智慧校园基础支撑平台建设方案

1、智慧校园基础支撑平台建设方案1.1. 统一身份认证系统应用系统如果采用各自独立的身份认证机制，用户就要 记忆不同系统中的账号 / 密码。为方便师生使用，解决多应 用带来的多账号问题， 需要建立统一的身份管理平台， 用户 在平台上登录一次就可以访问所有具有权限的应用。统一身份认证以 IDM/IM （身份认证管理）为基础提供安 全的用户身份管理功能， 并配合 Access Manager 基于代理架 构的访问控制， 提供 Web 应用的单点登录和 Web 应用保护。 IDM/IM 都集成了 Directory Server（LDAP） 目录服务器来存储 统一身份库信息。统一身份认证实现的功能如下：

2、1. 建立统一的集中身份库统一身份数据中心，对各应 用系统的所有用户提供集中和统一的管理，同时根据各个业 务应用系统的认证方式的不同提供灵活的认证机制；2. 在集中身份库的基础上，在满足数字校园管理平台信息 系统内部业务流程规则的前提下，通过身份管理技术实现身 份库与各个业务应用系统 （门户、 OA 、教学、教务等系统 ）用 户身份信息的自动同步处理功能；3在集中身份库的基础上，提供单点登录（SSO）功能，用户只需要通过一次身份认证就可以访问具有权限的所有资源。集中身份库与门户系统的统一可以为整个平台提供集中 的管理、安全机制，实现整体的统一。4.1.1. 设计要点支持用户数据的集成，适应中小

3、学用户数据分散管理 的现状支持用户数据存储模式，适应中小学教职工多重身份 的现状支持多种认证方式，确保异构业务系统能够集成，让 用户获得完整的单点登录体验 满足不同用户或系统的认证安全需求 保证身份认证平台的高可靠性和高性能前三个需求是身份认证平台发挥作用的基础，而随着应 用集成的力度和广度的加大，后两个将是身份认证平台必须 妥善处理的问题。校园应用功能多样、结构复杂，各应用系统的权限管理 基本上采用分级授权的方式。身份认证平台可以采用统一的 权限模型，供各应用系统使用，相应的权限数据既可集中管 理也可分布式管理。从实践结果看，集中权限控制的效益并 不明显，建议不强求集中控制，由各应用系统设计

4、开发时按 需选择。4.12系统框架身份认证平台主要包括以下三方面功能:LDAP目录服务，支持海量用户数据的存储和管理 高性能SSO（单点登录）身份认证服务 开放的认证集成方式，支持不同开发语言和不同应用 服务器平台的业务系统4.121.统一身份管理架构学校的各种应用系统通常都有自己独立的用户管理、 用户认证和授权机制， 导致系统间互不兼容； 学校的组织 机构也不断变化，用户来源日趋复杂，角色多样化和角色 变化等问题不断出现。各方因素交织在一起形成了一个庞大的矩阵，为统一的身份管理带来了困难。如图:11Ol gp卄迂EbaaSAPEKJJJ财时1atei.1Atm户土SAP.|耐冋TpEE dr

5、 betAmJMr*册 Pit*M*MII.I ，上书ki甩口 I1- j才 LLml 1学規4bIffl蠱兄弟瞌校倍业甘作企it较邮i学生冋学耳莊&阵耳呂I WT.C-BOOi, 曰爲血阳矗世網軒产生蛍樂的阵艾呆针对上述问题，建立一个统一的，基于业界标准(如LDAP , XML , Web Service, J2EE 等)的，灵活、开放、可扩展性的身份管理框架是最终的解决方案。一个好的身份管 理解决方案将复杂的身份管理问题变得简单、实用。身份认 证平台核心结构如下图所示：Aixeu bo* Apjtluurci. Djijibj-bei, p為se注 tav co血femmrvE/Ckenq

6、iMlvi-馆尸袖i IMwIrd MwfrwwnniU身份认证平台管理用户在各个应用系统中的用户信息 的对应关系，并根据这一关系管理用户在各个应用系统中的 生命周期，如添加、删除、修改等。身份认证平台的身份同 步工具可以自动发现某个应用系统中用户信息的变化并通 过一定规则，保持和其它应用中的用户信息同步。身份认证平台的核心包括用户信息创建和中止的审批 流程，该流程由管理员预先定义，可以修改。当用户帐户的申请被批准后，用户帐户将根据预先定义 的规则在中央主目录服务器中创建，并通过资源适配器在各 个该用户可以使用的应用系统中产生帐户信息。用户帐号的 中止也是同样原理。身份认证平台具有口令管理功能

7、，支持口令策略管理和 口令历史记录，支持用户身份审计和用户帐户风险分析，支 持用户身份管理系统运行的监测、评估。4.1.2.2. 用户数据模型身份认证平台中的数据模型包括：1. 用户帐号：学生、教职员工、合作伙伴、供应商等 帐户信息；2. 资源：身份认证平台所管理的身份数据源和应用系 统，如学生数据中心、 教职工数据中心、 电子邮件、 一卡通、 综合网络管理系统以及上网认证系统、 VPN 系统等， 以及其 它基于用户属性更改的应用；3. 资源组：按一定顺序组织的资源，身份认证平台将 根据这一顺序在应用系统中创建和删除用户信息；4. 组织：管理一组用户、 资源和其它对象的逻辑容器；5. 角色：用

8、户的工作角色，代表其职能性质，据此在 资源中设置用户的属性；6. 管理帐户：具有管理员权限，可以进行分级管理；7. 能力：拥有哪些权限，如口令管理员只能管理用户的口令下图为数据模型图:OrganizationUs&r FormROLEUSER OBJECT-Member 口q云门irati门-I isr irf Ppsourrp(or SERVICES) At count ID -GUID(for citampto. HT)-State oTaecour-T(does itcxist?)-PrwlirigrnanyjResourceE any)ResourceGroup身份认证平台:1. 管理

9、用户访问一个或多个资源的权限；2. 管理用户在这些资源上的帐户数据；3. 赋予用户一个或多个角色，设置用户访问各种资源的 权限；4. 管理组织，决定用户帐户由谁和怎样被管理。用户数据是动态的， 依赖于用户的角色、 资源和资源组根据角色（可以是多角色）赋予的资源的数量和类型，需要 不同的信息表示，也决定着创建用户时的信息数量。身份认证平台有虚拟用户的概念，主要作用是映射用户 到多个资源，可以将一个用户在多个应用系统中的全部帐户 信息作为一个实体来管理。4.1.2.3. 用户数据管理身份认证系统需要提供多样化的用户数据管理方案。用 户数据采集可以根据学校现状，采用以下方式：1、集成管理着权威用户数

10、据的业务系统，依赖该系统 进行用户数据管理2、通过数据集成平台双向同步用户数据3、通过身份认证平台的用户管理程序管理用户数据4.1.2.4. 身份数据集成统一身份认证系统集成用户身份数据的过程，是通过数 据交换平台从学校的各个业务系统中自动抽取用户身份数 据，并加以归纳和整理，最终充实用户身份信息库。4.1.2.5. 自动发现和动态同步身份认证平台可以自动发现所管理资源中用户信息的更改，并根据规则将其同步到其它资源中去。4.1.2.6. 帐号和口令管理身份认证平台提供了统一的 WEB 管理界面，可以方便 地管理帐号和口令。帐号管理功能包括：1. 用户自注册功能：用户使用公共的帐号/口令登录系统，然后自行注册一个账号 /口令。2. 帐号新建功能： 外来人员如需临时帐号， 可以由管理员手 工生成访问身份，这个访问身份通常是帐号/口令，也可通过多因子认证或数字证书实现。 这些临时帐号需要有效 期限制，在“临时”的这段时间内有效，过期则失效；对 于可转为正式帐号的“临时帐号” ，可自动转换。3. 帐号注销功能：在一定条件下，实现用户帐号的注销。用 户帐号注销后，所有的用