统一身份认证平台建设方案0420文档格式.docx
《统一身份认证平台建设方案0420文档格式.docx》由会员分享,可在线阅读,更多相关《统一身份认证平台建设方案0420文档格式.docx(10页珍藏版)》请在冰豆网上搜索。
二、平台架构
统一身份认证平台方案的架构包含数据层、认证服务管理层、接口层、服务层、认证接入层。
数据层:
存储统一身份认证平台的用户身份数据,主要以目录服务器和关系数据库来实现,同时在认证集成过程中某些应用系统需要保留原有的用户数据库时,则统一身份认证平台用户数据中心与业务系统的用户数据库实现同步。
认证服务管理层:
实现认证服务的管理与监控,包括用户身份管理、身份认证管理、授权管理、安全审计等功能。
各项功能独立设计,相互间通过接口进行交互,可以很方便的实现与第三方相关产品的对接。
接口层:
提供相关的认证接口、LDAP接口、数据接口
服务层:
提供认证服务、授权服务、目录服务
认证接入层:
各相关业务系统根据提供的认证服务实现认证接入。
三、用户身份管理
统一身份认证平台提供目录服务,实现用户信息的集中存储和管理,用户信息规范命名、统一存储,用户ID全局唯一,并提供标准接口,实现不同应用系统的用户身份的同步,支持海量的基于LDAP目录服务器的用户数据存储和管理功能。
(一)用户数据模型
用户数据模型的设计满足由于学校工作人员调动、调级、调职等,或者学校发生了体制改革、组织机构变动,引起了户的身份和权限变动,用户的身份和权限在各系统之间协调同步,减少应用系统的开发和维护成本,并且变更情况能够实时反映在认证系统中,从而在各个应用系统的认证中体现出来。
统一身份认证管理系统中的数据模型包括:
●用户帐号:
各部门用户的帐户信息;
●资源:
IM所管理的应用系统;
●资源组:
按一定顺序组织资源,IM将根据这一顺序在应用系统中创建和删除用户信息;
●组织:
一个管理一组用户、资源和其它对象的逻辑容器;
●角色:
用户的工作角色,代表其职能性质,据此在资源中设置用户的属性;
●管理帐户:
对统一身份管理系统具有管理员的功能,可以进行分级管理;
●能力:
一些特殊的权利授予给管理员,使其可以执行哪些功能,如口令管理员,只能管理用户的口令。
(二)用户身份库
管理信息系统构建能够用于整个系统的目录服务,作为用户身份管理的基础架构。
此处的目录变成了身份管理中心,其中集成并同步多个系统的身份信息和内容。
对学校将实行全校统一身份库实名制管理。
以DirectoryServer目录服务为基础,构建用户集中身份库,在此基础上利用身份管理技术,实现将原有采用“非目录化”的应用系统与现有用户集中身份库进行自动的双向交互,该方案可以在不改变现有系统的框架基础上进行实施,利用这样的方案实现身份库与现有应用系统的无缝结合。
针对学校的实际情况,建议建立两套(即两棵目录树)目录系统,其中一套目录系统作为用户认证服务用于支持Policy服务器(即:
AccessManager认证服务器),对用户进行认证并获取用户对内部访问资源的权限。
这套目录的设计不同于集中身份库,它是平面设计的,为的是提高用户认证的效率,提高系统性能;
另一套目录系统是构建整个管理信息系统的用户身份库。
通过构建用户集中身份库,集成门户、教学、教务、科研、办公自动化、信息发布等应用中的用户,实现用户帐号在各系统间的实时同步。
(三)组织机构管理
组织一个学校的用户,从而使其管理更为有效?
我们认为应该将按照学校本身的组织结构进行分层管理。
统一身份认证平台中可以按照的组织结构进行用户管理的组织结构构建,组织包括了组织单元(也就是通常所说的部门)、区域(也就是通常所说的外地分支机构),以及可以实现管理权限相对独立的安全管理域。
管理创建学校多级组织机构、部门信息;
管理系统用户信息、限制用户登录权限;
机构管理员、机构负责人、办公室主任配置。
按照学校管理组织结构,构建组织机构树,便于应对机构调整的各种变化。
依据组织中不同的职务和职能,划分不同的岗位和角色。
组织机构管理提供的功能有:
●新增机构:
增加组织机构,填写组织机构信息,提供独立组织机构新增、下属组织机构新增、上级组织机构新增等增加方式;
●修改机构信息:
修改组织机构信息,包括组织机构隶属关系;
●删除机构:
删除组织机构,删除操作提供确认提示,防止误删(下删除操作同);
●组织机构合并:
实现组织机构的合并导致的用户隶属变化;
●组织机构分拆:
实现组织机构分拆时,用户隶属变化;
●组织机构同步:
实现组织机构与共享库的同步。
(四)岗位管理
维护学校岗位信息。
包括新增、修改和删除:
根据学校的具体情况选择用户组织架构(信息来源组织架构维护),然后可选择岗位信息(信息来源岗位信息管理),建立机构与岗位的对应关系。
(五)角色管理
统一身份认证平台中可以定义用户角色,用户角色直接决定了该用户可以享有哪些服务。
用户和角色之间的关系是不断维护的,每种角色都有各自的权限定义,如果一个用户被赋予一个角色之后,那么这个用户就拥有了那个角色所定义的权限;
当这个角色的权限定义更改之后,所有被赋予这个角色的用户也会自动拥有这个角色更改之后的权限。
这种功能可以大大地简化系统管理员对用户权限的管理工作。
所有的权限定义都只需要针对数量非常有限的角色,而不必针对数目巨大的一般用户,从而显著地减少了系统管理人员对用户访问权限维护的工作量。
可灵活定义角色之间的继承、相容和互斥关系,授权简单、便捷,并可以通过定义角色之间继承、相容、相斥等关系有效控制资源的继承性或阻止资源权限继承性,可以满足各种复杂的需求。
角色管理的功能包括:
角色管理:
●新增角色:
增加系统角色;
●修改角色:
修改角色属性;
●删除角色:
删除系统角色
●查询角色:
按照角色属性查询角色或角色组的信息;
●查看用户:
查看某个角色下包含的用户
●功能授权:
给当前角色授予/取消访问功能模块的权限;
●数据授权:
给当前角色授予/取消访问资源的数据范围,主要体现于用户管理、应用管理和二级授权;
●分配用户:
可以给角色分配一批用户,赋予这些用户有当前角色所拥有的权限;
●分配应用:
给当前角色授予/取消访问应用的权限
角色组管理:
对角色进行自由编组,提高对角色授权、添加用户用友角色时的效率。
提供的功能有:
●新增角色组
●修改角色组
●删除角色组
(六)用户关联
如果用户之前已经在相关的应用系统中拥有账号,同时也已经设置了相应的权限,那么用户能够将这些应用系统的账号与统一身份认证服务的账号进行关联,使得用户登录统一身份认证服务之后,就能够自动使用相关的应用系统用户来访问应用系统。
账号关联相关操作包括帐号关联、关联修改和关联删除,以下是关联操作的流程,相关的修改、删除操作基本上相同。
1)用户向统一身份认证服务发出账号关联注册请求,用户提供了应用系统的标识A,同时提供了可以在该应用系统中使用的用户信息(可能包含用户名和密码等)。
2)服务向应用系统A征询,用户信息是否合法。
如果合法则响应服务。
3)如果收到合法响应,那么服务就将这个账号关联注册信息保存到用户注册库中,以后该用户登录统一身份认证服务之后,就能够使用相应的应用系统A。
4)完成保存操作后,统一身份认证服务响应用户,注册完成。
(七)用户管理
将所有的用户都挂靠在组织树的某个节点下,便于用户信息的维护。
用户管理主要为系统管理员提供一个统一的用户管理操作界面,通过该模块进行的用户操作,将通过用户同步服务实时同步到各个系统中去,达到统一用户管理的目的。
为满足学校大量用户维护的需求,系统提供批量操作(导入、导出、迁移)功能,数据格式包括EXCEL、DBF、TXT等。
用户基本信息包括登陆账号、登陆密码、姓(拼音)、名(拼音)、姓名(中文)、电子邮箱、性别,办公电话(含分机)、办公传真、家庭电话、手机、所在部门,其它部门、职务、备注等等。
其中除办公传真、家庭电话、手机、其它部门、备注外,其他信息均为必要信息。
用户管理提供的功能有:
●新增用户:
主要分成二部分,一类是教工职员类用户的新增,一类是学生类用户的新增。
其中教工职员类用户由注册教职员工的管理员负责注册,学生类用户通过系统自行注册,其资料等由学生自己填写。
●修改用户:
修改用户注册时填写的基本信息。
除用户名信息不可修改以外,其他信息均可修改。
●删除用户:
删除用户信息,对于该用户赋予其他用户的授权功能具有一并撤销和保留两种选择;
●查询用户:
包括用户信息简单查询、模糊查询,查询条件可以是用户的任何属性信息;
●用户信息自动同步管理:
提供用户信息自动同步接口,将统一用户信息(用户登录名、用户中文名、密码)以及应用系统用户信息(用户登录名、密码)传送给应用系统,提供统一的用户登录访问机制;
●用户冻结、解冻:
在用户有效期内将用户的所有权限暂时失效,解冻则相反.
●属性设置:
赋予某用户在某应用系统下的一系列属性;
●用户查看:
可查看用户的账号信息(包括账号、是否绑定手机、邮箱、QQ、微信等)、详细信息(涵盖学生、教职工基本信息及详细信息)、所属角色、授权应用、功能权限;
●密码初始化:
可按照指定规则、指定用户范围初始化用户密码
●启用/停用账号策略:
按照用户范围或选中用户设置账号有效期,过期后便不可访问系统,停用则相反。
(八)一人多岗维护
一人多岗维护主要对个别用户临时或者长期拥有其他岗位用户权限的时候,采用一人多岗机制给用户进行授权,可在一人多岗里面把用户添加到对应的单位或者岗位下。
四、用户授权管理
统一授权管理提供角色与用户、用户组及组织机构的关联,属性与用户、用户组的关联,同时提供权限代理及委托的管理。
为了解决各业务系统中的业务变化而引起的大批量用户权限变更,系统提供授权策略订制的功能,实现权限按事先制订的计划自动分发、收回权限。
另外,根据高校的应用特点,授权管理还提供权限委托和职务代理两类功能。
(一)集中授权管理
系统管理员可对用户进行统一管理,主系统中用户删除或禁用后,其他各子系统中该用户信息自动删除或禁用;
而各个子系统权限控制完全独立,同一用户,在不同的系统中可以具有完全不同的身份,各子系统用户权限可独立管理,对一个子系统中权限的修改,与其他子系统完全无关联,保证各子系统独立、安全、可靠。
授权管理完成对用户所属角色的设置和角色拥有功能的设置过程,包括以下功能:
●设置角色所拥有功能:
设置某一个角色所拥有的功能。
可以给角色分配一批用户,赋予这些用户有当前角色所拥有的权限
●设置角色所拥有应用:
设置角色所拥有的应用
●设置角色数据范围:
设置角色访问资源的数据范围,主要体现于用户管理、应用管理和二级授权。
也可以分级授权,统一身份认证与授权中心可以授权用户可以访问的应用系统,由应用系统来具体授权用户的详细权限,对不同应用系统授予不同用户的权限,并根据需要可以进行身份转换。
可以采用统一授权与分级授权相结合的方式来实施。
(二)分级授权管理
分级授权是指把授权管理这项功能分配给除了统一身份认证系统管理员以外的某一个或几个用户,由他们具体的自行的去分配所管理范围内的用户的具体授权。
这种分级授权可以无限递归分配下去,直到最终无实际意义的应用权限可分。
分级授权管理中另一个重要方面是对于具有分级授权的用户,其可操作的用户范围设置。
在这个分级授权功能中提供分级授权用户可操作用户范围设置的功能。
对于分级授权用户或想在其可操作范围内再指定某一个或某一些用户享有分级授权的功能,雷同他获得分级授权的操作,这样既可以实现分级授权功能的无限递归。
权限委托:
权限委托允许用户将某项功能委托给他人代为办理。
用户设置某个功能委托给他人后,被委托人用自己的帐户登录即可拥有被委托的权限,同时在改功能操作过程中,认证平台传递给改功能的是委托人的帐号信息。
职能代理:
职能代理是当用户由于特殊原因,需要将自己拥有的权限暂时交给他人,即可选用职能代理。
用户设置某个功能代理给他人后,代理人用自己的帐户登录即可拥有被代理的权限,同时在改功能操作过程中,认证平台传递给改功能的是被代理人的帐号信息。
应用集成服务:
系统提供权限变更策略,并通过应用集成服务对外发布。
应用系统可以通过应用集成服务接口调用这些发布的服务,并根据预定义的权限变更策略自主变更用户权限。
在学校以下应用场景中最为常见:
人员进校、人员离校、职务变动等。
统一的权限管理工具:
基于用户、角色、属性等进行权限管理,支持分级授权。
五、统一身份认证
(一)Web端认证方式
统一身份认证平台在web端应支持以下的多种认证方式:
●传统账号+密码认证。
●校园APP认证:
和移动智慧校园APP结合,登录智慧校园APP后使用扫一扫进行认证,即校园APP扫码登录;
以及使用一键推送方式,将认证请求推送到智慧校园APP,用户在APP上授权免密码登录,即校园APP一键推送登录。
●互联网账号认证:
可以使用QQ、微信方式认证,打开微信或QQ扫一扫二维码即可认证。
(二)移动端认证方式
移动端认证是指登录移动校园APP时所采取的认证方式,应能支持多种认证方式,包括:
可以使用QQ授权登录和微信授权登录。
●指纹认证。
●人脸认证。
六、单点登录
统一认证、授权和单点登录系统是和门户系统紧密集成的一套基于策略的访问控制平台,采用开放的架构,支持可插接的用户认证模块,能够支持当前主流安全架构,可供Java、.net、ASP、PHP等开发平台调用实现统一认证。
其基于LDAP目录服务器,实现用户的身份认证、应用资源的访问控制、策略管理与服务。
提供多种认证手段,实现“一次鉴权(认证和授权)”——单点登录,提供基于Web方式以及传统应用方式服务的单点登录,实现了用户只需认证一次,就可以无须再次登录地访问其做授权可以访问的业务系统。
SSO(SingleSignOn)单点登录流程:
所谓单点登录是指基于用户/会话认证的一个过程,用户只需一次性提供凭证(仅一次登录),就可以访问多个应用。
目前单点登录主要基于Web和移动端的多种应用程序,即通过浏览器实现对多个B/S架构应用的统一账户认证。
本统一身份认证平台应能提供一套开放的单点登录开发接口以及详细的文档,供其它各业务系统使用。
此开发接口应是完整的、易懂的,其它业务系统的开发人员在将自己的系统接入到单点登录模块内的时候,阅读开发接口的文档应能解决极大部分疑惑,而无需统一身份认证平台方的技术人员的过多指导。
七、安全审计
统一身份认证平台提供日志系统,详细记录用户身份认证和访问操作日志。
时候可以在对访问日志进行集中、关联分析的基础上实现系统异常访问分析、系统违规访问分析、违反安全规程的操作分析、故障事件重建和入侵预警。
日志主要分为:
登录日志、操作日志、警告日志、错误日志。
通过合理配置审计规则,可以有效的控制智慧校园资源的安全访问,并在异常发生时及时提出警报。
系统提供定安全访问控制级别设定,实现系统访问安全控制和系统访问效率的平衡。
八、个人自助服务
提供给所有用户修改密码、密码找回、信息查询、密保手机、密保邮箱、别名登录、日志查询等个人自助服务,这样可以减轻平台管理员的工作压力,同时给用户提供更方便快捷的服务。
(一)信息查询
用户登录后,可以查询自己所归属的角色、可以有权限访问的应用及有权限访问的管理中心模块
(二)安全中心
安全中心主要为用户提供个人安全自助服务。
密保工具分为密保邮箱和密保手机。
设置好密保手机和邮箱后可用于找回密码和统一登录使用。
修改密码:
在用户登录后,进入修改密码界面,首先输入原密码,然后进行新密码设置,校验成功且符合密码策略后生效。
日志查询:
保留用户的所有操作痕迹,方便用户查询及为审计提供数据支撑
别名登录:
用户设置好别名后,可使用别名代替原本很长的工/学号进行登录。
找回密码:
当用户在使用过程中,忘记登录密码,可使用找回密码功能进行密码找回。
输入学号和证件号码,系统提供手机和邮箱的方式帮助用户密码找回。
升级会员 