统一认证系统-设计方案

基础支撑平台统一身份认证平台概述建设方案单点登录系统采纳基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校内平台用户供应平安的一站式登录认证服务。为平台用户以下主要功能：为平台用户供应“一点认证，全网通行”和“一点退出，整体退出”的平安一站式登录便利快捷的服务，同时不影响平台用户正常业务系统运用。用户一次性身份认证之后，就可以享受全部授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。供应多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以便利敏捷地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。系统遵循自由联盟规范的LibertyAllianceWeb-BasedAuthentication标准和OASISSAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与将来的系统的高兼容性和互操作性，为信息化平台用户带来更加便利、稳定、平安与敏捷的网络环境。单点登录场景如下图所示：一次登录认证、自由访问授权范围内的服务单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户供应更有效的、更友好的服务；一次性认证削减了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体平安性。同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署便利快捷。系统技术规范单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。Liberty规范是国际170多家政府结构、IT公司、高校组成的国际联盟组织针对Web单点登录的问题供应了一套公开的、统一的身份联盟框架，为客户释放了运用专用系统、不兼容而且不向后兼容的协议的包袱。通过运用统一而又公开的Liberty规范，客户不再须要为部署多种专用系统和支持多种协议的集成困难度和高成本而伤脑筋。Liberty规范的联盟化单点登录SSO（SingleSignOn）系统有以下特点：可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，供应单点登录服务；联盟的应用系统无需大量改造，不须要用户信息大集中，不影响系统原有业务逻辑与性能；以用户为中心，爱护用户信息平安和隐私；支持多种、多等级的、平安的用户登录认证方式等。支持的认证技术联盟化单点登录原理与场景图示：同域单点登录跨域单点登录单点登录系统功能单点登录支持单点登录、单点登出支持平台平安域下用户的“一点认证，全网通行”和“一点登出，整体退出”。支持多个IDP/SP间的联合互信支持符合LibertyAlliance的SP或IDP间的联合互信,可依据SP的信任程度确定是否联盟。支持联盟信息的管理支持IDP联盟信息的管理或配置功能。不影响正常的业务逻辑与性能。支持LibertyID-FFv1.2规范系统供应一个完整的联合互信平台以支持最新的LibertyAlliance联合互信标准LibertyID-FF1.2规范；支持Liberty规范中的全部功能，包括单点登录、整体退出、账号联盟和解盟、注册名重新注册(AccountLinking)、联合互信等功能；系统本身供应了一个完整的LibertyAlliance联合互信平台，以部署在各个须要通过联合互信标准集成的SP方，以加快IDP和各SP的集成；供应扩展的站点转送功能，为客户供应更符合实际应用的功能；一个IDP服务器可以同时支持一个或多个SP服务器；一个SP服务器可以同时支持一个或多个IDP服务器；系统供应标准的Java的认证、单点登录和LibertyAlliance联合互信的SDK以支持便利和敏捷的应用集成；支持多种、多级别认证方式支持多种认证方式，已经支持的就包括LDAP认证、JDBC认证、SecurID认证等；系统具有标准的可扩展认证接口（如支持JAAS），可以便利敏捷地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证；支持分布式认证的部署方式：即将认证界面部署在任何一个Web应用服务器上，而实现多种认证支持的统一认证服务器部署在内网中，以保证认证的平安性和扩展性；系统本身支持session的互信机制；系统支持多级别认证方式：用户名/密码认证、数字证书认证、动态口令认证，等等。通过适配器的扩展，可以支持更多的认证方式；支持多种应用场景的认证恳求门户认证：支持接收自服务门户的认证（个人用户门户、SP门户、运营商门户）恳求；支付认证：支持支付流程中须要用到的支付平安认证恳求；业务认证：支持业务流程中须要用到的用户身份认证恳求；单点登录认证：支持单点登录的认证恳求；支持认证方式的生命周期管理；支持认证方式的注册、修改、删除；支持认证方式状态的变更（开通、暂停、复原、注销）；支持认证方式相关参数的配置；支持认证等级的配置。认证的平安限制主要保障身份认证的平安，基本要求如下：平台用户身份认证平安限制凡是输入用户名/密码的页面均由平台供应；凡是输入用户名/密码的地方均采纳S的方式进行通信；第三方系统用户身份认证平安限制对于第三方系统身份识别主要依靠于第三方系统，身份识别流程应综合考虑用户体验和流程平安性，全部传送过程中都对信息进行加密操作。其它认证平安手段限制服务器与服务器之间都采纳数字证书认证，保障通讯双方的平安性，防止盗链等现象的发生。兼顾敏捷性和通用性单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器，不须要依靠其它的应用服务器；集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括：Apache,MicrosoftIIS，Sun/NetscapeWebServer；Tomcat，BEAWebLogic,IBMWebSphere,SunJavaSystemApplicationServer；等等。单点登录支持爱护型单点登录方式（即将应用通过Agent爱护起来的平安方式），也支持代理单点登录方式；支持同域或跨域的联合互信、单点登录。在一台机器上运行多个服务器在一个单点登录服务器上同时运行IDP和SP服务器；在一个单点登录服务器上同时运行多个SP服务器;在一个单点登录服务器上，就可以建立起一个完整的信任圈和联盟化商业网络；在学校内部运行一个单点登录服务器，可以支持全部的Web应用系统的单点登录；电信或ASP只需一个单点登录，就可以为全部的SP供应基于Liberty的Web单点登录功能；强大的管理功能，可以独立管理单点登录中的每个服务器实例，包括IDP服务器和全部的SP服务器；敏捷的Web管理界面同一个管理界面，管理全部的IDP和SP服务器；管理界面依据服务器的角色（IDP、SP、或者同时是IDP和SP）而自动调整管理功能；统一管理全部合作伙伴的联盟信息；供应快速建立合作和联盟关系的功能；管理一个或多个数据源，包括关系数据库和LDAP书目的数据源，同时供应数据源连接测试的功能，以保证配置无误；可以为每个服务器独立配置数据源；改动服务器配置而不须要重新启动服务器，为客户供应24x7的可用时间；全方位的证书管理功能供应全方位的证书和密钥管理功能，包括签名密钥和证书、SSL服务器证书、SSL客户端密钥和证书等；生成新的公钥和私钥对，支持标准的算法（RSA和DSA），支持不同长度的密钥，包括1024位、2048位、4096位等；生成自己签发的证书，支持X.509v3的证书格式；生成和导出证书恳求信息；最简洁运用的证书导出和导入的功能，包括导入从证书机构接到的、和从合作伙伴接到的证书。易用的元数据交换功能供应快速建立合作和联盟关系的功能；采纳单点登录，建立联盟关系不再是困难的事情，只须要点击几下就可以完成的工作；全方位的元数据导出和导入的功能，加快建立联盟关系的速度和避开无谓的错误；元数据导出和导入的功能，一步到位，一次性把全部建立联盟关系的工作完成；强大的机群部署功能强大的机群部署功能，管理员通过一个Web管理界面，可以管理机群中的全部服务器节点；全部服务器节点都是同等的，没有主从的概念，任何一台服务器节点都可以独立运行；全部服务器配置和SSO会话信息在机群的节点上实时同步，自动供应故障转移（FailOver）的功能；可横向扩展的机群部署，支持最严格的容错（FaultTolerance）需求；支持基于硬件或基于软件的负载均衡器。系统功能特点单点登录单点登录平台单点登录技术基于国际联盟Liberty1.2规范，同时与市场同类技术相比有着以下优点：全方位支持标准LibertyID-FFv1.2规范，支持从中型到最大型的联盟化部署，支持规范中全部功能：单点登录、整体退出、账号联盟和解盟等功能；扩展站点转送功能，为客户供应更符合实际应用的功能；支持SAML（SecureAssertionMarkupLanguage平安性断言标记语言）规范、XML（ExtensibleMarkupLanguage扩展性标识语言）数字签名规范、SOAP（SimpleObjectAccessProtocol简洁对象访问协议）和Web服务协议等；支持跨域部署模式，供应跨域单点登录功能；支持多种多级登录认证机制，如用户名/密码、动态口令、等等；支持现有的用户管理系统，包括LDAP（LightDirectoryAccessProtocol，轻量级书目访问协议）书目、数据库，等等；支持多种多级认证方式：一般口令、数字证书、动态口令、指纹识别、IC智能卡等认证方式，支持第三方认证系统、权限管理系统；系统功能强大：单点登录的设计就是要能支持多服务器合为一体的身份联盟服务器，在同一个机器上同时支持身份供应方（统一身份管理与认证服务供应方）和SP（ServiceProvider应用服务供应方）的服务器角色，而同时又能在统一个机器上运行多个SP服务器。对于整个信息化平台只须要一个单点登录服务器就可以为全部的应用服务体统无论是同域还是跨域的供应单点登录功能，为用户供应全面的单点登录服务；基于应用场景的系统管理方式：基于Web的管理界面可以帮助第一次接触Liberty或阅历丰富的管理员，按按部就班的步骤，完成端到端的系统配置，从而将配置错误和困难性降至最低限度，同时管理界面能具有当场检查和验证配置参数的功能，捕获和甚至防止在配置时的错误，从而将人为的可能错误降至最低限度，这为管理员大大降低了运行时调试的时间；快速的联盟系统集成方式：采纳单点登录解决方案，应用系统的单点登录服务的集成是一件最简洁不过的事情。一般只需点击几下就能完成与联盟合作伙伴的连接，而且管理员可以很简洁的从一个中心管理平台管理整个网络的服务器，和全部集成单点登录服务的应用服务的信息；支持联盟的部署架构：采纳单点登录的解决方案，管理员可以在同一个地方管理全部的协议定义、PKI私钥/公钥和证书、连接方式等信息，而不须要维护多个版本、多份服务器配置和信任关系的信息，单点登录能将部署在不同平安域里的高校Web应用系统联盟起来的实力使业务与业务系统间的联盟部署更便利，而且可以大幅度的降低管理成本；系统支持以下的操作系统：Windows、Linux、Unix；电信级的稳定性、可扩展性：单点登录是为中型到最大型的联盟部署设计的，所以能支持应用服务系统在大型数据中心的部署，供应全方位的机群部署和数据同步功能，为客户供应电信级的横向可扩展性，服务器配置、联盟连接、合作伙伴的信息、PKI私钥/公钥和证书等信息，都在整个机群中的全部节点同步SSO会话和联盟事务在机群中的节点实时同步，为客户供应实际的负载均衡和故障转移的功能，单点登录支持24x7的可用时间的客户需求；全面的集成开发包：单点登录是市场上供应最全面的集成开发包的身份联盟服务器，支持当今绝大部分的主流Web应用服务器技术，更全面的为客户供应解决方案。供应以下的集成开发包（SDK）：基于Java的SDK基于.Net的SDK基于ASP的SDK基于PHP的SDK单点登录所供应的SDK使集成现有的用户认证系统和Web应用系统更快速、更便利。平台性能单点登录只在用户登录和退出的时候才被激活，而用户在应用系统中进行正常的操作的时候，根本不和单点登录打交道。也就是说，单点登录本身的处理速度不影响正常的业务运作。不仅如此，就是单点登录的认证速度也是和传统的本地登录没有什么区分。运行一个单点登录服务器进行测试，在0.2-0.3秒（1分钟处理200次的恳求）之内完成一个单点登录的认证，1000并发用户登录响应时间小于3秒。系统部署本期信息化建设将整合现有须要实现单点登录的业务系统，可以依据以下集成部署。拓扑结构如下图所示：单点登录集成拓扑结构图拓扑结构组成：IDProvider(IDP)：一个身份验证和管理服务供应方，在这里选择门户平台作为IDP，把校内网用户管理系统的用户信息作为用户统一身份认证信息。ServiceProviders(SP)：多个Web应用服务，包括教务管理系统、校内网用户管理、图书管理系统、邮件管理系统等。联盟框架：联盟化身份验证服务器（SSOServer），供应联盟化单点登录基础框架。系统集成拓扑结构：集成拓扑结构系统集成部署过程如下：单点登录服务器独立运行，选择长久化系统，可以是关系数据库或者LDAP用来存放用户联盟信息。应用服务器（SP）须要供应集成所需的登录、退出过程源代码。一个Agent模块嵌入到应用服务器（在登录和退出过程中加入单点登录SDK），只在用户选择单点登录服务时，在登录与退出过程中才激活，不影响原有系统业务逻辑（可以保留原有登录模式），不影响系统性能。说明：Agent是一个软件库，负责单点登录服务器与应用服务器之间的互动工作，属于SDK的一部分，SSO系统供应了大多数应用服务集成须要的SDK，如Java/ASP/C#/Php等等。SSO供应统一的管理平台，通过管理平台可以远程管理全部集成了联盟关系的各个应用系统，管理界面如下图所示：SSO远程管理平台主要功能包括IDP服务器管理、SP服务器管理、通信证书管理、数据源配置、机群部署等。提高整体平安度运用标准的平安协议，以供应整体的平安度；通过平安的联盟协议降低用户在网上传送用户名和密码的次数，大幅度降低账号被盗窃的机会；通过系统联盟(联合互信)实现单点登录而无需推翻已有的基础设施，充分利用现有的系统，爱护已有的IT投资；将高校平安模式扩展到整个联盟化网络，整体提高网络的平安度；优于市场上其他产品之处还包括：不运用COOKIE存储用户信息，保障用户信息的平安性；不运用密码比照表，而通过用户身份联盟（AccountFederation）实现身份管理；通过平安讯道(s)传输身份认证信息，而且采纳匿名信息，应用系统双方都无法获得用户在对方系统中的真实身份，爱护用户隐私。认证的平安限制主要保障身份认证的平安，基本特点如下：平台用户身份认证平安限制凡是输入用户名/密码的页面均由平台供应凡是输入用户名/密码的地方均采纳S的方式进行通信。第三方系统用户身份认证平安限制对于第三方系统身份识别主要依靠于第三方系统，身份识别流程应综合考虑用户体验和流程平安性，全部传送过程中都对信息进行加密操作。其它认证平安手段限制服务器与服务器之间都采纳数字证书认证，保障通讯双方的平安性，防止盗链等现象的发生。通讯协议与信息平安为了保证用户信息的平安，单点登录平台平台保证用户在登录或退出时，用户在网上传输的全部信息都受到全程的平安爱护。全部信息都可以全程加密，而且通过平安通道传输。单点登录平台服务器之间通讯在Liberty联盟化网络中，单点登录平台服务器与其它单点登录平台服务器通讯时，都是采纳标准的Liberty协议，遵循Liberty的全部规范。并且信息传输可以用s加密，以保证信息在传输时不被窃取。同时单点登录平台服务器供应了强大的证书管理功能，以保证设置s或SSL的工作是一件简洁的工作，就算对证书管理和运用不太熟识的管理员，也可以平安的配置服务器。单点登录平台服务器与Web服务器之间通信嵌入在Web应用服务器上的Agent与单点登录平台服务器通信时，全部信息都封装在一个平安的信封结构里，叫做ID-Token。ID-Token用AES算法加密，采纳128位长度的密钥加密。加密密钥只有Web应用服务器与其相对应的单点登录平台服务器共享，所以就算ID-Token在网上被拦截了之后也无法被解密。如下图所示：单点登录平台通信协议说明：每个ID-Token都有时间限制，一般设为5分钟。过了时间限期的ID-Token一概不处理，都会被系统扔掉，所以这个平安措施有效地阻挡了重放攻击的威逼。ID-Token的时间限期可以在单点登录平台服务器的管理限制台上设置，假如必要的话，也可以再设短一点。统一权限管理平台概述数字化校内平台的权限管理由统一认证与授权管理平台ID-Directory系统完成实现，统一认证与授权管理平台是一个跨平台的统一身份管理、授权管理、认证管理、资源管理的综合性管理平台，实现了整套的RBAC（基于角色的访问限制）规范，包括细粒度的角色等级和角色约束机制，以及无限级别的权限继承的体系。平安政策平安政策是一个概念，也是一个基于各种对象和概念的组合。平安政策是围围着角色、权限、用户、资源和平安域之间的关系而定义的。互联网的环境是没有界限和约束的，在这样的环境下进行商务活动，保证消费者和服务供应方双方的利益，是对运营商最基本的要求。所以，建立一套完善的管理体系，对高校信息化的总体全面而便利有序地管理起来就成为了重中之重。比如，用户如何便利的申请自己须要的服务，如何支付自己享受的服务，而对于服务供应方，如何针对不同的客户开通不同的服务，如何为客户供应便利快捷的单点登录多个服务，如何确认访问者的身份,又如何获得访问者的权限信息？如何限制和安排用户的访问及操作权限？解决这些问题都是一个基于互联网的服务首要任务。也就是首先要制定和实施管理政策，而这个政策就是一个平安政策，处理好在数字化校内平台中用户、角色、服务（资源）、客户、权限等之间的关系，做到统一贵方，疏而不漏，便利快捷，同时又具有极强的扩展性、规范性和平安性。统一的平安政策管理是统一认证与授权平台的总体目标，它主要是一个基于“角色”的细粒度管理体系。不同于以用户为中心的管理方式，基于角色的管理更加精练与便捷。下图绘制了平安政策里的各种关系：平安政策概念图操作资源的权限被安排给了角色。而角色又依据学校的需求而制定的约束下安排给了用户。一个权限可能隐含着其他的权限。而这一切都在一个平安域的范围内制定的。平安域划分了平安政策的范围，那就是说，平安政策只能针对平安域内的对象和资源才可以执行。平安域可以按地理划分、按组织结构划分、或者按功能划分，平安域可以是一个国家或地区、一个城市或省份、一个域、一个组、一个组织、或一个组织部门。基于RBAC的授权规范RBAC（Role-BasedAccessControl，基于角色得访问限制）体系是美国NIST（美国科技与标准管理局）制定而且提倡的用户管理、平安政策管理体系，也是目前公认的解决大型组织机构的统一资源访问限制的有效方法。统一认证与授权平台实现了RBAC标准的用户统一权限管理平台，具有RBAC体系的敏捷性、可扩展性、可管理性，本方案建议采纳统一认证与授权平台。我们在下面简洁的介绍统一认证与授权平台中的重要概念，与其应用的范围和例子。角色角色在RBAC体系里是一个核心的概念，也是统一认证与授权平台系统中最核心的元素。在统一认证与授权平台管理平台上，客户可以依据自身的需求定义角色及其相关的平安政策。系统里不预设固定的角色或用户，赐予客户最大的敏捷性和适用性。一个角色可以是全局性的，或局部性的。局部性即局部于一个或多个平安域的范围之内。一个全局性的角色可以在全部的平安域内执行它的权限。局部于一个平安域的角色只能在这个域内，和这个域下属的子域内执行它的权限。更精确的说，一个局部性的角色不是指这个角色被包涵在一个平安域内，而是指这个角色拥有访问域内的资源的权限。一个角色可以拥有访问一个或多个域的资源的权限。不仅如此，在统一认证与授权平台管理平台上可以制定角色等级，并且不限制角色等级数量。一个角色可以继承它下属角色的权限。角色等级结构可以跨越多个等级，那就是说，第一个角色可以继承其次角色的权限，而其次角色又可以继承第三角色的权限。但是不是全部下属角色的权限都被上层继承，系统供应配置选项，这也是统一认证与授权平台敏捷性的体现之一。上图描绘的就是角色与平安域之间的关系，角色5是一个全局性的角色。角色1、6和7只有访问平安域1的权限，而角色3和4只有访问平安域2的权限。但是角色2拥有访问平安域1和2的权限。依据全局性角色的定义，角色5拥有访问平安域1和2的权限。从上图我们也可以看到，角色7继承了角色6的全部权限。统一认证与授权平台也建立了用户基数、职责分别等概念，为高校制定敏捷的管理策略奠定了坚实的技术基础角色可以分的很细，例如：计费系统，平台可以依据资源的划分和计费系统原有的权限划分来建立不同的角色。每个用户在自己的服务权限范围内，可以给自己部门（院系）制定一些角色。例如建立一个系主任的角色,只要给这个角色定义好权限，并将相应的用户赐予系主任的角色即可完成政策制定的工作。原来假如有200个同样角色的用户，须要一一配置的，这样一来，一次性解决问题，不仅降低了管理强度，而且削减了因为多次的重复工作引起的误操作。这也是统一权限管理体系从以用户为中心向以角色为核心转移的一个根本缘由之一。用户统一认证与授权平台中的用户可以是自然人或者是应用软件，因为一个软件也可以执行吩咐。一个用户必需先被安排了角色才能进行操作，因为用户的权限是通过角色得到的，全部未安排角色的用户没有任何权限，也不能登录。上图所表示的就是平台的一些基本角色，全部用户都是依据上面的角色来赐予不同的权限，全部操作都是在统一认证与授权平台中进行配置：用户认证平台管理员(用户)通过统一认证与授权平台来创建平台内的各类用户，科室用户是由用户管理员在统一认证与授权平台中来创建.例如，用户A科室开通了Email和WebHosting两个服务。并不是用户A科室全部的员工都能运用这两个服务，用户可以依据角色安排来赐予自己内部的用户权限。

资源资源指的是在平安政策管理系统里管理的外在资源。资源是任何可以定义的实体。例如，一个资源可以是一套应用软件、应用软件里的一个模块、硬件（如打印机）、一份文件、一个数据表、或数据表里的某一行、一个XML文件里的元素，等等。简洁的说，一个资源可以是任何能以标识符标识的抽象或现实的实体。在用户认证平台中，应用系统供应的服务或者产品是资源，应用服务的任何操作可以是资源，计费系统中各单元也可以是资源任何应用的一个小模块都可以当作一个资源由统一认证与授权平台来管理。全部的应用都能被统一认证与授权平台有效的管理起来，计费系统等应用的业务流程无需变更就能完全集成到平台。这就实现了平台对全部服务和产品达到统一管理的需求。统一认证与授权平台可以很敏捷的制定自己须要的平安政策，所以以后有任何新的ASP，甚至将来移动应用和3G应用要集成进来，平台也能很简洁地把应用划分成多个资源来管理。下面我们依据资源的概念来举例说明一个新的服务在平台上是如何配置、管理和发布的，比如，现在平台要上一个教化网的服务，步骤是这样的：1、首先我们依据这个服务供应方详细供应多少服务、多少产品以及对服务的操作性、计费规则等，把平台当前所须要管理这个服务供应方的全部的功能模块和服务内容划分成多个资源，并在统一认证与授权平台的界面上进行简洁配置新建资源。2、依据详细的这些资源，按需分别安排给系统角色（用户认证平台内部、服务供应方以及定购此服务的用户）。这样就完成了。权限执行权是通过安排权限而得到的。权限的定义是指对某些对象或资源的某些操作的许可。权限一般被归类成权限组。权限与权限组有系统定义和自主定义（或用户定义）之分。系统定义权限和权限组是平安政策管理系统内置定义，不能改动。系统管理员可以自主定义一些权限及权限组来补充和加强对角色与资源的平安管理。统一认证与授权平台中定义的权限支持权限继承关系。一个权限可以隐含另外一个权限，那就是说，假如权限P1隐含着权限P2，而您又把权限P1授权给角色R1的话，那么R1也间接地得到了权限P2。相同的，假如权限P1隐含权限P2，权限P2隐含权限P3，而权限P3又隐含权限P4，等等，假如权限P1安排给了角色R1，那么R1就会间接的得到整个权限隐含关系结构中的全部权限。（文字用p1，p2，图中用的是权限1，权限2，请统一起来）。用户认证平台中对企业邮局和DNS两个资源的权限之间就有着这样的关联关系，用户必需开通了DNS才可以开通企业邮局的服务，同样用户有了运用企业邮局的权限，就隐含着运用DNS的权限。又比如，用户所拥有的权限是其用户权限的组合，这种上下级权限关系，在统一认证与授权平台里面是用权限集成来定义的。在统一认证与授权平台中，假设服务A被定义成为资源A，而对它的操作的各种权限也已经以权限组及权限的形式定义好。当一个用户在选购 了服务A的时候，平台管理员在统一认证与授权平台中，安排用户在资源A中的权限，并开通资源A给这个用户。用户再登录平台自服务界面，给自己部门内部用户安排在资源A中的权限，而这些权限是用户在资源A中的权限的子集而不行能被超出。也就是说，假如一个用户开通了教化网服务，他可以享受包月付费会员和非会员服务。那么，全部的部门用户都可以被安排到免费的法律询问服务以及包月服务，而只有少数用户，比如院长、系主任等高层管理角色的用户才被授权运用其他包月以外的按量付费服务。平安域平安域指定了平安政策的牵制范围，也就是说，一个权限只能在指定的范围内才有效，才能执行。平安域可以依据地理界限、部门职能等来划分，它是一个抽象的概念。平安域可以是国家／地区，城市／省份，域，组织，部门，或者组。除了组之外，一个平安域可以带有子域。所以您可以创建一个树形的平安域结构，就像下图一样。用户认证平台按需求（用户：已开通业务的部门为单位）划分了之后，虽然全部的用户信息和平安政策信息都在同一个统一认证与授权平台服务器上管理，但对每个用户来说，似乎自己有一套统一认证与授权平台服务器一样。每个用户还可以有一个统一认证与授权平台管理员，他可以按需求细粒度的管理自己内部人员，新建角色，安排角色，能否运用某个资源（ASP服务）等。每个用户里的人员是看不到另一个用户的用户信息和平安政策信息的。假如一个用户有足够的权限的，用户也只能运用自己用户里的产品或者服务。统一认证与授权平台是一个细粒度的平安政策管理系统，所以权限可以分得很细，就算用户是在同一个用户里，假如没有足够的权限的话，还是运用不了服务。例如：用户甲要开通电子图书馆（在线阅读{A}、书籍下载{B}）和教化网远程教学(C)这两个服务。首先用户认证平台接到这个恳求，会在统一认证与授权平台系统中赐予用户甲一个角色，能够运用这3个资源（我们假设在统一认证与授权平台里把A、B、C设置成为3个资源来管理）。现在用户甲的管理员就可以通过用户认证平台，对自己部门的人员对于A、B、C运用权限的安排。用户数据只存储在用户认证平台中。例如：系主任（有很多）能运用，书籍下载和远程教学，他就只需新建一个角色(系主任)，把B、C这两个资源赐予系主任这个角色。然后把全部职务是系主任的人员赐予这个角色。这就完成操作了。全部的数据首先存储在用户认证平台数据库，然后由用户认证平台PUSH到电子图书馆和教化网这两个AP应用数据库中。现在任何一个系主任就可以登录这两个服务了，干脆用户的认证是在电子图书馆和教化网这两个AP中进行的，不经过统一认证与授权平台。用户数据同时存在于电子图书馆和教化网这两个AP以及用户认证平台中。(没有用到平安域的概念，只有职员、角色之间的配置。这里仿佛不须要平安域。）所以，从网络的结构来说，似乎每个用户都有自己的一套统一认证与授权平台服务器一样。我们结合FTP这个产品，他的开通、运用和管理在统一认证与授权平台上详细的操作，可以用下图表示：书目服务器RHDS的前身是NetscapeDirectoryServer，跟SunDirectoryServer是同一条开发线演化出来的书目服务器。RHDS是一套遵循标准的、高性能的书目管理服务器。书目服务器的目的主要是供应一个用户信息、应用系统信息、网络信息的中心信息管理库，为用户管理、应用系统管理、网络管理等供应便利，也同时提高平安度。功能简介提中学央用户信息管理功能，以降低管理成本；作为中心用户信息和选项管理库，支持用户特性化的应用软件和系统；通过LAN或WAN网络，支持多个主服务器的数据复制和同步，为学校应用系统供应统一的数据源；提高海量用户平台所须要的牢靠性和可扩展性。降低管理成本RHDS允许管理员建立一套网络注册表，为应用系统供应一个存储可共享的用户信息、用户组信息和选项信息的中心数据库。通过项书目服务器存取用户信息，应用系统不再须要为了必需在不同配置文件中读取用户和用户选项信息而苦恼。这允许用户在任何电脑上运用应用系统，而不局限与某一部电脑。这也允许管理员在同一个地方管理全部用户的信息，无论有多少套应用系统共享同一份信息都无所谓。为了支持用户自管部分信息，RHDS可以将部分管理权限下放到学校管理系统中的不同层面上。提高可用性通过支持多台服务器数据复制和同步的功能，RHDS可以供应更强大的服务可用性。部署多台主服务器可以避开单点故障的可能。SNMP（简洁网络监控协议）供应敏捷的、实时的监控功能。为了降低停机时间，RHDS还供应了在线数据备份、配置更新、Schema更新、重新索引、数据复原等功能，在不停机的状况下进行操作。为高校供应平安服务通过统一的、集中的管理用户信息、用户组信息、访问限制机制信息等，RHDS可以大幅度的简化管理工作，同时也供应一套平安的用户认证基础设施。敏捷的数据存储和虚拟视图功能RHDS可以存储用户和用户选项信息，为应用系统供应认证、授权和特性化的功能。支持LDAP的应用系统就可以为终端用户供应特性化信息和Web应用环境。管理员可以在不停机的状况下，更新和扩展书目数据库。虚拟视图功能为特别的应用系统和应用方式，可以在不变更书目数据的真实结构的状况下，创建符合需求的虚拟书目信息结构和视图。多台主服务器复制的功能多台主服务器复制的功能不但为书目服