1.统一身份认证系统-骨干项目建设专题网-重庆工商职业学院.doc

重庆工商职业学院门户和权限需求说明书 (1)系统目标： 构建以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系，实现对人员、权限、认证的统一管理，支持对组织机构的管理和维护，并能监控系统服务。可以采用LDAP技术，实现用户身份认证和权限控制体系，对用户身份信息和系统控制信息进行有效组织管理，提供高效安全的目录访问，满足不同业务的不同安全级别要求，为数字化校园的各应用系统提供统一身份认证和权限控制的支持。 系统要求对本期所新建的应用系统进行集成，还要对已经存在的、其它不同技术开发的应用系统进行集成，同时还要考虑未来应用系统的集成需要而预留接口。 (2)系统框架 统一身份认证平台基于LDAP，实现校园网内的统一用户身份认证和权限控制体系，利用目录服务，对用户身份信息和系统控制信息进行有效组织管理，提供高效安全的目录访问，为数字校园的各应用系统提供统一身份认证和权限控制的支持。 1.2功能要求 (1) 认证服务 认证服务是统一身份认证平台的核心基础服务，用于学校对管理学生、教师和其他人员的数字化身份的过程进行维护。 定义符合我校特点的身份数据规范并将其应用于每个身份，以管理这些用户对资源的访问。 遵从SAML规范，能够支持实现SAML规范的其他应用。 支持多种用户认证方式。 (2) 用户管理 组织机构管理、用户注册、账号关联、用户管理、角色管理。 提供基于Web界面的集中式身份管理。 支持密码策略管理，如密码策略的定义、密码丢失、锁定、过期的处理等。 支持工作流式的用户组订阅管理。 (3) 权限控制 应用系统基础信息管理、模块基础信息管理、应用系统权限管理、角色权限管理、用户授权管理。 能支持基于用户属性和角色的分级授权和访问控制。 (4) 单点登陆服务 要求提供用户一次登录即可按照授权访问所有许可应用系统的功能。 能实现多个基于异构Web服务器的外部应用系统间的单点登陆。 能支持基于用户、角色、动态属性、IP地址、时间段等形式的授权和访问控制策略。 (5) 目录服务 目录服务要求提供统一身份认证平台的所有用户身份信息提供集中化的存储和目录服务。 符合LDAP v3版本标准。 可以对目录服务进行扩展，以管理高校用户特定的身份信息以及扩展用户验证。 (6) 认证接口服务 认证接口服务为外部应用访问统一身份认证平台要求提供高可用性和跨平台的接口和通道。通过认证接口可以获得用户身份认证、用户身份数据提取、单点登录等服务。 面向多操作系统、支持多种语言。 通过认证接口客户端提供身份认证、身份数据访问和单点登录功能。 提供LDAP目录服务接口，为特殊的高并发应用提供身份认证功能。 开放Web Service API接口。 (7) 负载均衡 提供大并发访问下的高可用性，实现双机热备和负载均衡的能力，提高硬件设备的使用效率。 (8) 数据同步服务 提供外部权威数据源向统一身份认证系统同步身份数据的功能，以确保各系统中的用户身份信息保持实时性和一致性。 提供灵活的同步策略配置，能够灵活地选择同步内容，也可设置同步参数。 支持自动同步，可实现系统定期同步数据。 支持目录数据的多主复制，能够在多个目录服务器之间进行实时数据同步。 (9) 管理操作审计 将所有用户所做的权限变化过程都记录在日志中，并提供相应的查询功能，作为日后审计的依据。提供审计日志功能和审计报表生成功能。 1.3系统功能 1.3.1统一用户管理 按照用户类别进行划分，可以将用户划分为学生、教师、管理人员、校领导和校友五大类，每个大类又可以继续拆分成不同的小类，下表举例子，不包含所有的分类： 序号 大类 小类 1 学生 1.1 研究生 1.2 本科生 1.3 专科生 1.4 新生 1.5 毕业生 1.6 研究生 1.7 校友 1.8 。。。 2 教职工 2.1 教师 2.2 教工 2.3 退休人员 2.4 临时工 2.5 。。。 3 管理人员 3.1 学生处管理人员 3.2 人事处管理人员 3.3 。。。 4 4.1 学校领导 4.2 部门领导 4.3 学院领导 5 校友 。。。 对于各类不同类别的用户，用户管理用来建立用户目录，管理用户基本信息，主要需要具备功能： 用户 在新学期开始之前，从招生办导入新增入校的学生的信息，系统将导入的信息按照数据库要求和用户信息生成要求自动生成用户在数字化校园的个人信息。 用户更新信息 用户向统一身份认证服务发出用户信息更新请求。 服务查询用户库，如果该用户信息可以更新(有该ID存在，同时提供的密码也是正确的等等)，那么将该用户的信息将在用户库中更新。 当保存完毕后，统一身份认证服务响应用户，更