联通门户规范沟通.pptVIP

内部门户系统定位 内部门户系统总体目标 内部门户系统逻辑功能架构 内部门户系统两级逻辑架构 - 概述 两级逻辑架构分解 – 两级建设和互访 两级逻辑架构分解 – 两级目录数据同步 用户目录两级逻辑架构 内部门户应用功能描述 – 概述 内部门户应用功能描述 内部门户应用 – 关键技术 · 展现集成 内部门户应用 – 关键技术 · 展现控制 用户管理与认证功能描述 – 概述 用户管理– 用户基本概念和功能 用户管理– 正式用户维护流程 用户管理– 非正式用户维护流程 用户管理– 组织管理 用户管理– 关键技术· 目录管理 用户管理– 关键技术 · 目录管理 认证与授权–基本逻辑 认证与授权–用户帐号管理概述 认证与授权–用户密码管理概述 认证与授权–用户密码AD同步示意 认证与授权–用户认证 认证与授权–关键技术 · 密码自助 认证与授权–关键技术 · 访问控制 认证与授权–关键技术 · 单点登录 “短信通知”问题？与办公系统的关系 门户互访：集团到省、省到集团门户能看到什么信息，具体规则或规定是什么？ 地市使用门户看到的是什么东西？ 信息发布：目前是“两级信息发布管理”； 门户：模块 用户管理与认证 “短信通知”问题？与办公系统的关系 门户互访：集团到省、省到集团门户能看到什么信息，具体规则或规定是什么？ 地市使用门户看到的是什么东西？ 信息发布：目前是“两级信息发布管理”； 门户：模块 用户管理与认证 认证与授权–账号管理体系架构 应用账号管理整体分为全国和省分（总部）两级。 在全国通过全国账号同步服务按规则创建全国集中应用系统、AD系统和省分目录系统的账号。 在省分账号管理通过账号同步服务和账号管理平台实现。 账号同步服务跟据目录数据按规则创建访问控制系统、账号管理系统和其它应用系统账号。 应用系统也可以通过代理接入账号管理系统进行管理。 衡谣喧碾试气暇赦服庞芽满帆挨酮妮拄顿九妮或认龄瘤有狈楼践各毅晕舱联通门户规范沟通联通门户规范沟通 密码的设置要求长度至少8位，必须包含字符字母和数字，其密码的重复字母数不能大于3； 密码必须有使用期限的限制，过期强制提醒修改或根据规则强制修改； 用户改密码时需要验证原密码； 密码可以通过用户自助服务或者让管理员通过帐号管理平台进行修改； 当帐号的所有者遗忘了帐号密码时，MSS管理员可以重置密码，并要求记录密码操作日志； 用户几次登录不成功，系统将自动锁定帐号；解锁过程可通过用户手机获取新密码、通过管理员手工修改密码、用户手机口令找回密码等方式实现；系统需要支持不同的密码解锁方式。 根据管理要求，被集成的应用系统访问密码与门户密码必须保持一致； 门户密码必须保持与AD系统中帐号密码的一致； 门户密码修改后，自动修改AD域密码；反之，控制被集成的应用系统、AD域修改访问密码的权限，即不允许用户脱离门户修改AD域和被集成应用系统密码。 密码一致性控制 密码基本策略 宾遵钉届闽裹听耐诗刀彻扶堑渴烹天笑烈驮悟兜卧峡狗滥表筋瞄抬践婶会联通门户规范沟通联通门户规范沟通 门户系统与AD系统在集团一个节点实现密码同步 由于目前仅有一个全国同步节点，一旦AD系统出现问题，将直接影响门户系统密码更改过程； 从安全风险控制角度，必须强化AD域安全保障能力，同时在AD与门户的接口节点和流程上强化技术支撑能力。 ①用户SSO登录门户后，通过密码自助修改帐号密码； ②密码写入帐号管理平台； ③帐号管理平台调用全国用户管理系统提供的密码管理接口，通过该接口将密码写入全国目录和全国AD； ④帐号管理平台将密码写入总部/省分目录、总部/省分访问控制系统和应用系统。 注 肥遁劈同交柴妮垂之碑熙漫青朽诡富乍韭囤躺束娄诬骇枝中噎占庄豺顶右联通门户规范沟通联通门户规范沟通 用户通过认证网关认证并实现门户及应用系统的单点认证； 所有与门户集成的应用系统都必须要求实现单点认证； 用户的桌面必须实现与AD域的单点认证； 门户系统间的互访必须实现跨域单点认证； 认证系统需提供标准的认证接口； 集成的应用系统需实现认证接口。 门户的认证服务由认证网关提供，应用系统的认证由应用系统提供； 用户在登录门户时由认证网关进行身份验证,随后，用户在访问门户集成应用时，由应用系统进行系统内身份认证； 用户通过桌面登录域时，通过AD系统进行身份认证后，在登录门户系统时，则不需要再进行门户身份认证。 认证规则 认证网关功能及要求 碴允昏趁临妙燎国梨瘫唁漓郸傀棚嘿冰作填铣仲哺色抑斋律戒寺惊挤开汹联通门户规范沟通联通门户规范沟通 密码自服务功能，提供用户修改密码的功能，要求密码自服务页面集成到门户展现，用户密码修改后，调用帐号管理平台API更新主帐号密码； 主帐号密码修改后，将密码同步到各应用系统，并将密码修改请求提交到全国用户管理平台接口； 在全国用户