thống sau khi đã triển khai

KẾT LUẬN

Kết luận sẽ tóm tắt lại những công việc đã thực hiện được trong giai đoạn đồ án tốtnghiệp, và hướng tìm hiểu, triển khai đồ án trong tương lai

MỤC LỤC

MỤC LỤC 1

DANH MỤC HÌNH VẼ 3

LỜI NÓI ĐẦU 4

PHẦN 1 : WEB SERVICES, ACTIVE DIRECTORY VÀ BÀI TOÁN TÍCH HỢP NGHIỆP VỤ 6

I MÔ HÌNH CHUNG HỆ THỐNG 6

1 Mô hình hệ thống hiện tại 6

2 Mô hình hệ thống mong muốn 8

II VAI TRÒ CỦA ACTIVE DIRECTORY TRONG HỆ THỐNG 9

III VAI TRÒ CỦA UDDI SERVICES TRONG HỆ THỐNG 9

IV CÁC CÔNG NGHỆ LIÊN QUAN 9

1 Tổng quan về EAI (Enterprise Application Integration) 9

2 Mô hình quản lý hệ thống mạng 10

3 Tổng quan về AD (Active Directory) 11

4 UDDI Services 13

5 Xác thực, cấp quyền người dùng, nhóm người dùng Web Services 14

PHẦN 2 : TRIỂN KHAI WEB SERVICES VÀ ACTIVE DIRECTORY CHO ỨNG DỤNG NGHIỆP VỤ 21

I MÔ HÌNH LOGIC CHI TIẾT 21

1 Mô hình hệ thống tích hợp 21

2 UDDI Services 24

3 Active Directory 25

4 Các yêu cầu đối với từng phân hệ 26

II CÁC LỰA CHỌN CÔNG NGHỆ 26

1 Phần mềm 26

2 Mô hình phần cứng 27

III QUÁ TRÌNH TRIỂN KHAI CÀI ĐẶT, CẤU HÌNH 28

1 Xây dựng mô hình mạng 28

2 Cài đặt, cấu hình Active Directory 29

3 Cài đặt Internet Information Services 31

4 Cài đặt, cấu hình Web Services 31

5 Cài đặt UDDI Services 33

IV KỊCH BẢN THỬ NGHIỆM 33

1 Công bố thông tin Web Services trên UDDI Services 33

2 Tìm kiếm thông tin Web Services trên UDDI Services 33

3 Đăng ký sử dụng Web Services 33

4 Đăng nhập và sử dụng Web Services 33

V KẾT QUẢ THỬ NGHIỆM 34

1 Công bố thông tin Web Services trên UDDI Services 34

2 Tìm kiếm thông tin Web Services trên UDDI Services 35

3 Đăng ký sử dụng Web Services 35

4 Đăng nhập và sử dụng Web Services 37

VI CÁC ƯU, NHƯỢC ĐIỂM CỦA PHÂN HỆ 38

1 UDDI Services 38

2 Active Directory 38

KẾT LUẬN 40

DANH MỤC TÀI LIỆU THAM KHẢO 41

DANH MỤC HÌNH VẼ

Hình 1 Mô hình hệ thống hiện tại [1] 6

Hình 2 Mô hình hệ thống mong muốn [1] 8

Hình 3 Kiến trúc Active Directory [2] 12

Hình 4 Domain tree [2] 13

Hình 5 Forest [2] 13

Hình 6 Tiến trình xác thực [3] 16

Hình 7 Tiến trình xác thực, cấp quyền truy cập [3] 17

Hình 8 Forms authentication [3] 18

Hình 9 Membership [3] 20

Hình 10 Mô hình hệ thống thử nghiệm 22

Hình 11 Mô hình hệ thống tích hợp 22

Hình 12 Mô hình tương tác giữa UDDI Services với các thành phần trong hệ thống 24

Hình 13 Mô hình tương tác giữa Active Directory với các thành phần trong 25

hệ thống 25

Hình 14 Mô hình phần cứng 27

Hình 15 Mô hình mạng 28

Hình 16 Cấu hình địa chỉ mạng cho các máy Server 29

Hình 17 Thông số cài đặt Active Directory 29

Hình 18 Kết quả công bố thông tin mô tả Web Services 34

Hình 19 Kết quả công bố thông tin điểm truy cập Web Services 34

Hình 20 Kết quả công bố thông tin về đơn vị cung cấp Web Services 35

Hình 21 Kết quả tìm kiếm Web Services 35

Hình 22 Kết quả sau khi tạo các phòng ban và thiết lập tài khoản 36

Hình 23 Kết quả sau khi phân quyền truy cập Web Services cho các đơn vị 36

Hình 24 Kết quả hiển thị trang đăng nhập truy cập và sử dụng Web Services 37

Hình 25 Kết quả khi tài khoản không được xác thực hoặc không có quyền 37

truy cập và sử dụng Web Services 37

Hình 26 Kết quả khi tài khoản được xác thực và có quyền truy cập và sử dụng 38

Web Services 38

LỜI NÓI ĐẦU

Hiện nay với tốc độ phát triển không ngừng của Công Nghệ Thông Tin trongmọi lĩnh vực đời sống Kinh tế và xã hội của nước ta, các ứng dụng của công nghệthông tin đã góp phần quan trọng vào lĩnh vực quản lý kinh tế xã hội nói chung vàquản lý các doanh nghiệp, công ty nói riêng

Các phần mềm quản lý được sử dụng rộng rãi phục vụ cho công tác nghiệp vụcủa các đơn vị, tổ chức Các phần mềm của từng đơn vị, tổ chức cần được kết nốivới nhau để tạo thành một hệ thống thông tin thống nhất Có thể thực hiện mục tiêunày bằng 2 cách : sử dụng các phần mềm của một nhà cung cấp cho tất cả các phầnmềm nghiệp vụ hoặc sử dụng các phần mềm của các các nhà cung cấp khác nhau vàxây dựng phân hệ kết nối các phần mềm nghiệp vụ

Việc sử dụng các sản phẩm của một nhà cung cấp dẫn đến vấn đề phụ thuộcvào nhà sản xuất Tất cả các sản phẩm của hệ thống cần tuân thủ các chuẩn chặtchẽ của nhà sản xuất để có thể cùng hoạt động Bên cạnh đó, chi phí cho những sảnphẩm này thường rất cao, khó có thể được đáp ứng được với các tổ chức không chủđộng về nguồn kinh

Theo mô hình từ dưới lên (bottom-up), trong đó các phần mềm nghiệp vụ chocác đơn vị cấu thành tổ chức được xây dựng riêng rẽ, trước khi có một chuẩnthông tin thống nhất cho cả tổ chức Trường hợp này cần thiết có một phân hệ cungcấp các công cụ để các phần mềm nghiệp vụ riêng lẻ có thể kết nối với nhau

Đồ án trình bày một giải pháp tích hợp các ứng dụng không đồng nhất, dựa trênnền tảng của web service, cho phép các ứng dụng được phát triển độc lập, song songkết nối lẫn nhau phục vụ mục đích chung của tổ chức Bên cạnh đó, đồ án cũng xâydựng một cách thức quản lý tập trung các web services này cũng như cung cấp cơchế quản lý tài khoản, xác thực và cấp quyền truy cập web services dựa trên UDDIServices và Active Directory Hệ thống được thử nghiệm dựa trên một số dịch vụthông tin của trường Đại học Bách Khoa Hà Nội

Nội dung đồ án bao gồm các công việc sau :

- Phần 1 : Web Services, Active Directory và bái toán tích hợp nghiệp vụ

- Phần 2 : Triển khai Web Services và Active Directory cho ứng dụng nghiệp

Để hoàn thành được đồ án này, em xin chân thành cảm ơn thầy giáo Hà QuốcTrung, người đã tận tình hướng dẫn chỉ bảo và động viên em trong suốt thời gian

em làm đồ án

PHẦN 1 : WEB SERVICES, ACTIVE DIRECTORY VÀ BÀI TOÁN TÍCH HỢP NGHIỆP VỤ

I. MÔ HÌNH CHUNG HỆ THỐNG

1. Mô hình hệ thống hiện tại

Hình 1 Mô hình hệ thống hiện tại [1]

Hình 1 mô tả hiện trạng hệ thống thông tin nghiệp vụ trong trường Đại học BáchKhoa Hà Nội Các phần mềm nghiệp vụ của các đơn vị phòng ban trong trườngđược xây dựng riêng rẽ, bằng những nền tảng công nghệ khác nhau và do chính các

bộ phận này xây dựng, quản lý và khai thác như : thông tin tổ chức cán bộ đượcquản lý bởi phòng tổ chức cán bộ, thông tin về sinh viên do phòng đào tạo đại họcquản lý… Không có một chuẩn thông tin thống nhất cho cả tổ chức Nếu các bộ

phận khác muốn có được các thông tin này, họ phải lấy thủ công từ các bộ phậnquản lý Điều này khiến cho việc xử lý thông tin diễn ra phức tạp và hiệu quả đạtđược không như mong muốn, không đáp ứng được các yêu cầu xử lý thông tin trongthời gian thực Cần có một cách thức để kết nối giữa các phần mềm nghiệp vụ riêng

rẽ của các đơn vị phòng ban trong trường thành một hệ thống quản lý thông tinnghiệp vụ tập trung Các đơn vị phòng ban vừa có khả năng xây dựng, quản lý vàkhai thác CSDL của mình, vừa có thể cung cấp cho các đơn vị khác các thông tintheo yêu cầu cụ thể An toàn và bảo mật thông tin cũng là vấn đề cần đặt ra vớicác hệ thống nói trên

“EAI (Enterprise Application Integration) là cách thức để kết nối các ứng dụngnghiệp vụ trong một tổ chức EAI có thể được xây dựng dựa trên bus hoặc thôngqua EAI – phần mềm môi giới Có nhiều sản phẩm phần mềm cài đặt EAI cho cácnền tảng phần mềm Các sản phẩm này đòi hỏi các ứng dụng phải tuân thủ các quyđịnh chặt chẽ của từng sản phẩm Do đó, hệ thống thông tin thu được từ các ứngdụng thường được gắn liền với một nền tảng phần mềm ứng dụng cụ thể” (tríchtrong phần tóm tắt từ bài báo Một giải pháp tích hợp các ứng dụng nghiệp vụ phântán không đồng nhất, Tạp chí Khoa học và Công nghệ các trường đại học kỹ thuật,

TS Hà Quốc Trung)

Nhưng như đã nói bên trên, các ứng dụng nghiệp vụ của các đơn vị phòng bantrong trường Đại học Bách Khoa Hà Nội được xây dựng một cách riêng rẽ, phù hợpvới các yêu cầu của từng nghiệp vụ cụ thể, không có một chuẩn thông tin thống nhấtcho cả tổ chức Do đó, việc sử dụng các sản phẩm EAI như trên là không thể, trừkhi phát triển lại các ứng dụng nghiệp vụ

2. Mô hình hệ thống mong muốn

Hình 2 Mô hình hệ thống mong muốn [1]

Mô hình chung của hệ thống được mô tả trong hình vẽ Có thể chia cácthành phần của hệ thống ra làm 3 loại : Các thành phần cung cấp thông tin,các thành phần sử dụng thông tin, thành phần quản lý các dịch vụ thông tin.Thành phần quản lý thông tin chịu trách nhiệm nhận và xử lý các yêu cầu về đăng

ký dịch vụ, tìm kiếm đặc tả dịch vụ Thành phần sử dụng thông tin dựa vàocác đặc tả này để có thể sử dụng các dịch vụ thông tin do thành phần cung cấpthông tin cung cấp Đăng ký dịch vụ là thao tác do thành phần cung cấp thông tinthực hiện để có thể công bố dịch vụ của mình cho các thành phần khác trong hệthống Trong yêu cầu đăng ký dịch vụ cần có các thông tin như: định danhcủa đơn vị đăng ký dịch vụ, đặc tả dịch vụ, phân quyền của dịch vụ Căn cứ vàocác thông tin này, BLĐ thông qua thành phần trung tâm phê duyệt và đưathông tin đăng ký vào CSDL công khai của các dịch vụ Tìm kiếm dịch vụ là thaotác do thành phần sử dụng thông tin tiến hành để xác định chính xác dịch vụ màthành phần này sẽ sử dụng Hệ thống cần cung cấp cơ chế cho phép một sốdịch vụ chỉ có thể được tìm kiếm với các thành phần đã được xác thực Sau khi đãnhận được đặc tả dịch vụ, các phân hệ có thể sử dụng dịch vụ thông qua đặc tả.Thao tác xác thực là thao tác cơ bản trong tất cả các hoạt động của các thành

phần trong hệ thống Tìm kiếm, sử dụng và đăng ký dịch vụ thông tin, tất cảđều cần đến một tác nhân đã được xác thực bởi hệ thống, với định danh vàphân quyền xác định cho định danh đó.

II. VAI TRÒ CỦA ACTIVE DIRECTORY TRONG HỆ THỐNG

 Lưu giữ một danh sách tập trung tên tài khoản người dùng, mật khẩu tươngứng và các tài khoản máy tính

 Cung cấp một Server chứng thực (authentication server) hoặc Server quản lýđăng nhập (logon Server)

 Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục giúp các máy tính trongmạng có thể dò ra nhanh một tài nguyên nào đó trên các máy tính khác trong vùng

 Cho phép tạo ra những tài khoản người dùng với những mức độ quyền khácnhau như : toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa

 Cho phép chia nhỏ miền ra thành các miền con (subdomain) hay các đơn vị

tổ chức OU (Organizational Unit) Sau đó chúng ta có thể ủy quyền cho các quản trịviên bộ phận quản lý từng bộ phận nhỏ

Với các chức năng trên, lựa chọn Active Directory là phù hợp với yêu cầu mà hệthống mới cần xây dựng đưa ra

III. VAI TRÒ CỦA UDDI SERVICES TRONG HỆ THỐNG

 Là một dịch vụ để chạy thư mục UDDI (Universal Description, Discovery,

và Intergration) trong các mạng intranet hay mạng extranet

 Lưu trữ các thông tin đặc tả dịch vụ và các thông tin công nghệ liên quanđược cung cấp bởi các đơn vị

 Cung cấp dịch vụ đăng ký và tìm kiếm

 Mềm dẻo trong việc tổ chức, sắp xếp, phân loại mục lục các dịch vụ

 Dễ dàng và nhanh chóng tìm kiếm các dịch vụ theo các tiêu chí có sẵn

IV. CÁC CÔNG NGHỆ LIÊN QUAN

1. Tổng quan về EAI (Enterprise Application Integration)

EAI là một giải pháp xây dựng một hệ thống phân tán, các ứng dụng đơn mụcđích dựa trên nền tảng của các ứng dụng sẵn có trong một doanh nghiệp Nói đơngiản, EAI là sự chia sẻ không giới hạn các dữ liệu, các tiến trình xử lý nghiệp vụcho bất cứ một ứng dụng được kết nối vào trong hệ thống Việc xây dựng một giải

pháp EAI vừa đáp ứng được việc không can thiệp vào hệ thống ứng dụng vốn cóđồng thời giảm được chi phí cho doanh nghiệp EAI không phải là một giải phápnằm ngoài hệ thống của doanh nghiệp mà nó là một tiến trình xử lý nhằm tạo ra mộtnền tảng linh hoạt, tiêu chuẩn cho phép các thành phần ứng dụng hoạt động dễ dàng

và đạt hiệu quả cao Nền tảng mới này cho phép các ứng dụng tương tác, giao tiếpvới nhau một cách liên tục trong thời gian thực

Việc sử dụng các ứng dụng hay phần mềm được thương mại hóa của cùng mộtnhà cung cấp giải pháp đảm bảo tính tương thích của chúng phụ thuộc khá nhiềuvào nhà cung cấp đó Tất cả các sản phẩm này sẽ phải tuân thủ theo đúng các quytắc được nhà cung cấp đặt ra để có thể tương tác được với nhau Vì vậy để tích hợpcác ứng dụng không có một chuẩn thông tin thống nhất gặp phải nhiều khó khănnhư phụ thuộc vào nhà sản xuất, giá thành cao, độ phức tạp của hệ thống lớn Bởivậy các tổ chức thường lựa chọn giải pháp tích hợp ứng dụng theo mô hình từ dướilên ( bottom-up) trong đó các ứng dụng nghiệp vụ được xây dựng riêng rẽ với nhautheo yêu cầu nghiệp vụ của từng đơn vị trước khi có một chuẩn thông tin thống nhấtcho cả hệ thống

2 Mô hình quản lý hệ thống mạng

Để quản lý một hệ thống mạng ta có 2 mô hình : Workgroup và Domain

- Đặc điểm của hệ thống Workgroup

 Còn được gọi là mô hình peer to peer

 Các máy tính trong mạng có vai trò như nhau

 Thông tin tài khoản người dùng được lưu trong SAM (security accountmanager) trên mỗi máy cục bộ

 Quản lý không tập trung, ví dụ khi cần triển khai policy cho hệ thống ta phảicấu hình trên từng máy

 Mỗi người sử dụng phải sử dụng nhiều user account cho nhiều nhu cầu, ví dụngười sử dụng phải có 2 user : một để logon và một để truy cập tài nguyên trên fileserver

 Quá trình chứng thực cho người dùng đăng nhập diễn ra tại máy cục bộ màuser đăng nhập

Với 2 đặc điểm trên ta sẽ rất khó khăn khi quản lý một hệ thống mạng lớn

- Đặc điểm của hệ thống Domain

 Hoạt động theo cơ chế client/server

 Có ít nhất một server làm chức năng điều khiển vùng (domain controller)

 Quản lý theo cấu trúc danh bạ : tất cả các đối tượng (group, user, computeraccount,…) và tài nguyên đều được quản lý tập trung bằng dịch vụ ActiveDirectory, được lưu trữ trên domain controller với tên tập tin là NTDS.DIT

 Là một mô hình quản lý tập trung, ví dụ 1 policy khi triển khai cùng lúc cóthể ảnh hưởng trên nhiều máy hoặc nhiều user account

 Hỗ trợ Single Sign On, mỗi người sử dụng trong hệ thống chỉ cần một useraccount cho tất cả các nhu cầu : logon, truy cập tài nguyên, sử dụng e-mail,…

 Quá trình chứng thực cho người dùng diễn ra tập trung tại máy domaincontroller

Với sự khác nhau giữa 2 hệ thống Workgroup và Domain như trên, để quản lýmột hệ thống mạng lớn như trong trường Đại học Bách Khoa Hà Nội chúng ta nênchọn mô hình Domain

3 Tổng quan về AD (Active Directory)

Active Directory là một dịch vụ thư mục (directory service) chuẩn và tập trung,dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật các nguồn tàinguyên được phân phối, cho phép tương tác với các thư mục khác Active Directorycung cấp tất cả thông tin của 1 đối tượng, ví dụ như cung cấp đầy đủ thông tin choviệc chứng thực khi user truy cập tài nguyên

Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìnmang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trongmạng

Hình 3 Kiến trúc Active Directory [2]

- Object

 Object classes : là các đối tượng thông dụng như user, group, printer

 Attributes : là tập các giá trị phù hợp và được gắn kết với một đối tượng cụthể

- OU (Organizational unit)

 Là đơn vị nhỏ nhất trong Active Directory

 OU trao quyền kiểm soát một tập hợp tài khoản người dùng, máy tính haycác thiết bị mạng cho 1 hoặc 1 nhóm phụ tá quản trị viên (sub-admin) để giảm bớtgánh nặng cho admin

 OU kiểm soát và khóa bớt một số chức năng trên máy trạm thông qua chínhsách nhóm

- Domain

 Là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory

 3 chức năng :

 Đóng vai trò như một khu vực quản trị các object

 Giúp quản lý bảo mật các tài nguyên chia sẻ

 Cung cấp các server dự phòng là chức năng điều khiển vùng và đảm bảothông tin trên các server này đồng bộ với nhau

UDDI Services giúp các doanh nghiệp, tổ chức sắp xếp mục lục Services vànhững nguồn chương trình khác Bằng việc sắp xếp, phân loại theo vị trí, chất lượng

của Services hay đơn vị cung cấp trong UDDI Services, các doanh nghiệp, tổ chức

có thể thiết lập một cấu trúc chuẩn để mô tả và tìm kiếm Services UDDI Serviceslưu trữ cả những thông tin công nghệ liên quan đến việc xây dựng một ứng dụngphù hợp với Services, cũng như thông tin được yêu cầu để kết nối thành công đếnServices

Hầu hết kịch bản thông thường cho các hoạt động bên trong UDDI Services nhưsau :

 Người phát triển sử dụng lại : Ở thời điểm thiết kế, người phát triển tìm kiếmcác Services trên UDDI Services để sử dụng lại trong việc xây dựng các ứng dụngmới

 UDDI Services đưa ra tất cả các thông tin cần thiết để gọi một Service, dễdàng cho người phát triển tích hợp các Services vào một ứng dụng UDDI Servicescung cấp cho người phát triển nơi tập trung chứa mô tả Services và thông tin côngnghệ ràng buộc, giúp việc sử dụng lại các Services đang tồn tại và công bố cácServices mới dựa trên việc tổ chức, phân loại theo chuẩn và theo tùy chọn một cách

cơ bản, như họ và tên Quá trình này là một ví dụ cho việc xác thực Khi những đặcđiểm nhận biết của bạn được xác minh, mỗi nơi bạn đi qua, mọi người đều sẽ biếtđược những đặc điểm nhận biết này của bạn

Xác thực cho phép ứng dụng xác định một người dùng trong mỗi yêu cầu là ai.Việc này cũng giống như việc cá nhân hóa, bởi vì có thể sử dụng các thông tin nhậnbiết để đưa ra những thông báo riêng cho người dùng đó trên trang Web, thay đổi

cách hiển thị của Website, thêm nội dung tùy chỉnh dựa vào quyền của ngườidùng…Tuy nhiên, việc xác thực là không đủ để hạn chế các nhiệm vụ mà 1 ngườidùng được phép thực hiện dựa vào đặc điểm nhận biết của người dùng đó Vì thế,cần phải cấp quyền cho người dùng

Cấp quyền (Authorization)

Cấp quyền là tiến trình xác định các quyền và những hạn chế được chỉ định chomột người dùng đã được xác thực Ví dụ như trong một hội nghị, việc cấp quyền làtiến trình cấp các quyền hạn cho một kiểu riêng biệt nào đó trong hội nghị, nhưđược toàn quyền tham dự mọi nơi trong hội nghị, chỉ trước hội nghị, hay chỉ đượcquyền vào hội trường triểm lãm Điều này có nghĩa là nếu như muốn tham dự 1 bàiphát biểu của hội nghị, phải được quyền tham dự Trước khi vào hội trường diễn rabuổi phát biểu, một nhân viên sẽ kiểm tra thẻ hội nghị của bạn Dựa vào thông tintrên thẻ, nhân viên đó sẽ cho phép bạn vào trong hay yêu cầu rời khỏi Đây là một

ví dụ cho việc cấp quyền Tương tự trong một hệ thống thông tin, phụ thuộc vàothông tin liên quan đến đặc điểm nhận biết của người dùng, người dùng đó sẽ đượccho phép hay bị từ chối truy cập đến các nguồn tài nguyên yêu cầu

Ví dụ trên chỉ là một ví dụ cơ bản cho việc cấp quyền Việc cấp quyền phụ thuộcvào vai trò hoặc quyền của một nhóm người dùng chứ không chỉ dựa vào việcngười dùng đó là ai Trong nhiều trường hợp, việc cấp quyền cơ bản được ưu tiên vì

nó dễ dàng hơn để thực hiện

Trong một ứng dụng Web, có nhiều kiểu khác nhau cho việc cấp quyền với cáccấp độ khác nhau Ví dụ, ở cấp độ cao nhất, có thể lập trình để kiểm tra đặc điểmnhận biết của người dùng và quyết định xem liệu có tiếp tục việc trả ra kết quả yêucầu hay không Ở một cấp độ thấp hơn, có thể cấu hình để từ chối truy cập đối vớicác trang web cụ thể hoặc đường dẫn tới tệp tin đối với những người dùng, nhómngười dùng cụ thể

Kết hợp xác thực, cấp quyền vào trong ứng dụng

Bây giờ, làm cách nào để gom tất cả việc xác thực, cấp quyền lại với nhau trongmột ứng dụng Web?

Khi người dùng bắt đầu truy cập vào Website, họ đều là những người dùng ẩndanh Nói cách khác, ứng dụng không biết và không quan tâm họ là ai Trừ khi xácthực họ, đây là cách để thực hiện điều này

Mặc định, những người dùng ẩn danh có quyền truy cập vào bất kỳ một trangWeb nào Nhưng khi một người dùng yêu cầu truy cập vào một trang Web màngười dùng ẩn danh không được phép, một vài bước sau đây được đưa ra :

 Yêu cầu được gửi lên Web Server Lúc này đặc điểm nhận biết của ngườidùng chưa được biết đến vào lúc này, người dùng được yêu cầu phải đăng nhập (sửdụng một trang đăng nhập hoặc một hộp thông báo đăng nhập cơ bản trên trìnhduyệt) Chi tiết của tiến trình đăng nhập phụ thuộc vào kiểu xác thực đang sử dụng

 Người dùng cung cấp thông tin chứng nhận của họ, chúng sẽ được xác minhbởi ứng dụng (nếu sử dụng forms authentication) hoặc tự động bởi IIS (trong trườnghợp sử dụng Windows authentication)

 Nếu thông tin chứng thực của người dùng hợp lệ, người dùng sẽ được chophép truy cập trang Web Nếu những thông tin này không hợp lệ, người dùng sẽđược nhắc nhở yêu cầu đăng nhập lại, hoặc người dùng sẽ được đọc một thông báovới tin nhắn từ chối truy cập

Hình 6 Tiến trình xác thực [3]

Khi một người dùng yêu cầu truy cập một trang Web bảo mật, chỉ cho phépnhững người dùng trong một nhóm quyền, tiến trình là tương tự nhưng 1 bước mởrộng được đưa ra :

 Yêu cầu được gửi lên Web Server Lúc này đặc điểm nhận biết của ngườidùng chưa được biết đến vào lúc này, người dùng được yêu cầu phải đăng nhập (sửdụng một trang đăng nhập hoặc một hộp thông báo đăng nhập cơ bản trên trìnhduyệt) Chi tiết của tiến trình đăng nhập phụ thuộc vào kiểu xác thực đang sử dụng

 Người dùng cung cấp thông tin chứng thực của họ, chúng sẽ được xác minhbởi ứng dụng Đây là giai đoạn xác thực.

 Các thông tin chứng thực và các quyền hạn của người dùng được xác thựcbằng cách so sánh với một danh sách những người dùng và quyền hạn được phép.Nếu người dùng có trong danh sách, người dùng sẽ được phép truy cập đến tàinguyên, mặt khác, truy cập sẽ bị từ chối

 Người sử dụng bị từ chối truy cập cũng sẽ được yêu cầu đăng nhập lại hoặc

sẽ được trả về một thông báo từ chối truy cập

Hình 7 Tiến trình xác thực, cấp quyền truy cập [3]

Form Authentication

Forms authentication là một kiểu xác thực người dùng được sử dụng trongASP.NET Nên sử dụng kiểu xác thực này khi không muốn sử dụng các tài khoảncủa Windows trong các ứng dụng

Trong những trường hợp như thế này, cần có một cơ sở hạ tầng xác thực riêng

để xác thực tài khoản người dùng với kho lưu trữ thông tin tài khoản người dùng

Cơ sở hạ tầng này sẽ thiết lập việc bảo mật trên mỗi yêu cầu (trong nhiều trườnghợp, các hệ thống làm việc dựa trên các cookie)

ASP.NET cung cấp một cơ sở hạ tầng hoàn thiện cho việc thực thi các hệ thốngnhư vậy ASP.NET xử lý các cookie và thiết lập bảo mật trên mỗi yêu cầu Cơ sở hạtầng này được gọi là forms authentication

Forms authentication là kiểu xác thực ticket-based (hay còn được gọi là based) Điều này có nghĩa là, khi người dùng đăng nhập, họ sẽ nhận được một ticketvới những thông tin người dùng cơ bản Thông tin này sẽ được lưu trữ trong mộtcookie đã được mã hóa, nó tự động được gửi kèm trong mỗi yêu cầu sau đó.

token-Khi người dùng yêu cầu một trang ASP.NET không cho phép những người dùng

ẩn danh truy cập, ASP.NET sẽ xác minh xem liệu rằng có forms authenticationticket hay không? Nếu không có, ASP.NET sẽ tự động chuyển người dùng đếntrang đăng nhập Phải tạo một trang đăng nhập và xác thực các thông tin chứngnhận người dùng với trang đăng nhập này Nếu người dùng được xác thực thànhcông, ASP.NET sẽ tự động thiết lập authentication cookie (có chứa một ticket) vàchuyển người dùng đến trang được yêu cầu

Hình 8 Forms authentication [3]

Tất cả những gì cần làm bây giờ là cấu hình forms authentication trong tệp tinWeb.config của ứng dụng ASP.NET, tạo trang đăng nhập và xác thực thông tinchứng nhận trong trang đăng nhập.

Nên sử dụng forms authentication vì :

 Có đầy đủ quyền kiểm soát trên các đoạn mã xác thực

 Có đầy đủ quyền kiểm soát những gì xuất hiện trên trang đăng nhập

 Làm việc với bất kỳ trình duyệt nào

 Cho phép quyết định lưu trữ thông tin người dùng bằng cách nào, ở đâu

Forms authentication cũng có một số nhược điểm :

 Phải tạo giao diện đăng nhập

 Phải duy trì một danh sách các thông tin chứng nhận của người dùng

 Phải phòng ngừa khả năng bị đánh cắp thông tin trên mạng

Membership

Mặc dù forms authentication đã giải quyết được các vấn đề cơ bản về bảo mậtnhưng việc thực hiện các form đăng nhập và kết nối với các kho lưu trữ thông tinchứng nhận người dùng hầu như luôn giống nhau cho mỗi ứng dụng Formsauthentication chỉ cung cấp việc xác thực người dùng Nếu muốn sử dụng các kholưu trữ thông tin chứng nhận người dùng tùy chỉnh, cần phải viết các ứng dụng quảntrị cho việc quản lý người dùng (như thêm, thay đổi, xóa người dùng,…)

Do đó, ASP.NET tích hợp thêm Membership API Membership API dựa vàonền tảng cơ sở hạ tầng của forms authentication Khi sử dụng membership APIthậm chí không cần phải thực hiện các xử lý trong trang đăng nhập hay thiết lập mộtkho lưu trữ thông tin chứng nhận người dùng

Membership API framework cung cấp một thiết lập hoàn thiện cho những chứcnăng quản lý người dùng :

 Khả năng lập trình tạo và xóa người dùng hoặc thông qua các tiện ích cấuhình trong ASP.NET

 Khả năng thay đổi password, có thể tự động gửi email thay đổi password đếnngười dùng nếu một địa chỉ email của người dùng được lưu trữ

 Khả năng tự động tạo password cho người dùng Tất nhiên những passwordnày có thể được gửi đến người dùng một cách tự động nếu địa chỉ email của họđược lưu trữ.

 Khả năng tìm kiếm người dùng trong một kho lưu trữ dữ liệu cũng như việclấy ra danh sách người dùng và thông tin chi tiết của mỗi người dùng Điều này làcần thiết cho nhiệm vụ quản lý người dùng thông thường, như xác định xem ngườidùng có những quyền hạn nào thông qua một giao diện quản lý người dùng

 Thiết lập các control được xây dựng sẵn cho việc tạo các trang đăng nhập,trang đăng ký, hiển thị trạng thái đăng nhập và những hiển thị khác cho việc xácthực hay không xác thực người dùng

 Ứng dụng không bị phụ thuộc vào kho lưu trữ dữ liệu thông qua các lớpmembership provider Bất kỳ một chức năng nào trong ứng dụng cũng đều có thểlàm việc độc lập với các kho lưu trữ dữ liệu cơ bản Kho lưu trữ dữ liệu có thể đượcthay thế bằng bất cứ kiểu kho lưu trữ dữ liệu nào mà không cần phải thay đổi ứngdụng Mặc định, Membership API tận dụng hệ quản trị CSDL SQL Server Express

để lưu trữ thông tin người dùng và quyền hạn

Hình 9 Membership [3]