CA与门户整合的解决方案.docVIP

CA系统与门户集成 解决方案 财政部信息网络中心 引言 目标 通过CA系统与财政统一门户（以下简称门户或Portal）集成，使中央财政系统实现单点登录和身份安全认证。 预期读者 本方案的相关项目管理、分析设计和程序开发人员。 需求描述 本方案通过中央财政系统与门户的有效集成，形成通过门户实现单点登录，把众多财政系统入口通过门户统一实现CA身份认证。具体需求描述如下： 1、统一用户管理。为每个使用应用系统的用户建立唯一的标准用户标识其用户身份，形成标准用户集并统一管理维护，同时建立和维护标准用户与应用系统用户的对照关系。 2、单点登录和身份认证。用户统一使用标准用户通过门户进行单点登录，在登录过程中，基于CA系统进行身份认证，并通过标准用户与应用系统用户的对照关系，列出该用户可登录的系统列表，用户选择后直接登录相应的应用系统。 3、系统可靠性及应急方案。CA系统和门户系统都采用双机方式部署，具有较高的可靠性。在特殊情况下如CA系统或者门户服务器宕机时，用户还可以通过原有的用户名/密码方式直接访问应用系统。 解决方案 总体架构 图3-1门户、中央财政系统和CA系统整合总体架构图 总体架构由中央财政应用系统、门户、CA系统三部分组成，其中统一用户管理系统根据CA系统提供的用户集整理出用于登录门户的标准用户集，并对标准用户信息进行管理维护，同时通过统一用户管理系统管理维护标准用户与应用系统用户的对照关系；门户提供门户管理功能，用于实现各系统的门户集成和单点登陆；CA系统提供身份认证服务、证书申请及发放等业务。其总体处理流程如下： 1、系统管理员通过CA系统提供的证书申请为用户申请数字证书。 2、CA系统把数字证书写入USBKEY后，发放给财政用户。 3、从CA系统已梳理的用户集中，选择可以登录门户的用户，按照标准用户命名规则维护并存储到统一用户管理系统并对标准用户进行统一管理。 4、应用系统将其维护的应用用户信息发送到统一用户管理系统。 5、在统一用户管理系统中，建立标准用户与应用系统用户的对照关系，该对照关系用来实现标准用户对应用系统的访问权限。 6、用户将USBKEY插入计算机中，打开门户登录界面，输入KEY的密码，登录门户。 7、进行登录时，门户将USBKEY中存储的数字身份证书信息发送到CA系统的身份认证网关进行身份认证。 8、认证通过后，CA系统返回标准用户信息的唯一标识，门户根据标准用户信息的唯一标识从统一用户管理系统中取得对照关系，列出该用户可登录的系统列表，用户选择后直接登录相应应用系统。 系统主要功能 CA系统 CA系统主要提供数字证书申请、身份认证等服务。 1、数字证书申请主要是采集用户信息、申请数据证书、生成USB Key并发放给用户。 2、CA系统提供身份认证服务，供用户登录门户进行身份认证时调用。 统一用户管理系统 统一用户管理功能 统一用户管理系统基于平台生长，其主要功能如下： 1、管理和维护平台标准用户信息；提供应用系统用户信息同步功能。 2、管理维护标准用户和应用系统用户的对照关系，实现标准用户对应用系统的访问授权。 3、提供标准用户信息查询服务和对照关系访问服务。 4、提供相关查询功能，如：查询标准用户信息、对照关系等。 统一用户管理工作流程 图3-2统一用户管理系统主要工作流程 统一用户管理系统的主要工作流程如下： 1、增加新用户时，首先通过平台的用户管理功能检查平台中是否存在该用户的标准用户信息，如果没有，则按照标准用户命名规则在平台中新增一个标准用户。 2、应用系统根据其自身用户管理流程和命名规则，在应用系统中新增该用户信息。 3、应用系统把新增的应用用户信息，通过统一用户管理系统提供的应用系统用户信息接收服务，保存到平台的应用系统用户信息表中。 4、在统一用户管理系统中，配置标准用户和应用系统用户对照关系，通过对照关系的设置，确定该标准用户对应用系统的访问权限。 5、统一用户管理系统提供查询标准用户信息、对照关系情况等。 财政统一门户 门户提供门户管理功能，用于实现各系统的门户集成和单点登录。 应用系统与门户集成 应用系统根据技术架构的不同，总体上分成B/S和C/S两大类系统，与门户集成后两大类系统在门户的表现形式统一为门户中应用系统菜单或图标，如下图所示： 图3-3与门户集成后的应用系统菜单 单点登录与CA身份认证 用户使用标准用户访问门户实现单点登录。门户在验证用户信息时，把数字证书转发到CA系统身份认证网关中进行身份认证。CA系统认证示意图如下图所示： 图3-4 CA系统认证示意图 用户登录门户时，门户把数字证书信息发送给CA系统进行身份认证，身份认证通过后，用户通过门户的菜单访问应用系统，调用时采用应用系统用户编码（UID）和门户中产生的SESSION ID（SID）。应用系统在访