统一用户身份管控与认证平台解决方案

统一用户身份管控与认证平台解决方案1整体架构2平台能力介绍3账号同步方案建设目标构建内部统一的用户管理体系统一用户管理构建内部统一认证中心、认证枢纽，提供满足一期工程规划的身份认证基础能力实现全业务系统的单点登录功能，一次登录验证，多次访问统一认证中心、认证枢纽单点登录实现基于角色的功能授权及基于功能菜单级的集中鉴权，同时支持分布鉴权，满足业务系统内自鉴权需求；集中鉴权及分布鉴权集中授权及分级授权实现内部用户账号的统一管理，满足“管用审”的集中授权管理与分级授权管理；大数据中心用户、各委办局用户、区各单位用户，web接入方式，通过统一门户单点至仪电门户使用业务用户注册（管理员分配，暂无用户自注册需求）、用户登录功能统一提供，用户身份、组织机构统一管理。沿用门户登录认证设计（账号密码+文字验证码），提供账号密码+短信验证码的功能提供“管用审”集中授权功能，支持各应用系统用户、角色、资源自定义的分级授权与鉴权建设目标用户类型用户/身份管理认证管理授权/鉴权管理根据不同用户类型，实现对用户进行用户/身份管理、认证管理、授权管理及鉴权管理平台名词解释操作标识操作名称操作类型（访问控制/业务执行）应用顺序状态（有效/无效）外系统通过身份管控平台离线接口，同步用户、角色、权限、资源等信息到本系统，由本系统实现鉴权自鉴权外系统通过身份管控平台实时接口，校验用户、角色、权限、资源等信息，实现统一实时鉴权统一鉴权分域（责任域）机构组织行政区域用户组分类用户角色角色标识角色编码角色名称角色类型（责任域）角色描述所属组织所属行政区域权限权限标识归属应用资源类型资源名称操作标识（只读/可写/执行）责任类型（责任域）操作菜单编码菜单名称应用层级顺序责任域资源整体架构大数据身份管控平台由认证数据、认证服务中心、业务子系统三部分组成，实现政务端组织、用户统一管理，用户统一入口登录区域区域员工机构角色岗位权限应用资源认证数据区域、机构、员工、应用、角色、权限、资源数据同步服务统一鉴权服务认证服务中心自鉴权统一鉴权业务子系统认证主流程目录1整体架构2平台能力介绍3账号同步方案功能架构图系统管理配置管理认证鉴权服务身份管控平台日志管理认证引擎系统设置字典管理IP黑白名单基础权限管理系统监控账户管理应用管理资源管理角色管理授权管理会话管理组织机构岗位管理小组管理权限管理区域管理角色管理认证方式管理个人中心登录认证身份认证统一鉴权接口统一授权接口大数据中心身份管控平台由配置管理、认证鉴权服务、系统管理三部分功能组成。认证鉴权服务能力用户服务票据服务应用服务角色服务权限服务区域与组织机构服务6大类服务28个能力接口提供登录地址、登出、获取用户列表、修改邮箱、修改手机号、修改昵称、修改密码、修改用户信息、获取用户列表、获取用户信息能力提供获取一次性票据、获取登录令牌能力提供根据各种条件获取用户角色列表能力提供应用列表、单个应用资料信息、应用内资源列表、平台所有资源列表、单个资源信息、权限鉴权、跳转重定向路径能力提供根据各种条件获取用户权限列表能力提供获取区域列表接口、组织机构列表配置管理-账号管理管理人员/工作人员用户2账号1……用户N2.账户与机构关联3.用户信息管控市……区人民政府……市……区……街道1.机构建立及上报用户信息修改用户锁定/解锁用户授权构建市管理中心机构，用户账户添加后与机构相关联，并提供对用户信息进行维护管理，包括用户信息修改，用户账号锁定、解锁，以及为用户进行授权等。配置管理-机构维护及上报提供对机构进行新增操作，并可对机构信息进行修改。注意事项：统一社会信用代码为必填，18位，上报和编目需要正确的统一信用代码新增、修改机构机构新增或修改后，若要生效，需进行机构向上申报。注意事项：上报需要正确的统一信用代码，申请上报后该机构不可编辑。上报机构支持对机构信息进行新增、修改、申请上报。配置管理-用户密码修改及锁定支持对用户密码进行修改，同时可将用户账号进行锁定/解锁。提供对用户密码进行修改。用户密码修改提供对用户账号进行锁定、解锁操作。注意事项：一天内输错6次密码会将用户自动锁定30分钟，30分钟后会自动解锁，也可以手动解锁。上报机构配置管理-用户管理及授权支持对用户进行管理及授权。用户新增及修改用户授权1.支持对用户进行新增、对用户信息进行修改。2.支持给用户进行授权，系统根据不同角色分配，实现不同用户可进入对应子系统进行功能操作。1整体架构2平台能力介绍3账号同步方案对接方案-新建账号消息监听程序消息推送kfaka身份认证平台政务工作人员统一门户管理员新建账号1、管理员基于政务门户新建账号，并基于政务门户发布订阅消息系统实现账号信息的推送。2、各应用子系统通过Kafka监听政务门户推送的账号信息，并及时完成账号对接入库。数据入库对接方案-历史存量账号对于子系统现有存量用户，系统采用批量导入的方式将账号一次性转至政务门户系统。批量导入增加GXPT-前缀政务工作人员统一门户统一门户账号体系身份管控平台历史存量账号账号1账号2账号N用户账号汇总规则为避免导入账号和已有账号重复，采用系统标识+原有账号的规则在统一门户生成新的账号。例如原内容报送系统账号aaa，初始化至统一门户时将新建账号NRBS-aaa，用户经由统一门户跳转至内容报送时，可将前缀截去，从而定位到内容报送系统