用户论证及信息管理需求.docVIP

1 江苏开放大学数字图书馆统一身份认证建设 1.1 江苏开放大学数字图书馆统一身份认证需求分析 统一身份论证系统是高校数字化校园解决方案中的核心底层基础平台，为高校各业务应用提供全生命周期的身份管理和统一的认证服务，实现多应用系统的统一认证和单点登录功能。必须具有以下主要功能： 身份管理功能 身份管理功能是统一身份论证系统的核心功能之一，主要使用者是高校信息中心管理员。该功能旨在给管理员提供一个功能全面且易用的身份管理的平台，确保管理员能够管理全校的身份数据及其权限关系，掌握全校身份数据的管理状态和使用状态，审计全校身份数据管理和使用的问题，监控身份管理平台各系统服务的运作状态。具体包括： 认证概况 认证概况是身份管理平台的第一个功能项，它展现了当前身份管理平台内一些重要的状态数据，可使管理员对当前系统的运行状态一目了然，便于管理员及时发现问题和异常。 今日帐号概况：展现今日全校帐号增删改操作的数据。 今日认证概况：展现今日全校帐号登录认证的数据，包括成功认证和失败认证。 今日服务器状态：展现今日各个服务器的健康状态。 帐号及账号同步 帐号身份管理平台内的一个关键功能项，旨在帮助管理员完成全校身份帐号数据的增加、删除、修改、过期设置、锁定/解锁和加入组操作。 帐号列表可查询校内所有的身份帐号数据，并提供了对身份帐号数据的所有管理功能。 身份帐号数据的批量导入和导出。 身份帐号数据字段的完整性和实名。 帐号同步功能基于差异视图，管理员可预先配置好一些帐号同步任务，并让这些任务按照事先设置好的时间循环执行，从而满足对身份帐号数据的自动同步和处理。 帐号统计功能主要展现系统内身份帐号数据的所有操作行为的统计项，包括增加、删除和修改帐号的个数，并以图表的形式展现给管理员。同时，帐号统计功能还可提供帐号历史操作的细节查询功能。 授权及分级授权 授权主要提供校内身份类型组的管理功能。身份类型组用于区分用户的身份类型。 组管理可提供增加、删除和修改组的功能，同时还可以实现加帐号入组和从组中删除帐号。 批量操作可使管理员基于Excel文件来完成帐号入组和帐号出组的操作。 授权统计可通过图表展现帐号入组和帐号出组的操作统计，并且提供操作的细节数据的查询，包括操作时间、操作者、操作IP等。 分级授权管理可对系统的管理员进行管理，包括分派、新增和删除管理员。 配置管理主要指整个系统运行需要的参数设置，包括密码策略定义、兼容管理、预留帐号设置等。 审计 审计是在为管理员及时发现问题之用，可发现帐号、认证和授权中出现的一些问题： 帐号审计中包括休眠帐号、孤儿帐号、密码强度不符合要求的帐号和不规范的帐号。 认证审计中包括恶意认证的帐号、密码暴力猜解的帐号和恶意认证的IP地址。 授权审计中包括空组和无组帐号。 监控 监控功能是为管理员提供了掌握系统各项服务运行状态的可能性，管理员可在实时掌握系统的运行状态。 总体状态分服务器展现各个服务器的总体状态，包括服务器状态、服务器硬件的状态和服务器上会话的状态。 会话状态展现各个服务器上的会话记录状态，并且可提供各个服务器上会话的详细信息，包括帐号、IP地址、最大会话时间、会话空闲时间等。 进程状态展现各个服务器上各个进程的健康状况，并可提供详细的历史记录和历史状态。同时，管理员可以在界面上启停各个进程。 服务器状态展现各个服务器的硬盘、CPU和内存的使用状态，并可提供详细的历史状态和历史记录。 监控设置主要对监控过程中用到的参数进行设置。 身份认证功能 身份认证提供核心基础服务，用于的数字化身份的。主要包括： 一个完整的统一身份认证系统应该由用户身份数据中心、身份管理系统（IM Identity Manager）、访问控制系统（AM Access Manager）组成。用户身份数据中心包括目录服务器（主要存储用户认证信息及权限信息）和数据库（存储用户身份属性信息）。身份管理系统（IM）用来实现用户的身份信息的维护，包括用户管理、身份配给、自动发现、口令管理、权限管理等内容。访问控制系统（AM）主要实现统一认证及单点登录，与门户系统形成统一身份认证系统的展现层。基于访问控制系统，开发各类通用接口，以适应各类应用的接入，在最上层以门户的方式来展现统一身份认证。 图1 统一身份认证系统统一认证三大部分 图2 系统总体框架图 身份管理系统主要存储用户认证信息及权限信息和存储用户身份属性信息，用来实现用户的身份信息的维护，包括用户管理、口令管理、权限管理等内容。访问控制系统主要实现统一认证及单点登录，与门户系统形成统一身份认证系统的展现层。基于访问控制系统，开发各类通用接口，以适应各类应用的接入。在最上层以门户的方式来展现统一身份认证，门户系统为各类用户进行应用的分类导航及信息反馈。 2 江苏开放大学数字图书馆用户信息