统一用户管理与认证平台需求说明书解析.doc

南山区教育信息网应用系统 统一用户管理与认证平台 需求说明书 项目及文档信息 发布日期：2008-9-30 项目名称 南山区教育信息网应用系统 合同号 项目合同编号 项目经理 杨巨龙 客户负责人 石义琦 文档编号 项目代号-文档类型-流水号 模板编号 版本信息 * A代表新增，M代表修改，D代表删除。 版本号 发布日期 提交人 审阅人 A.M.D 更新位置 更新摘要 1.0 2008-9-30 A 拟初稿  1 引言 3 1.1 编写目的 3 1.2 背景 3 1.3 定义 3 1.4 参考资料 4 2 任务概述 4 2.1 目标 4 2.2 用户的特点 4 2.3 假定和约束 5 3 需求规定 5 3.1 对功能的规定 5 3.1.1 统一用户管理 5 3.1.2 统一认证与单点登录 7 3.1.3 应用系统自身的用户及认证管理 8 3.2 对性能的规定 8 3.2.1 精度 8 3.2.2 时间特性要求 8 3.2.3 灵活性 9 3.3 输人输出要求 9 3.3.1 用户信息 9 3.3.2 认证信息 9 3.4 数据管理能力要求 9 3.5 故障处理要求 9 3.6 其他专门要求 9 4 运行环境规定 9 4.1 设备 9 4.2 支持软件 10 4.3 接口 10 4.4 控制 10 引言 编写目的 本文档的编写目的在于确定南山教育信息网统一用户管理与认证平台的需求内容，成为后续开发建设和验收的依据。 背景 在应用系统的建设中，用户身份和认证信息的管理是最关键的一部分。但是由于需求总是在不断变化和发展，应用系统也会不断的增加或淘汰。因此，应用系统通常都是在不同平台上、由不同开发商开发，使用的技术不一致，容易造成每套系统都有独立的用户身份管理，登录不同应用系统需要多次登录。对于用户来说，每增加一个新的应用，需要记忆一套新的用户名/密码，负责的业务范围越大，需要记忆的用户名/密码组越多。设定一样的密码，不够安全；密码设定不一样，记忆困难，每次访问应用系统，需要重复输入用户名/密码，在一个系统中修改了密码，其他系统的密码不会随之改变。对于系统管理员而言，没有一个统一的用户管理系统，就会在新进人员时，需要到众多系统中逐一建立帐号；人员离职时，需要到众多系统中逐一删除帐号，给系统管理员的工作造成了繁重负担，还容易造成各系统中人员身份信息的不一致。对于学校领导、教师和学生等用户，由于其可以享受资源服务，为防止他人冒名顶替、盗用资源，故须对这些合法用户要进行实名认证。Web方式的应用系统。 （3）应用系统管理：在实现了用户统一认证的基础上，制定出一套规范的用户单点登录机制，提供用户身份统一访问接口，要求所有新建且可以经过统一身份认证系统认证的应用系统，涉及的账号一定是统一身份认证系统的用户帐号。这些应用系统必须被统一身份认证系统所管理，管理平台设置可以访问此应用系统的用户、组织或角色等。 （4）旧系统策略：提供自动代理登录（自动登陆到其它目标业务系统）功能，实现统一用户可以单点登录旧系统，代理登陆所需要的用户信息保存在独立数据库中。 （5）日志管理：可以查看用户登录以及用户同步的日志记录。 用户的特点 南山教育信息网的用户涉及到南山教育局以及下属的各个学校和机构的全体用户，具体包括：约1万的教职工用户，约10万的中小学生用户、约10万的家长用户。所有这些用户都将由统一认证平台统一管理，平台管理员有权管理所有的用户信息，而各个单位（如某个学校）的管理员可以管理本单位的用户信息，普通的用户可以使用自己的帐号通过平台进行统一登录，然后单点式的访问南山教育信息网类自身具有权限的应用系统资源，不再需要为访问某一个应用系统而分别输入用户、密码。 假定和约束 南山教育信息网具备全局的统一用户库，各分项的应用子系统可以仍然具备自身的用户体系，但用户信息源于统一用户库，用户的产生由统一用户管理负责，各应用系统接收平台发送的用户同步信息。 各应用系统必须提供相关的接口以支持单点登录，对于已有的应用系统而言，通过基于用户映射的代理访问方式，不需要单独开发单点登录接口。 需求规定 对功能的规定 统一用户管理 平台提供南山教育信息网全体实名用户的用户资料信息集中存储，这些资料由统一用户认证平台集中管理，平台管理员可以维护所有人员的用户信息，各单位的管理员只能维护其本单位的用户信息。 用户的信息包括应包括3个层面的含义：1、用户的人事类基础信息，诸如姓名、性别、户籍、身份证、职务、联系电话、电子邮箱、学历、学位等等，这些信息不涉及安全登录，但可以作为用户登录帐号信息的生成来源。2、用户的帐号信息，诸如登录帐号、密码、密码有效期、登录方式等，这些信息涉及安全登录，在进行用户认证时，构成校验信息的主体。3、权限信息