统一用户管理与认证平台需求说明书

1、系统息网应用山南区教育信息系南网山应区统教育用信统一用户管理与认证平台需求说明书项目及文档信息项目经理杨巨龙客户负贡人石义琦文档编号项目名称流水号项目代号文档类型模板痂号合阿号2008930发布口期：曲山区教育信息网应用系统项目合问编号版本信息代收删除：代表修改，D*A代表新增,M版本号发布日期提交人审阅人AMD更新位置更新摘要1.02008-9-30A拟初稿1弓I言31.1编写目的3背景L23定义L33参考资料L44任务概述242.1目标4用户的特点42.2假定和约束2.353需求规定53.1 对功能的规定5统用户管理53.1.1统一认证与单点登录3.1.27应用系统自身的用户及认证管理3.

2、1.383.2 对性能的规定8精度时间特性要求83.2.2灵活性93233.3 输人输出要求9用户信息93.3.1认证信息3.3.293.4 数据管理能力要求93.5 故障处理要求93.6 其他专门要求94运行环境规定94.1设备9支持软件4.210接口4.3101控制4.4引言1.1编写目的本文档的编写目的在于确定南山教育信息网统用户管理与认证平台的需求内容，成为后续开发建设和验收的依据。在应用系统的建设中，用户身份和认证信息的管理是最关键的部分。但是由于需求总是在不断变化和发展，应用系统也会不断的增加或淘汰。因此，应用系统通常都是在不同平台上、由不同开发商开发，使用的技术不致，容易造成每套

3、系统都有独立的用户身份管理，登录不同应用系统需要多次登录。对于用户来说，每增加个新的应用，需要记忆套新的用户名/密码，负贲的业务范围越大，需要记忆的用户名/密码组越多。设定样的密码，不够安全：密码设定不样，记忆困难，每次访问应用系统，需要重复输入用户名/密码，在个系统中修改了密码，其他系统的密码不会随之改变。对于系统管理员而言，没有个统的用户管理系统，就会在新进人员时，需要到众多系统中逐建立帐号：人员离职时，需要到众多系统中逐删除帐号，给系统管理员的工作造成了繁重负担，还容易造成各系统中人员身份信息的不i致。对于南山区学校领导、教师和学生等用户，由于其可以享受大量教育资源服务，为防止他人冒名顶

4、替、盗用资源，故须对这些“合法”用户要进行统一的实名认证。1.3 定义统认证平台：南山教育信息网的应用支撑性平台，包括了统用户、应用资源的管理以及各应用资源的统一认证管理。统用户管理：负责管理南山教育信息网全体实名用户的身份管理，并分配各分项应用系统中具有使用权的用户，将统用户信息同步到应用子系统中。用户通过平台统负责南山教育信息网的统用户认证以及单点登录支持，统认证：登录之后可以单点登录访问其权限范围内的各分项应用系统，单点登录需要各应用系统支持统一-认证接口。1.4 参考资料招标文件南山区教育信息网应用系统软件开发与集成服务2任务概述2.1 目标（1）用户组织与权限管理：建立,套有效的用来

5、管理网络资源、用户身份的平台，实现组织、用户和资源的集中管理和授权，管理员不再分散管理用户，系统具有很高安全性和灵活性。（2）统认证管埋：单点登录功能是实现统身份认证系统的首要目标，实现让用户在经过次网络身份验证后，就可以访问所有授权的网络资源，而不需要额外验证，支持多种认证方式（用户名密码、证书、USB）。这里的网络资源.主要是指基于Web方式的应用系统。（3）应用系统管理：在实现了用户统认证的基础上，制定出一套规范的用户单点登录机制，提供用户身份统访问接口，要求所有新建且可以经过统身份认证系统认证的应用系统，涉及的账号定是统,身份认证系统的用户帐号。这些应用系统必须被统身份认证系统所管理，

6、管理平台设置可以访问此应用系统的用户、组织或角色等。（4）旧系统策略：提供自动代理登录（自动登陆到其它目标业务系统）功能，实现统用户可以单点登录旧系统，代理登陆所需要的用户信息保存在独立数据库中。（5）日志管理：可以查看用户登录以及用户同步的日志记录。2.2 用户的特点南山教育信息网的用户涉及到南山教育局以及下届的各个学校和机构的全体用户，具体包括：约I万的教职工用户，约10万的中小学生用户、约10万的家长用户。所有这些用户（如某个而各个单位平台管理员有权管理所有的用户信息，都将由统认证平台统管理，学校）的管理员可以管理本单位的用户信息，普通的用户可以使用自己的帐号通过平台进行统登录，然后单点

7、式的访问南山教育信息网类自身具有权限的应用系统资源，不再需耍为访问某个应用系统而分别输入用户、密码。2.3 假定和约束南山教育信息网具备全局的统用户库，各分项的应用子系统可以仍然具备自身的用户体系，但用户信息源于统用户库，用户的产生由统用户管理负责，各应用系统接收平台发送的用户同步信各应用系统必须提供相关的接口以支持单点登录，对于已有的应用系统而言，通过基于用户映射的代理访问方式，不需要单独开发单点登录接口。3需求规定3.1 对功能的规定3.1.1 统一用户管理平台提供南山教育信息网全体实名用户的用户资料信息集中存储，这些资料由统用户认证平台集中管理，平台管埋员可以维护所有人员的用户信息，各单

8、位的管理员只能维护其本单位的用户信息。用户的信息包括应包括3个层面的含义：1、用户的人事类基础信息，诸如姓名、性别、户籍、身份证、职务、联系电话、电子邮箱、学历、学位等等，这些信息不涉及安全登录，但可以作为用户登录帐号信息的生成来源。2、用户的帐号信息，诸如登录帐号、密码、密码有效期、登录方式等，这些信息涉及安全登录，在进行用户认证时，构成校验信息的主体。3、权限信息，指用户可以访问哪些应用系统资源。统用户管理具体由以下功能组成。3.1.1.1 人事信息管理人事信息资料的管理是帐号管理体系的基础工作，它具有对学生人事信息和教职工信息帐号查询等功能。检验、增加、统计、修改、提供人事信息查询、的管

9、理职能，（含局机关）.系统应支持从Excel批量导入人事信息的功能，同时也支持针对单个个体的创建及维护功能，便于管理。3.1.1.2 帐号信息管理帐号管理是整个统用户管理体系的核心，它负责用户登录帐号的生成、注册、挂失、解挂、维护等功能。帐号信息至少包括登录帐号、密码等，作为与应用系统进行用户同步的基础，帐号信息也包含主要的一些人事类信息，如姓名、性别、身份证、民族、籍贯、职务等。用户的帐号必须唯，同时其密码的设定应不能过于简单，安全起见应具备定的复杂度。对于用户个人来说，应该具备密码修改的功能，保证其帐号的安全性。3.1.1.3 应用系统管理作为用户管理主体，统用户认证平台负责了整个南山教育

10、信息网的全体用户信息的管理，各分项的应用系统受平台管理约束，各系统的用户信息来源于统用户，为了将统用户信息分配到各个子系统，需要将应用系统注册到平台之中，并记录各系统支持用户信息同步的接口。3.1.1.4 用户权限管理南山教育信息网的用户并不是可以访问全部的应用系统，因此必须具有相关的权限管理。统认证平台的用户权限管理并不涉及到用户对于各个应用系统的业务权限，而是指定哪些用户可以访问哪些应用系统，分配个用户可以使用哪个应用系统之后，他的用户信息就被同步到相应的应用系统之中。3.1.1.5 用户信息同步用户具备某个应用系统的权限之后，他应用在该系统中具有用户身份，由于用户信息由平台统管理，因此就

11、需要将用户信息同步到应用系统中。同步的用户信息指的是用户的帐号信息，平台应具备通用的用户信息同步接口，负责将各系统按照平台的规范性要求实现自统帐号信息以通用的接口方式发送给各个应用系统，身自身的用户信息同步接口，获取统用户信息后，完成用户从平台到各系统的新增、修改、删除的同步操作。3.1.1.6 日志管理系统具备用户同步日志管理功能，可以查看同步是否成功，同步不成功时也可以看到具体的错误跟踪信息。系统具备用户登录日志管理功能，可以查看用户的登录情况。3.1.2 统一认证与单点登录3.1.2.1 统一认证作为南山教育信息网的应用基础，统认证平台应提供用户帐号身份的集中验证功能，验证通过之后，用户

12、具有的全局的身份，当他再访问网内的其他应用f系统时，不再需耍进行身份认证。统认证只需要支持B/S架构的认证方式，具体可以支持NTLM、Kerberosv5.0,BASIC认证、摘要认证、LDAP认证等多种认证协议，并支持用户名/密码、数字证书、卡认证等多种认证方式，以支持在不同应用场景下的用户认证请求。对于南山教育信息网本期项目而言，只统使用用户名/密码的认证方式。在南山教育信息网主门户网站中，将提供统的登录入口，用户登录之后，进入其个人首页，个人首页中提供用户有权访问的应用系统资源,用户从该处可以以单点登录的方式进入各应用系统。3.1.2.2 单点登录用户经过统认证之后，方式南山教育信息网内

13、各夕应用系统时，应支持单点登录功能，用户只需输入次用户名和密码，就可访问平台所有被授权访问的系统，而无需二次输入用户名和密码。平台需要支持2类B/S结构的应用系统的单点登录：1、使用统帐号的新建应用系统，其单点登录支持需要支持各种异构系统，比如基于微软技术的、Java技术的、Php技术的等等，这种方式对于用户来说使用的就是统帐号和则需要按照平台的规范性要求实对于应用系统来说，不需要其自身再进行任何设置，密码，现单点登录接口，能够获取到用户的统一身份信息。2、非使用统帐号的原有应用系统，其单点登录支持的是基于Form的表单式认证，平台提供用户自助式的原系统用户名、密码配置界而，用户配置好原系统的

14、认证信息后，在访问原系统时,平台将身份信息以代理的方式提交给原系统，完成登录。3.1.3 应用系统自身的用户及认证管理南山教育信息内各新建的应用系统的用户管理和认证与统用户管理认证平台做整合，以统用户管理认证系统为主，以应用系统自身的用户管理和认证为辅。3.1.3.1 应用系统用户管理各应用系统仍然具备自身的用户管理，保持其独立性。主要维护其本系统内的些统用户之外的个性化信息参数，用户的创建由平台发起，不能由应用系统首先创建。应用系统需要开发用户信息同步接口，负贲本系统内用户帐号信息的创建、修改、删除工作。平台在授权后会将用户帐号信息同步到应用系统中，平台在删除用户后也将通过同步接口将用户从应

15、用系统中删除。3.1.3.2 应用系统用户认证各应用系统仍然可以具备自身的用户登录认证功能，保持其独立性。应用系统自身的登录认证,只完成其本身的登录，并没有登录到统一平台。3.2 对性能的规定3.2.1 精度支持10万级用户的身份认证，支持3000并发认证。3.2.2 时间特性要求响应时间在2秒以内，不能超过5秒。3.2.3 灵活性系统从结构上及功能上应该具备良好的灵活性，能够满足用户不断发展的复杂业务需求。降低使用维护过程中的难度。3.3 输人输出要求3.3.1 用户信息用户基本信息至少包括姓名、性别、身份证、所属单位。3.3.2 认证信息用户认证所需的帐号信息至少包括登录帐号、密码、密码有

16、效期。3.4 数据管理能力要求能够管理20万级别的用户信息管理。3.5 故障处理要求系统具备集群功能，防止系统单点故障。3.6 其他专门要求无4运行环境规定4.1设备2台TAM服务器，4台WebSeal服务器，性能条件建筑在以下具体配置要求之上：)二级缓存2x6MB集成前端总线，1333(2.66GHz,处理器5430XeonIntel两个四核1.2 .8GB(4x2GB)两路交错PC2-5300全缓冲DDR2-667内存3 .支持高级ECC,镜相内存和在线备用内存，8个内存插槽，最大内存可以扩充到32GB：4 .集成双千兆网卡，带TCP/IPOffload引擎，可实现加速iSCSI,2个I/O扩展槽：5 .集成SAS智能阵列控制器，支持RAID0