统一身份认证系统需求

1、目录1 业务概述21.1 业务背景21.2 业务目标21.4 专业术语说明31.5 关联业务需求31.6 整体计划32 业务需求43 性能需求53.1 系统响应时间53.2 容量支持要求5页脚.1业务概述根据公司建立统一认证系统的总体目标，针对现有工程系统和办公系统，和正在规划中的系统，做 了充分的需求调研，最终确定了现阶段统一认证系统的具体要求，形成了本需求容。1.1 业务背景现阶段，公司信息系统正处于快速建设系统的阶段，各应用系统都拥有各自的用户管理及权限管理, 用户登录各系统时需切换不同的身份方可进入相应的系统，给用户带来极大的不便，也给IT运营维护 带来极大的困扰。另外，随着公司各项业

2、务的关联性不断增强，各应用系统之间的基于用户身份的数据 集成因此受到阻碍。为了解决这一问题，建立统一认证系统提上日程。统一认证管理系统，可提供可熊统一用户登陆、 用户认证等功能，它可以在不改变现有基础结构的情况下，对现有的系统进行集成，也能适应各种未知 系统的集成。1.2 业务目标建立统一认证系统是IT规划的总体目标之一，目的是为了使得现有系统的用户信息重复混乱、用 户重复登录体验差的现状得以改变，也为新规划的系统建立统一的认证标准。总体目标：建立完善的统一认证系统，实现企业系统的集成，提供可靠的、可管理的统一认证服务。主要建设目标有：令建立统一认证系统，提供统一身份认证服务；令实现系统的统一

3、认证集成；1.3 业务围围主要包含用户登录模块、用户管理模块、代理认证模块、服务管理与验 证模块、系统管理模块。使用部门用户登录模块，公司全体员工使用；其他模块，信息中心维护人员使用；服务对象各个集成统一认证的系统L 4专业术语说明序号术语/缩略语全称和解释1.UIA统一身份认证(Unified identity authentication)2.SSO单点登录(Single sign-on)1.5关联业务需求序号关联业务需求需求容描述.6整体计划序号阶段计划完成时间1.需求硅认2012年8月2.完成统一认证系统2012年11月3.完成SSO集成2012年12月4.2业务需求2.

4、 1统一认证2.1.1业务需求描述2. 1.1.1 总体目标建立统一认证系统的目的就是使分布在一个企业部的各个异构系统的认证工作集中在一起，通过一 个公用的认证系统统一管理和验证用户的身份。在SSO Server上认证的用户将获得SSO颁发的一个证 书，使用这个证书，用户可以在承认SSO证书的各个系统上自由穿梭访问，不需要再次的登录认 证。 建立统一身份认证系统的愿景： 建立一个易用的、能跨不同Web应用的单点登录认证中心； 实现统一的用户身份和密钥管理，减少多套密码系统造成的管理成本和安全漏洞； 降低认证模块在IT系统设计中的耦合度，提供更好的SOA设计和更弹性的安全策略2. 1. 1.2总

5、体要求 目前的现状：目前公司容系统主要分为工程系统和办公系统两大块，这些系统主要涉及技术平台分别为 Java. .Net,大多数系统基于Active Directory域认证，一部分核心业务系统基于用户认证或混合认 证。 系统设计总体要求令 能够很好的支持Active Directory认证;令 能够支持用户名、密码混合认证；令 凭据要求符合一定标准，如SAML,以便能够更好的支持一些基于Java平台的工程应用 系统,如 Oracle Primavera P6；令 SharePoint门户支持改变SharePoint认证方式将会对会影响门户的功能，如Office集成功能，要求保持现有 用户体验

6、.2. L 1.3 验证流程2. 1. 1.4 功能描述2. L 1.4. 1 用户登录 统一用户登录令 用户登录各集成单点登录的应用系统时，统一跳转到Web SSO Server登录窗口，登录完 成后返回应用系统，并在客户端浏览器中生成凭据信息。令要求支持多语言：中文、英语 界面请输入您的用户名和密码.弓户名：2 55：Ir 司其省站点灯提示我.登景I S22. 1. 1.4.2 用户管理 用户以域用户为主，支持AD用户同步和映射； 支持和公司现有工作流系统、组织结构系统用户同步（是从AD同步的）现有用户和组织架构是以工作流平台为准的，工作流平台中的用户是从域中定时同步过来的。 要求能够和工

7、作流系统的用户信息集成或同步。 支持非域用户的用户名密码管理临时用户或外来人员没有域，只有工号或用户名，可以通过用户名或工号开特定系统的权限, 需要能够对这部分用户管理起来。对于非域用户，能够单独设定密码，并能修改密码加密、过 期策略.3. 1. 1.4.3 代理认证 托管个人用户凭据对于不能实现凭据共享的系统，要能够从单点登录系统中获取密码，提交给该系统自己验证， 如基于POP3的。可由用户设定，也可在第一次访问时存储。一些集成困难的应用系统，还可以 采用此功能，用脚本注入用户名、密码，post提交登录，实现登录集成。 服务凭据托管能够管理应用系统、服务之间集成访问的凭据。对于应用系统之间的

8、数据集成验证要求，可以 管理访问凭据，ESB平台将会使用到该功能。2.1. 1.4.4 服务管理与验证 需求描述令 能够注册和管理受信任的需要集成SS0的应用系统；能够注册和管理需要进行托管服务凭据的服务； 只有注册并开启验证功能的系统和服务才能通过验证；没有注册过的系统试图验证，跳转 到指定错误页面或登录页面，并给相应提示，防止循环验证。 界面Manage ServicesService HameService UdEnabled Can Proxy SSOServices Managementhttps :/exampl©.wm: 844G/sso/services/2. 1.

9、1.4.5 系统管理 系统设置 AD服务器地址配置令用户同步策略配置能够对凭据的有效期进行设置 能够设置用户同步策略/YYTo«t Applhttp :/* .ezimpk xom: 5080JJU/向dd ncv/ service令 能够设置用户密码策略、密码过期策略、错误重试次数 审计功能令用户登录日志查询2. 1. 1.5 集成要求 SSO-Server提供的三个验证服务接口 （web服务URL）：令 用户登录 URL,形如 https：/casserver/cas/servlet/login令 用户凭证校验 URL,形如 https： /casserver/cas/servl

10、et/validate令 用户登出 URL,形如 https：/casserver/cas/servlet/logout Java系统令 提供基于Java Servlets的SSO Fi Iter ,用来拦截用户请求令 通用Java API Object,用来验证用户名、密码或票据 .Net系统令 提供SSO Http Module,用来拦截用户请求，便于应用集成令 提供基于SSO的Membership Provider,便于应用集成令 提供.Net API ,用来验证用户名、密码或票据2.1.2重要规则及公式说明统一认证系统集成要求:序号说技术平台现状认证模式1采购质量盥造系统java使用中

11、FORM认证，AD和数据库混合2企业协同平台SharePoint2010使用中Windows认证，集成AD3工作流程平台.Net使用中Wi ndows认证，集成AD4员工假期管理系统.Net使用中Windows认证，集成AD5工作文件共享documenturnjava使用中FORM认证,集成AD6文件管理系统documenturnjava使用中FORM认证，集成AD7人工时.Net使用中FORM认证，集成AD8月度绩效.Net使用中Windows认证，集成AD9出差管理系统.Net待开发W i ndows认证，集成AD10金雨商旅服务系统.Net开发中Wi ndows认证，集成AD11会议管理

12、系统.Net开发中Windows认证，集成AD12琮合计划管理系统.Net开发中Wi ndows认证，集成AD注： 以上系统都有源代码Q 企业信息门户基于SharePoint,如果能够实现，清明确是否影响SharePoint功能的影响及影响的围2.1.3 权限定义权限级别分为管理员和普通用户，管理员可以登录后台管理系统，进行日常维护与管理，普通用户 可以修改个人用户信息和密码。基于AD认证的用户密码仍然由AD统一管理。2.1.4 使用频度由于单点登录服务是平台性系统，大多数系统都基于该系统进行用户的身份验证，使用频度较高, 尤其是每个工作日开始的时段。2.1.5 优先级请选择其一：优先级原因高

13、口中口低单点登录服务是大多数系统都需要用到。注：高：监管、公司战略、新产品;中：影响公司对客户服务、影响业务的正常开展；低：其他。2.1.6 非功能需求 性能要求统一认证系统要求能够通过配置实现负载均衡群集或支持分布式部署，从而保证系统的可用性 和性能。令负载均衡群集由于未来大多数系统都将通过Web SSO系统验证身份，特别是上班高峰期间，要求能够满 足至少两个节点的负载均衡群集。令数据缓存各个应用系统在验证用户信息、权限信息时，数据库访问10压力很大，为提高效率，应 合理使用 Cache,如 Member Cache, App Fabric 等。 可柬性要求实现了单点登录后，肥b SS0出现故障将影响所有系统的登录，需通过群集或分布式技术确 保该系统的可靠性。 兼容性要求令 系统集成要兼顾java系统和.net系统；令 界面要支持IE7.0及以上； 操作的便利性令在界面设计上应考虑操作的便利性和界面的友好性，便于用户对系统的理解和操作； 维护性令系统架构合理，便于系统的维护与扩充；令开发代码严格按照编程规约执行，提交代码的可读性； 安全要求令 为了系统集成安全，统一认证系统返回凭据信息应加密传输；令 在统一认证系统上注册过的系统才能获得统一认证支持;令统一认证系统能够支