统一身份认证平台功能描述

1、数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述-1-1.1 产品简介-1-1.2 应用范围-2-2 产品功能结构-2-3 产品功能-3-3.1 认证服务-3-3.1.1 用户集中管理-3-3.1.2 认证服务-3-3.2 授权服务-4-3.2.1 基于角色的权限控制-4-3.2.2 授权服务-4-3.3 授权、认证接口-4-3.4 审计服务-5-3.5 信息发布服务-5-3.6 集成服务-6-3.6.1 应用系统管理-6-3.6.2 应用系统功能管理-6-3.6.3 应用系统操作管理-7-1产品概述1.1 产品简介随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应

2、用系统之间的身份认证管理和权限管理出现越来越多的问题：?用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登录系统时需要多次输入用户名/密码，操作繁琐。?各个系统之间的账号不统一，形成信息孤岛现象，导致学校管理工作重复，增加学校管理工作成本。?新开发的系统不可避免的需要用户和权限管理，每一个新开发的系统都需要针对用户和权限进行新开发，既增加了学校开发投入成本，又增加了日常维护工作量?针对学生、教职工应用的各种系统，不能有效的统一管理用户信息，导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账号，为学校日后的工作带来隐患。?缺乏统一的审计管理，出现问题，难以及时发现问题原因。

3、?缺乏统一的授权管理，出现权限控制不严，造成信息泄露。统一身份认证平台经过多年的实践和积累，通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计，有效地解决了以上问题，赢得客户的好评。1.2 应用范围主要用户主要功能管理员系统可以不用报个设置、业务系统管理员权限分配业务系统管理员业务系统功能维护、权限划分产品功能结构教务系统学工系统一卡通系统人事系统0A系统学校邮箱网易邮箱学校论坛腾讯QQ证书贫源服务器,源a e +教师工学生 K 领导 I其它人员认证服务授权服务审计朋客标准规范分皱授权集成胭务SSO性能优化配置管理口令管理加甯服务解密服务CA认证发布服务35 口代理 SSOAPI W

4、ebAPI GA认证L附P认证戢证拓扑结构、L口AF标准认证数据犀CLDAP目录服务）杈限数据库用户认证资源接口 应用服务 存储统一身份认证平台功能结构图3产品功能3.1 认证服务3.1.1 用户集中管理统一身份认证平台集中管理学校的所有教职员工和学生信息，所有的用户信息和组织机构信息存储在基于LDAPW议的OpenLDA用录服务中，保证数据的保密性和读取效率。通过用户同步功能，及时地把关键业务系统中的用户信息同步到统一认证平台中，然后通过平台再分发给需要的业务系统，保证账号的一致性。为所有的用户设置权限生效起止日期，即使不对用户做任何操作，在权限生效期外的用户也无法通过认证，保证了系统的安全

5、性。用户管理3.1.2认证服务认证服务是统一身份认证平台的核心服务，通过认证服务，可以实现如下功?为用户提供单点登录功能，实现“一次登录、处处登录”。?为业务系统登录提供统一的接入入口?新开发的系统不用再进行用户部分的开发，直接调用认证平台提供的认证服务即可完成系统认证。3.2 授权服务3.2.1 基于角色的权限控制平台提供了基于角色的权限控制，通过每个业务系统的角色可以划分为系统角色和用户角色。系统角色拥有整个业务系统的控制权，用户角色拥有业务系统授权访问的控制权。通过建立不同的用户组，聚合不同的角色，为用户划分权限。用户组的划分可以根据学校的实际情况划分学生组、教职工组等。用户组的权限如果

6、不能满足用户的需要，可以直接给用户分配需要的角色，不再局限于用户组，授权形式更加灵活。通过用户分组操作，可以批量为用户分组，实现批量授权。3.2.2 授权服务平台提供了统一的授权服务，各业务系统通过调用平台提供的服务接口，无须重复开发业务系统中权限管理模块的功能，缩减了建设周期。3.3 授权、认证接口授权、认证接口为第三方应用系统接入统一身份认证平台提供了一个安全的通道，通过授权认证接口，可以获取用户身份认证、用户信息、单点登录、获取用户权限列表，接口特点如下：?认证接口支持多种接入形式：Webservice和API。?支持多种认证接入类型：应用系统、应用系统功能、应用系统操作。?支持多种开发

7、工具(.NET、J2EEDELPHIPBASPPHPVB。3.4 审计服务为了确保信息访问的安全性，系统提供了对用户在认证访问过程中所有的操作进行全程监控的功能。在这期间不管用户做什么操作都会被审计跟踪系统进行记录下来，一旦出现什么问题可根据记录的内容进行追溯。2007-8-5司"*+3"E才匕.。匕.限“二-|Wff5：工霏*3s*|中*±1卡青*史芝彝4副说*士3下-血笈也全建日吉类型操n者酬血站果am制制签建堂匈手装小江E古李近节晕找一削学"营师743厂114WW；厂手巧办证日志李飞甘帛而一身用口讦砰即久的i加5力氏“。才r军精网日志辛飞皆事均一寻

8、由U了呷认证蚓3MH兴3旅!0751r窜谋WIE由ITg打金蒙讣皆Q后恨它理UW弗通3rT.M5,i7'5S勺任三总乐氏ULEB窸VmJuIwi身矛期,口情3近百剪从2感1思2DCJ.9J15J7M导出叼a手里小金匕志JuAJmsi基宗政一身帚L近哲坦AVJ-P.Jr#StL证E志李"现晕就一品个小证言相认臼inAL7-J-3i4ior星珏“证m志UnzdhWi号MS8一易得a止告评想计成mW-9-315)09>1F系近小壶E志小一式子照同由NW管理认座威力2MJ7.1MT-4Jr系西口证日由115.讣和苣子华月像L迎髭躯UG曲Mf忆r亨胴佐证日志UmAJimi司帛林一

9、身用小证代尸M订加皿741HHJJ龙且1审计服务3.5 信息发布服务在统一身份认证建设和认证系统集成过程中，为了方便学生和老师及时掌握系统认证集成进度和登录方式，可通过信息发布管理系统把信息发布到统一身份认证的首页上。同时把平台使用的关键功能以帮助文档的形式发布出来，方便学生和老师使用平台功能。信息发布服务3.6 集成服务统一身份认证平台为业务系统接入提供集成管理服务，主要包括应用系统集成、应用系统功能集成、应用系统操作集成。3.6.1 应用系统管理业务系统接入统一身份认证，需要在认证平台中注册有关应用系统的信息:丽HIa产加用峥记术本世用用法毫立圈日。隔用事国修什fifflrMdBPL7S甘

10、伫后京瑜pM"】刃讦和王用孑境即用满理不稀mi*泥总no弓不利里用事听刎“用Y丸"硒写任r运遍串椎Mfl«KJiOQa佛句小*JH前生M鼻铲rJli.UtIlllO710好3ffl必B11胜r序以曹建麻蛾如屋越尼丸白夫怔粗筝.始JHI幻.祖日勾iJbejJbilt林整理雪法*卬年期尾丑一小冲与整灯型wM35：WJL6J1DI应用系统管理3.6.2 应用系统功能管理业务系统接入统一身份认证，需要在认证平台中注册有关应用系统功能的信息:k厚为Fit值9卜金豺右聿W听尊成*理表抗!du和告妻充场i；犀!京A系新-性般日净东搅i64嘴智建4M撵柞部才产至应用系统功能管理3.6.3应用系统操作管理统一身份认证平台的权限可以控制到应用系统某一功能的具体操