数字校园中的统一认证用户管理典型案例

数字校园中的统一认证

用户管理典型案例崔海媛2021年11月20日北京大学图书馆系统部目录实施情况系统结构关键技术实现方案应用效果未来开展实施情况2004年6月开始启用校园一卡通。校园卡特点非接触式IC卡写有个人信息及相关消费资料校园卡功能图书借阅餐饮消费上网交费宿舍门禁就医挂号早操考勤等功能。替代：饭卡、卡、图书证、工作证和学生证等。校园卡优势使用者方便统一身份认证和用户管理图书馆实施情况统一认证系统实现用户统一管理相关系统与一卡通中心系统数据同步用户单点登录，应用多个系统效劳。门禁系统Unicorn系统馆际互借系统多媒体检索电子阅览室短信效劳注册…….系统结构统一认证系统由业务管理界面、认证管理、授权管理、代理认证、联合认证、对外接口以及底层ＬＤＡＰ数据库构成系统结构图书馆门户用户系统流程用户登录，只要是图书馆统一认证系统或者校认证系统的合法用户，均可以合法通过，实现单点登录。关键技术-开发和运行环境统一用户认证与管理系统开发语言Java（JSP/Servlet），LDAP，Javascript，C/C++运行环境JavaApplication,，DirectoryServer(LDAP)操作系统RedflagLinux,RedhatLinuxAS2.1/3.0，Solaris8/9x86,Solaris8/9/10SPAC,Windows2000/2003Server/AdvanceServer数据库SUNDirectoryServer(LDAP)关键技术利用LDAP协议实现目录效劳数据库的存取访问；采用JAVA线程支持多用户并发访问；采用SAML标准，实现基于xml的平安信息的交换，用以在不同的平安域中传输身份验证和授权凭证；采用应用程序代理Agent技术实现应用系统的整合关键技术支持OASISSAMLv1.1标准支持自由组织联盟工程标准〔LibertyAllianceProject〕单一目录数据库支持50万个以上数据支持二级或三级认证架构，支持两个认证中心的联合认证支持对门户系统、统一检索系统、馆际互借系统、学位论文系统、特色库系统、参考咨询系统、unicorn等系统的统一认证集成实现方案-系统技术难点1、统一用户管理带来的用户权限分配统一认证需要解决多个应用系统以及众多不同类型的用户的权限分配。即要考虑到管理的方便性，也要考虑到分配权限的灵活性。如何在这两者之间到达最正确的结合点，成为一个重要的问题。2、不同应用系统集成方案统一认证需要整合的系统很多，如何在确保原有系统运行的情况下和新应用更改最少的前提下，增加新的调用接口，使新应用通过统一认证很容易地集成起来，同时可以对用户信息进行统一管理。3、代理认证问题不是所有的应用系统用户都有权或者能力改造，比方购置的第三方数据商的资源，通过门户的时候，有没有可能实现直接访问而不需要再次输入那个应用系统的用户名/口令？实现方案-技术难点解决方案1、解决用户权限分配问题策略策略=用户/用户组+角色〔应用系统角色/认证中心角色〕统一认证中的用户权限分为四个级别：应用系统权限应用系统角色用户可以灵活分组：单个用户支持静态和动态用户组支持机构和多级认证中心实现方案-技术难点解决方案2、采用统一认证Agent技术支持不同的WEB应用〔JSP，ASP、PHP〕支持多种WebServer本地应用系统只需要调用Agent即可Agent有Java版、COM/ActiveX版，支持绝大局部的WEB应用。3、采用代理认证技术让用户把自己能够访问的WEB应用系统的用户名/口令绑定到统一认证的用户帐户，通过统一认证登录，用户直接访问相关应用系统。不需要对原始应用系统做任何改动，不影响应用系统任何功能及使用。实现方案-整合示意图统一认证整合示意图应用效果认证系统提供认证接口程序、代理认证其他系统利用接口程序与认证系统实现统一用户管理用户单点登录，使用多系统效劳〔查询、续借、预约、馆际互借、参考咨询等〕统一认证系统实时同步相关系统用户信息。应用效果用户统一管理，数据的及时同步借还书实时校验校认证系统数据，保证了用户数据的平安。门禁系统五分钟同步校认证数据，为合法读者及时利用图书馆提供了方便。用户名、密码多个系统统一管理，平安、方便、统一。单点登录，提供多种应用系统效劳：读者在北大图书馆门户登录后，即可应用所有效劳，方便用户，也保证了多个系统的用户一致。通过数据标准和标准接口标准，为新系统的参加提供了开放接口应用效果之用户认证多个系统直接调用认证用户门禁系统馆际互借系统多媒体系统电子阅览室管理短信平台……应用效果-自动化系统用户数据定时同步实时同步密码单点登录，查询借阅状态、完成续借、预约应用效果-馆际互借申请未来开展完善