XX电信AD域用户管理平台系统开发建议书Word文档格式.docx
《XX电信AD域用户管理平台系统开发建议书Word文档格式.docx》由会员分享,可在线阅读,更多相关《XX电信AD域用户管理平台系统开发建议书Word文档格式.docx(49页珍藏版)》请在冰豆网上搜索。
4.1用户认证管理17
4.1.1单点登录(SSO)产品比较与选择17
4.1.2利用ADSI进行AD扩展编程18
4.1.3能修改客户度端认证模块的系统20
4.1.4不能修改客户端认证模块的系统22
4.1.5获取旧系统权限信息24
4.1.6认证日志处理25
4.1.7认证系统特色25
4.2客户端代理程序27
4.2.1统一认证登录27
4.2.2新增应用程序27
4.2.3修改应用程序配置28
4.2.4修改应用程序登录信息28
4.2.5应用程序树形链接清单29
4.2.6运行应用程序29
4.2.7帮助29
4.2.8退出29
4.2.9日志记录29
4.2.10意外处理30
4.2.11认证接口30
4.2.12环境配置30
4.3AD域用户C/S应用认证模块31
4.3.1功能说明31
4.3.2Windows平台及Kerberos安全认证说明31
4.3.3认证环境要求34
4.3.4认证过程35
4.3.5服务主体名称SPN说明38
4.3.6接口说明38
4.4AD域用户B/S应用认证模块40
4.4.1功能概要说明40
4.4.2.NET认证模块接口说明40
4.4.3J2EE认证模块接口说明40
4.4.4接口安全性说明43
4.5IT基础信息源45
4.5.1员工基本资料库45
4.5.2基础信息接口45
4.6组织架构管理45
4.6.1组织架构显示45
4.6.2组织架构编辑45
4.7人员信息管理46
4.7.1添加人员信息46
4.7.2修改人员信息46
4.7.3自助服务46
4.7.4人员查询统计46
4.8应用系统管理47
4.8.1基础信息管理47
4.8.2访问权限管理47
4.8.3接口定义和管理47
4.8.4任务计划管理47
4.9Web服务管理48
4.9.1Web服务接口48
4.9.2安全管理48
4.9.3查询统计48
4.10基础数据管理48
4.10.1基础数据编辑48
4.10.2基础数据接口49
4.11基础服务保障49
4.11.1扩展接口49
4.11.2数据同步49
4.11.3缓存管理49
4.12系统权限管理49
4.12.1角色管理49
4.12.2权限管理50
4.12.3角色权限关系50
4.13系统监控50
4.13.1状态监控50
4.13.2报警设置50
4.13.3查询统计51
4.14系统日志管理51
4.14.1日志检索51
4.14.2统计报表51
5项目实施52
5.1项目组织机构52
5.1.1本项目组织架构52
5.1.2项目决策委员会52
5.1.3项目评审小组53
5.1.4系统开发小组53
5.1.5项目组成员构成及职责53
5.1.6XX信息公司项目人员安排54
5.2项目实施进度计划54
5.3项目管理计划54
5.4项目质量审查55
6总结56
1现状及存在的问题
1.1背景
1.1.1目前统一认证系统逻辑架构
随着信息系统建设的快速发展,XX电信目前常用的MSS、BSS及OSS等系统多达几十个,为了解决多系统切换、多套账号密码带来的工作效率低、安全性低的问题,XX电信实施了统一认证系统,逻辑架构图如下:
用户桌面安装统一认证客户端程序,通过客户端专用的非标准认证接口与服务器认证模块建立加密通信,认证成功后用户可以通过客户端界面上的应用程序链接进入应用系统。
1.2目前存在的问题
该系统为用户进入不同系统提供了方便,提高了工作效率。
但目前系统也存在一些问题:
1.2.1缺乏统一身份、统一权限管理
1)信息分散、重复录入
各应用系统实际还采用自动同步的方式保存用户的账号和密码,数字身份其实还分散在各系统中。
各系统的用户个人身份信息重复录入,浪费人力。
2)没有统一视图,效率低、管控难
目前统一认证系统设计时只考虑单点登录认证的问题,进一步讲只管理了用户在各个系统的账户和密码,用户具体的权限还由各系统分散管理,系统无法知道某个用户在哪些系统拥有权限。
这样一来,账号和权限管理很难到位。
系统设计时候也没有身份管理的功能,用户除姓名、部门以外的基本信息、岗位信息、通信信息没有纳入管理。
用户个人身份信息在各系统分散管理很容易导致用户身份信息不一致,也无法获得某个用户的完整的身份信息视图。
3)较难达到内控要求
分散管理身份和权限,导致授权申请、人员变更对应权限和身份信息修改很难统一管控,容易导致遗漏。
1.2.2数字身份安全性不够高
1.信息分散、密码简单加密,容易受攻击
身份信息和权限信息分散管理增加了身份信息保护的难度,容易受到攻击。
由于各种限制因素的存在,目前身份认证只能采用安全性较低的账号、密码的方式,而密码只是简单的加密保存,管理员可以在后台解密查看,而且不会留下痕迹,无法限制数据库管理员的权限。
上面两方面问题也是目前数字身份保存工作面临的两个安全问题。
2.登录票证加密算法逐步被公开
新建的应用系统采用联盟式的单点登录方式纳入统一认证系统,它们互相信任的基础主要是登录票证的加解密算法,随着纳入体系的应用系统的增加,该算法已处于公开状态。
开发厂家很容易利用该算法进入没授权的系统。
3.没有统一的密码策略,长期存在弱口令
统一认证系统本身没有密码策略校验功能,导致用户使用弱口令,长期不更改密码,导致所有应用系统都可能被冒充登录。
有部分系统采用身份映射方式纳入统一认证体系中。
按IT内控要求,系统要定期更改密码。
由于用户一般通过统一认证客户端登录系统,不会记得登录系统的密码,所以无法自行更改密码,而要系统管理员在后台查出告知后才能更改。
这将增大管理员的维护压力。
1.2.3缺乏标准规范
目前的统一认证系统采用的认证规范不是公认的认证规范,厂家可以不遵循。
另外PC机的桌面登录无法修改认证模块,无法用统一认证用户库登录,只能用AD域用户库认证登录。
这就需要考虑两个用户库间同步的问题。
2系统功能需求
功能模块
功能项
功能项说明
IT基础信息源
员工基本资料库
资料库信息包括:
唯一的工号、从MSS系统、域服务器、统一认证系统等多种来源提取员工用户名及相关数据,资料库信息管理由人员信息管理来实现。
基础信息接口
以标准的WebService接口、DLL调用、存储过程调用等多种方式为其它IT系统提供基础信息,或接受其它IT系统返回的人员信息更新到基础库。
组织架构管理
组织架构显示
以树形层次结构显示组织架构,与AD中组织架构信息进行通信,原则上保持一致,AD中无法细分的信息在本系统追加的也可以显示
组织架构编辑
1.建立分公司层次型的组织结构,支持某一部门及下级部门整枝移动;
2.为方便未来纵向集成,部门信息中应包括省公司上级节点标志;
3.组织结构的层次精确到班组/室,并能根据需要任意增减;
4.能方便地增加、删除、更新组织结构信息;
5.组织结构中部门编码满足企业中长期发展的需要,同时兼顾与现有系统的整合;
6.同一员工处于某一职位、可担任多重职务;
多人可担任同一职务;
7.本系统的管理员才有组织机构的管理权限。
人员信息管理
添加人员信息
从MSS系统、域服务器、统一认证系统等多种来源提取员工用户名及相关数据,增加新入职员工资料;
人员信息的定义:
包括个人基本信息、岗位信息、合同信息、通信信息、培训信息(考试成绩、积分等)、休假信息、域帐号和其它应用系统帐号等信息。
修改人员信息
修改人员信息;
修改人员拥有的应用系统帐号;
通过数据导入方式批量修改员工所属部门等资料;
自助服务
员工能通过企业内部门户中‘我的帐户’以自助方式更新员工基本信息和扩展信息;
人员查询统计
1.根据指定条件查询员工信息;
2.提供基本的员工统计信息;
3.分级别查询用户清单;
应用系统管理
基础信息管理
建立企业范围内的IT应用系统定义,维护分公司IT应用系统信息;
维护应用系统的主要功能模块及功能项(可用于具体访问权限管理的全局化);
访问权限管理
结合企业层次型组织架构,实现满足业务需求的分级权限访问(HierarchicalRBAC),简化用户和存取权限之间多对多关系管理;
根据部门及岗位的设置,建立并维护基于IT应用系统的用户角色,实现对用户组(IBSS中工位概念与此类似)、部门的集中授权与权限回收;
实现基于访问时间、应用系统功能模块的权限管理。
接口定义和管理
建立集中统一的数据库接口表,简化用户认证、应用系统数据采集等接口的管理与维护。
任务计划管理
主要用于对应用系统数据的自动采集,通过接口获取各应用系统使用的原始数据,包括系统名称、模块名称、用户帐号、操作时间、操作类别、操作内容等。
用户认证
C/S应用认证接口
建立基于AD域用户的C/S应用认证接口模块,修改现有统一认证系统客户端程序,使其到AD域用户库进行认证。
B/S应用认证接口
分别针对J2ee、.net两种开发平台建立基于AD域用户的认证接口模块,包含加密、解密,Cookie加密、解密整个过程的函数。
认证授权过程使用标准的加解密算法进行客户端和服务器端的互相认证以及帐号等信息的加密传输。
利旧认证封装
对于使用其它帐号认证的B/S和C/S应用,因为一般无法修改其认证接口,保留现有的认证方式。
用户初次登录应用时,统一认证客户端自动提取帐号和密码送到数据库保存。
用户登录统一认证客户端后,再次登录应用时,统一认证客户端用AD域帐号在数据库中查找该B/S或C/S应用的帐号、密码,然后自动填写到应用的登录窗口中实现自动登录。
认证日志处理
根据日志管理要求记录认证日志。
Web服务管理
Web服务接口
1.通过标准的WebService接口提供集中域用户认证功能;
2.通过标准的WebService接口提供人员基本信息;
3.在运行环境中能隐藏WSDL信息,提供WSDL内部发布方式;
4.提供生产协作系统所需要的其它Web服务。
安全管理
1.验证用户对应用系统的访问权限,对关键的Web服务提供安全保护机制;
2.对Web服务请求有完整的日志记录及日后审计功能;
查询统计
1.提供企业组织结构详细清单;
2.可按部门、用户角色、工作组提供员工详细清单;
3.监控、统计Web服务请求;
基础数据管理
基础数据编辑
提供对基础数据的各种增、删、改操作的管理。
系统对删除或修改基础数据的操作可通过设置开关加以限制。
基础数据接口
用户自定义不同类型的基础数据,通过公共模板建立并管理全企业范围内的基础数据,并提供基于URL的Web服务和基于D
升级会员 