大学数字化校园身份认证平台设计方案.doc

大学数字化校园身份认证平台设计方案.doc

  1. 1、本文档共22页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
大学数字化校园身份认证平台设计方案 抄投标文件 招标文件: 总体架构 随着学校数字化校园应用建设的逐步深入,已经建成的和将要建成的各种应用系统存在不同的身份认证方式,安全信息各自管理,广大师生用户必须记忆不同的密码和身份。为了解决多账户问题,方便老师和学生使用数字化校园的各个应用管理系统,迫切要求建立一套统一的身份管理平台,用户只需要在平台上登录一次就可以使用所有的数字化校园内的应用软件系统。 在本次设计中,企业公司考虑到学校的应用环境的复杂性,也为了更好的保护学校的投资,建议学校建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系,将组织机构信息、用户身份信息统一管理,进行分级授权和集中身份认证,规范应用系统的用户认证方式。 这种设计,提高了应用系统的安全性和用户使用的方便性,实现全部应用的单点登录。即用户经统一应用门户登录后,从一个功能进入到另一个功能时,系统平台依据用户的角色与权限,完成对用户的一次性身份认证,提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。在学校工作人员进行了调动、调级、调职等变更后,或者学校体制改革、组织机构变动后,使用户的身份和权限在各系统之间协调同步,减少应用系统的开发和维护成本。 在针对本项目设计中,企业公司引入身份信息的生命周期管理,通过身份访问管理系统展现出身份和可访问的系统资源的对应关系,在底层使用身份同步适配器,及时将各业务系统的身份、用户信息同步到LDAP服务器和身份信息数据库中。学校所有的数字化校园访问用户的信息,都来自于相关的业务系统,如,教师信息来源于人事管理系统,学生信息来自于学籍管理库中。 这样,将用户的基本信息的管理放入各自业务系统中,使身份认证平台关注于机构、角色和权限模型的建立及管理上,进而提高了系统的安全可靠性。 认证数据存储 目录服务是统一身份认证平台的基础。学校所有的用户信息分别存放在LDAP目录服务和数据库中,通过可靠的机制完成两者的同步;用户身份信息在目录服务中以层次结构,面向对象的数据库的方式集中存储管理,从而保证身份数据的一致性和完整性,为校园各类应用提供基础的一致的用户信息访问。 在LDAP服务器产品中,我们使用基于标准的LDAP目录服务器进行身份信息同步存储,并利用LDAP的标准协议接口实现和其他应用系统的身份认证管理。 《图 LDAP用户信息管理》 《图 LDAP身份信息管理》 用户在身份管理中可以进行各种角色的分类:教师、学生、校友、临时人员;校领导、处长、部门信息员;本科生、研究生等等。在原有的数字化平台中,对于教职工和学生,平台还不支持按照一定查询条件批量导出,新的人员还不能智能的、批量的生成平台账号。 在新的平台中将实现这些功能。对于平台的账号,在公共数据库中有相关数据与其对应,利用数据交换平台中的导入导出工具即可以实现这些功能。 下图是新进教职工批量生成平台账号的示例。 《图 批量生成账号示意图》 对于新进教工,数据来源于人事处的人事管理系统,通过数据交换平台的机制对数据进行加载、处理、转换等一系列操作,解析出新进人员数据,再由系统job自动触发在LDAP中生成账号,并且将这些人员数据回写到个业务系统中去,完成一个自动的、完整的数据流程,批量的生成这些人员的账号和密码。 认证流程 门户平台认证流程 数字化校园门户系统的统一身份认证可以通过统一资源目录服务中存储的用户ID、口令以及系统登录信息来认证用户身份并登录门户系统。其认证过程如下: Web Web Browser LDAP Server Portal Policy Portal 1 2 3 4 7 LDAPServer Referral 5 6 Web Browser LDAP Server Portal Policy Portal 1 2 3 4 7 LDAPServer Referral 5 6 《图 统一身份认证及门户关系》 1、用户通过UID+PASSWORD进行系统登录; 2、PORTAL SERVER通过IDS API从LDAP SERVER 进行用户身份认证; 3、如本地LDAP SERVER没有整个用户信息,则根据LDAP SERVER的REFERRAL所设定的LDAP SERVER去进行身份认证; 4、远端LDAP SERVER将身份认证信息返回给PORTAL POLICY; 5、经过验证的用户返回到PORTAL POLICY,POLICY的授权模块根据用户角色提供相应的功能及个性化定制; 6、POLICY提供相应的功能及个性化定制内容返回给PORTAL; 7、内容通过PORTAL展现给用户BROWSER。 应用系统认证流程 现有应用系统和待建系统包括业务、管理等系统。统一用户管理与授权系统中可存放这些系统的配置信息,

文档评论(0)

阿宝 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档