网络工程和应用系统的建设为企业内部信息的开放与交换提供了可能，但是应用系统的信息在使用中对于不同类型的服务对象，信息的开放程度、内容的详细程度都有严格的管理要求。用户授权和访问控制体系的建设就是设计统一的授权策略，建立统一的用户管理中心，提供统一的应用系统访问控制基础平台和实现机制，解决企业网现有的多种不同类型的用户对多个不同业务应用系统的授权和访问控制问题，防止用户越权访问或修改数据，确保对信息的访问限制在授权范围内。

图 授权和认证服务系统的构成和工作流

本设计的访问控制体系包括的基础功能组建主要有：安全客户端插件、安全服务器插件、用户授权管理服务器以及用户认证决策服务器等。

安全客户端插件

安全客户端插件设计为浏览器的安全插件，为 B/S 系统提供身份认证、访问控制和安全通信的功能。该插件也支持 VPN 通信方式，或客户本地安全代理方式，也可以为典型的 C/S 系统提供安全代理通信服务。同时，插件还提供了标准的 API 接口，供 B/S 和 C/S 客户端的嵌入式开发和附加功能开发。

安全服务器插件

安全服务器插件直接安装在应用服务器上，协助应用系统完成用户认证和访问控制，是为实现访问控制规则、认证和资源之间的联接而设计的插件。在受保护的应用服务器上配置安全服务器插件，访问控制体系可以适应不同的系统环境，并为应用系统实现统一安全策略下的访问控制。

用户授权管理服务器

用户授权管理服务器是一台独立主机，负责建立用户信息、完成用户集中管理、建立访问控制策略、设置认证方法和数据，完成用户的分组或角色定义，权限数据的建立等。权限数据交用户认证服务器使用和提供服务。

用户认证决策服务器

用户认证服务器是一台独立的服务器，包括 LDAP 服务器和认证决策模块。数据库内存放着从用户管理服务器获得的权限信息，依据安全服务器插件提供的用户信息完成用户类型的认证并就其访问权限做出决策，决策结果交回给安全服务器插件执行。拥有多个应用系统的大型网络中心可以配备多个用户认证服务器，互为备份，以便提高服务能力，构成冗余配置和提高系统的可用性。