统一身份认证、统一系统授权、统一系统审计、统一消息平台、统一内容管理方案设计.docVIP

PAGE 1 统一身份认证 统一身份认证 统一系统授权 统一系统审计 统一消息平台 统一内容管理 基础支撑层 统一身份认证（SSO） 统一身份认证解决用户在不同的应用之间需要多次登录的问题。目前主要有两种方法，一种是建立在PKI，Kerbose和用户名/口令存储的基础上；一种是建立在cookie的基础上。统一身份认证平台主要包括三大部分：统一口令认证服务器、网络应用口令认证模块(包括Web 口令认证、主机口令认证模块、各应用系统口令认证模块等) 和用户信息数据库，具体方案如下图。 认证代理 认证代理 Web系统 用户访问 公共数据库平台 认证服务器 Web Service接口 Web系统链接 其他资源 验证 1、采用认证代理，加载到原有系统上，屏蔽或者绕过原有系统的认证。 2、认证代理对用户的认证在公共数据平台的认证服务器上进行，认证代理可以在认证服务器上取得用户的登录信息、权限信息等。 3、 同时提供一个频道链接，用户登录后也可以直接访问系统，不需要二次认证。 4、对于认证代理无法提供的数据信息，可以通过访问Web Service接口来获得权限和数据信息。 单点登录认证的流程如下图所示： 单点登录只解决用户登录和用户能否有进入某个应用的权限问题，而在每个业务系统的权限则由各自的业务系统进行控制，也就是二次鉴权的思想，这种方式减少了系统的复杂性。统一身份认证系统架构如下图所示。 门 门 户 统一系统授权 统一系统授权支撑平台环境中，应用系统、子系统或模块统通过注册方式向统一系统授权支撑平台进行注册，将各应用系统的授权部分或全部地委托给支撑平台，从而实现统一权限管理，以及权限信息的共享，其注册原理如下图。 统一系统授权平台 统一系统授权平台 注册机 。。。。。。。。。。。。 OA系统 业务系统一 业务系统N 应用系统或模块URL 应用系统或模块URL 权限委托 权限委托 用户对各应用系统的访问权限存放在统一的权限信息库中。用户在访问应用系统的时候，应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能，根据统一系统授权支撑平台返回的结果进行相应的处理，其原理如下图。 统一系统授权平台 统一系统授权平台 Web Service 用户 OA 业务系统一 业务系统N 。。。。。。。。。。. 统一系统授权支撑平台的授权模型如下图所示。在授权模型中采用了基于角色的授权方式，以满足权限管理的灵活性、可扩展性和可管理性的需求 统一系统授权支撑平台的系统结构如下图所示管理员 管理员 组织机构及用户管理 应用程序权限管理 用户授权管理 用户信息库 授权信息库 用户单点登录 应用程序权限控制 Web Services 应用系统 用户 统一系统审计 统一系统审计平台通过实时监控网络活动, 分析用户和系统的行为、审计系统、评估敏感系统和数据的完整性、对异常行为进行统计、跟踪识别违反安全法则的行为，使系统管理员可以有效地监控、评估系统。统一系统审计平台目标是能够进行审计部署，实现对操作者、操作时间、操作对象和操作行为等信息的自动记录，并提供这些信息的查询、统计等功能，达到检测不安全的操作行为的目的。统一系统审计平台系统结构如下图。 OA OA 业务系统1 业务系统N 。。。。 审计系统 系统审计 审计、日志数据库 信息记录 分析 过滤 审计信息 日志信息 统一信息平台 统一信息平台实现各种业务系统待办信息的整合。用户登录内网门户系统后，系统自动根据登录的用户身份整理分类业务系统待办信息，通过门户系统展现给用户。统一待办信息平台系统架构如图： 业务系统n 业务系统n 待办信息 Web service Web service 用户 用户 统一待办信息平台 DB 用户 统一待办信息之前 统一待办信息之后 业务系统1 待办信息 Web service 用户 OA 待办信息 Web service 采用Webservice、XML为核心的数据交换方式。各业务系统通过调用统一待办信息平台所提供的Webservice消息服务接口，实现各业务系统与统一待办信息平台之间的消息传递。 统一待办信息平台消息传递的主要内容如表： 业务系统编码 消息编号 消息标题 消息内容地址 消息生效日期 消息失效日期 消息接收人 采用基于标准的WebService方式开放消息服务接口，未来接入的信息系统可通过调用此接口快速实现待办信息整合。