xx电信ad域用户管理平台系统开发可行性分析研究报告.doc

XX电信 AD域用户管理平台系统开发 建议书 目录 1 现状及存在的问题 5 1.1 背景 5 1.1.1 目前统一认证系统逻辑架构 5 1.2 目前存在的问题 6 1.2.1 缺乏统一身份、统一权限管理 6 1.2.2 数字身份安全性不够高 6 1.2.3 缺乏标准规范 7 2 系统功能需求 8 3 方案整体说明 11 3.1 建设目标 11 3.2 功能结构图 11 3.3 拓扑图 13 3.4 系统模块逻辑结构图 15 3.5 系统技术架构 15 3.6 认证流程 16 4 方案详细说明 17 4.1 用户认证管理 17 4.1.1 单点登录（SSO）产品比较与选择 17 4.1.2 利用ADSI进行AD扩展编程 18 4.1.3 能修改客户度端认证模块的系统 20 4.1.4 不能修改客户端认证模块的系统 22 4.1.5 获取旧系统权限信息 24 4.1.6 认证日志处理 25 4.1.7 认证系统特色 25 4.2 客户端代理程序 27 4.2.1 统一认证登录 27 4.2.2 新增应用程序 27 4.2.3 修改应用程序配置 28 4.2.4 修改应用程序登录信息 28 4.2.5 应用程序树形链接清单 29 4.2.6 运行应用程序 29 4.2.7 帮助 29 4.2.8 退出 29 4.2.9 日志记录 29 4.2.10 意外处理 30 4.2.11 认证接口 30 4.2.12 环境配置 30 4.3 AD域用户C/S应用认证模块 31 4.3.1 功能说明 31 4.3.2 Windows平台及Kerberos安全认证说明 31 4.3.3 认证环境要求 34 4.3.4 认证过程 35 4.3.5 服务主体名称SPN说明 38 4.3.6 接口说明 38 4.4 AD域用户B/S应用认证模块 40 4.4.1 功能概要说明 40 4.4.2 .NET认证模块接口说明 40 4.4.3 J2EE认证模块接口说明 40 4.4.4 接口安全性说明 43 4.5 IT基础信息源 45 4.5.1 员工基本资料库 45 4.5.2 基础信息接口 45 4.6 组织架构管理 45 4.6.1 组织架构显示 45 4.6.2 组织架构编辑 45 4.7 人员信息管理 46 4.7.1 添加人员信息 46 4.7.2 修改人员信息 46 4.7.3 自助服务 46 4.7.4 人员查询统计 46 4.8 应用系统管理 47 4.8.1 基础信息管理 47 4.8.2 访问权限管理 47 4.8.3 接口定义和管理 47 4.8.4 任务计划管理 47 4.9 Web服务管理 48 4.9.1 Web服务接口 48 4.9.2 安全管理 48 4.9.3 查询统计 48 4.10 基础数据管理 48 4.10.1 基础数据编辑 48 4.10.2 基础数据接口 49 4.11 基础服务保障 49 4.11.1 扩展接口 49 4.11.2 数据同步 49 4.11.3 缓存管理 49 4.12 系统权限管理 49 4.12.1 角色管理 49 4.12.2 权限管理 50 4.12.3 角色权限关系 50 4.13 系统监控 50 4.13.1 状态监控 50 4.13.2 报警设置 50 4.13.3 查询统计 51 4.14 系统日志管理 51 4.14.1 日志检索 51 4.14.2 统计报表 51 5 项目实施 52 5.1 项目组织机构 52 5.1.1 本项目组织架构 52 5.1.2 项目决策委员会 52 5.1.3 项目评审小组 53 5.1.4 系统开发小组 53 5.1.5 项目组成员构成及职责 53 5.1.6 XX信息公司项目人员安排 54 5.2 项目实施进度计划 54 5.3 项目管理计划 54 5.4 项目质量审查 55 6 总结 56 现状及存在的问题 背景 目前统一认证系统逻辑架构 随着信息系统建设的快速发展，XX电信目前常用的MSS、BSS及OSS等系统多达几十个，为了解决多系统切换、多套账号密码带来的工作效率低、安全性低的问题，XX电信实施了统一认证系统，逻辑架构图如下： 用户桌面安装统一认证客户端程序，通过客户端专用的非标准认证接口与服务器认证模块建立加密通信，认证成功后用户可以通过客户端界面上的应用程序链接进入应用系统。 目前存在的问题 该系统为用户进入不同系统提供了方便，提高了工作效率。但目前系统也存在一些问题： 缺乏统一身份、统一权限管理 信息分散、重复录入 各应用系统实际还采用自动同步的方式保存用户的账号和密码，数字身份其实还分散在各系统中。各系统的用户个人身份信息重复录入，浪费人力。 没有统一视图，效率低、管控难 目前统一认证系统设计时只考虑单点登录认证的问