统一身份认证平台.功能白皮书.doc

统一身份认证平台功能白皮书数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述 - 3 -1.1 产品简介 - 3 -1.2 应用范围 - 3 -2 产品功能结构 - 4 -3 产品功能 - 4 -3.1 认证服务 - 4 -3.1.1 用户集中管理 - 4 -3.1.2 认证服务 - 5 -3.2 授权服务 - 5 -3.2.1 基于角色的权限控制 - 5 -3.2.2 授权服务 - 6 -3.3 授权、认证接口 - 6 -3.4 审计服务 - 6 -3.5 信息发布服务 - 7 -3.6 集成服务 - 7 -3.6.1 应用系统管理 - 7 -3.6.2 应用系统功能管理 - 8 -3.6.3 应用系统操作管理 - 8 -4 产品特点 - 9 -4.1 基于角色的访问控制模型（RBAC） - 9 -4.2 统一管理用户和组织机构信息 - 9 -4.3 支持10多种语言开发的业务系统认证 - 9 -4.4 统一的认证和授权服务 - 10 -4.5 提供多种授权级别 - 10 -4.6 先进的体系结构 - 10 -4.7 完善的安全设计 - 10 -5 运行环境 - 10 -5.1 服务器配置 - 10 -5.2 客户端配置 - 11 -6 典型客户 - 11 -1 产品概述1.1 产品简介随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题：Ø 用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登录系统时需要多次输入用户名/密码，操作繁琐。

Ø 各个系统之间的账号不统一，形成信息孤岛现象，导致学校管理工作重复，增加学校管理工作成本Ø 新开发的系统不可避免的需要用户和权限管理，每一个新开发的系统都需要针对用户和权限进行新开发，既增加了学校开发投入成本，又增加了日常维护工作量Ø 针对学生、教职工应用的各种系统，不能有效的统一管理用户信息，导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账号，为学校日后的工作带来隐患Ø 缺乏统一的审计管理，出现问题，难以及时发现问题原因Ø 缺乏统一的授权管理，出现权限控制不严，造成信息泄露统一身份认证平台经过多年的实践和积累，通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计，有效地解决了以上问题，赢得客户的好评1.2 应用范围主要用户主要功能管理员系统设置、业务系统管理员权限分配业务系统管理员业务系统功能维护、权限划分2 产品功能结构统一身份认证平台功能结构图3 产品功能3.1 认证服务3.1.1 用户集中管理统一身份认证平台集中管理学校的所有教职员工和学生信息，所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中，保证数据的保密性和读取效率通过用户同步功能，及时地把关键业务系统中的用户信息同步到统一认证平台中，然后通过平台再分发给需要的业务系统，保证账号的一致性。

为所有的用户设置权限生效起止日期，即使不对用户做任何操作，在权限生效期外用户就无法通过认证，保证了系统的安全性用户管理3.1.2 认证服务认证服务是统一身份认证平台的核心服务，通过认证服务，可以实现如下功能：Ø 为用户提供单点登录功能，实现“一次登录、处处登录”Ø 为业务系统登录提供统一的接入入口Ø 新开发的系统不用再进行用户部分的开发，直接调用认证平台提供的认证服务即可完成系统认证3.2 授权服务3.2.1 基于角色的权限控制平台提供了基于角色的权限控制，通过每个业务系统的角色可以划分为系统角色和用户角色系统角色拥有整个业务系统的控制权，用户角色拥有业务系统授权访问的控制权通过建立不同的用户组，聚合不同的角色，为用户划分权限用户组的划分可以根据学校的实际情况划分学生组、教职工组等用户组的权限如果不能满足用户的需要，可以直接给用户分配需要的角色，不再局限于用户组，授权形式更加灵活通过用户分组操作，可以批量为用户分组，实现批量授权3.2.2 授权服务平台提供了统一的授权服务，各业务系统通过调用平台提供的服务接口，无须再在业务系统中开发权限管理模块的功能，缩减了建设周期3.3 授权、认证接口授权、认证接口为第三方应用系统接入统一身份认证平台提供了一个安全的通道，通过授权认证接口，可以获取用户身份认证、用户信息、单点登录、获取用户权限列表，接口特点如下：Ø 认证接口支持多种接入形式：Webservice和API。

Ø 支持多种认证接入类型：应用系统、应用系统功能、应用系统操作Ø 支持多种开发工具（.NET、J2EE、DELPHI、PB、ASP、PHP、VB）3.4 审计服务为了确保信息访问的安全性，系统提供了对用户在认证访问过程中所有的操作进行全程监控的功能在这期间不管用户做什么操作都会被审计跟踪系统进行记录下来，一旦出现什么问题可根据记录的内容进行追溯审计服务3.5 信息发布服务在统一身份认证建设和认证系统集成过程中，为了方便学生和老师及时掌握系统认证集成进度和登录方式，可通过信息发布管理系统把信息发布到统一身份认证的首页上同时把平台使用的关键功能以帮助的形式发布出来，方便学生和老师使用平台功能信息发布服务3.6 集成服务统一身份认证平台为业务系统接入提供集成管理服务，主要包括应用系统集成、应用系统功能集成、应用系统操作集成：3.6.1 应用系统管理业务系统接入统一身份认证，需要在认证平台中注册有关应用系统的信息：应用系统管理3.6.2 应用系统功能管理业务系统接入统一身份认证，需要在认证平台中注册有关应用系统功能的信息：应用系统功能管理3.6.3 应用系统操作管理统一身份认证平台的权限可以控制到应用系统某一功能的具体操作权限，前提是必须在平台中注册这些功能的操作：应用系统操作管理4 产品特点4.1 基于角色的访问控制模型（RBAC）Ø 实现了用户与访问权限的逻辑分离，减少了授权管理的复杂性，降低了管理开销，而且与日常信息系统管理的架构类似，降低了管理复杂度。

Ø 用户组、角色分级授权Ø 在用户组权限无法满足用户需要的情况下可以给用户直接分配角色，授权形式更加灵活4.2 统一管理用户和组织机构信息Ø 集中管理用户和组织机构信息，保证数据的一致性Ø 用户和组织机构信息都存储在LDAP目录服务中，保证信息安全和读取高效性4.3 支持10多种语言开发的业务系统认证Ø 平台认证服务子系统支持JAVA、.NET、C、C++、PHP、VC、VB、Delphi、PB、ASP等多种开发语言开发的业务系统认证，并提供这些语言认证的标准接口4.4 统一的认证和授权服务Ø 平台提供了统一的认证和授权接口，应用系统通过调用授权认证接口实现用户和权限的管理Ø 提供详细的认证和授权审计记录4.5 提供多种授权级别Ø 授权级别可以控制到应用系统功能、应用系统操作、应用系统4.6 先进的体系结构Ø 采用B/S结构，使得用户通过浏览器就可以完成各种信息处理，简单易用，提高了工作效率Ø 基于dotnet开发规范，支持Sql server和Oracle数据库Ø 三层体系的结构设计，使得各部分的独立性和互联性能力更强，便于扩充和维护Ø 采用Nbear实现数据访问层数据无关性4.7 完善的安全设计Ø 敏感信息的加密处理Ø 数据传输的加密，可以支持https协议的访问Ø 完善的数据备份机制和网络安全认证机制5 运行环境5.1 服务器配置类别最低配置推荐配置硬件CPU2GHZ3G以上内存1G2G以上硬盘40G80G及以上其他网络带宽百兆及以上软件操作系统Windows server2003及以上版本Web服务器IIS6.0及以上版本数据库Sql server ，Oracle5.2 客户端配置硬件配置CPU1G以上，内存1G以上的PC电脑软件环境Windows XP/2003/Vista/2008浏览器IE6.0及以上，Firefox6 典型客户Ø 郑州大学Ø 河南理工大学Ø 河南大学Ø 信阳师范学院Ø 河南经贸职业学院Ø 四川大学锦江学院and performance test copies of the record. If necessary, review should be carried out; 4) for spring hangers (included simple spring, hangers and constant support hangers) it should also be recognized as setting and locking of loads. 5) check the surface quality, folded layering and without cracks, rust and other defects. 5) after completion of the test and control drawing number one by one, by series baled. Color alloy steel parts, the parts marking installation location and rotation about the direction you want. 7.3.14. hangers installation 7.3.14.1 hanger layout a. a clear design of hanger should be installed strictly in accordance with the drawings and designs shall not be installed wrong, missing, etc. B. own arrangement of piping support and hanger set and selection should be based on comprehensive analysis of general layout of piping systems; cold installation of steam pipe with particular attention reserved for compensation of thermal expansion displacement and orientation. C. support systems should be rational to withstand pipe loads, static load and incidental load; reasonable piping displacement; guaranteed under various conditions, stress are within the allowed range. Strength, stiffness, and meet requirements t。