统一用户身份管控与认证平台建设方案.ppt

Contents 目录 统一用户身份管控与认证平台建设方案 1 整体架构 2 平台能力介绍 3 账号同步方案 建设目标 构建内部统一的用户管理体系 统一用户管理 构建内部统一认证中心、认证枢纽，提供满足一期工程规划的身份认证基础能力 实现全业务系统的单点登录功能，一次登录验证，多次访问 统一认证中心、认证枢纽 单点登录 实现基于角色的功能授权及基于功能菜单级的集中鉴权，同时支持分布鉴权，满足业务系统内自鉴权需求； 集中鉴权及分布鉴权 集中授权及分级授权 实现内部用户账号的统一管理，满足“管用审”的集中授权管理与分级授权管理； 大数据中心用户、各委办局用户、区各单位用户，web接入方式，通过统一门户单点至仪电门户使用业务 用户注册（管理员分配，暂无用户自注册需求）、用户登录功能统一提供，用户身份、组织机构统一管理。 沿用门户登录认证设计（账号密码+文字验证码），提供账号密码+短信验证码的功能 提供“管用审”集中授权功能，支持各应用系统用户、角色、资源自定义的分级授权与鉴权 用户类型 用户/身份管理 认证管理 授权/鉴权管理 根据不同用户类型，实现对用户进行用户/身份管理、认证管理、授权管理及鉴权管理 平台名词解释 操作标识 操作名称 操作类型（访问控制/业务执行） 应用 顺序 状态（有效/无效） 外系统通过身份管控平台离线接口，同步用户、角色、权限、资源等信息到本系统 ，由本系统实现鉴权 自鉴权 外系统通过身份管控平台实时接口，校验用户、角色、权限、资源等信息，实现统一实时鉴权 统一鉴权 分域（责任域） 机构组织 行政区域 用户组 分类 用户 角色 角色标识 角色编码 角色名称 角色类型（责任域） 角色描述 所属组织 所属行政区域 权限 权限标识 归属应用 资源类型 资源名称 操作标识（只读/可写/执行） 责任类型（责任域） 操作 菜单编码 菜单名称 应用 层级 顺序 责任域 资源 整体架构 大数据身份管控平台由认证数据、认证服务中心、业务子系统三部分组成，实现政务端组织、用户统一管理，用户统一入口登录 区域、机构、员工、应用、角色、权限、 资源数据同步服务 统一鉴权服务 认证服务中心 自鉴权 统一鉴权 业务子系统 认证主流程 目录 1 整体架构 2 平台能力介绍 3 账号同步方案 功能架构图 系统管理 配置管理 认证鉴权服务 身份管控平台 日志管理 认证引擎 系统设置 字典管理 IP黑白名单 基础权限管理 系统监控 账户管理 应用管理 资源管理 角色管理 授权管理 会话管理 组织机构 岗位管理 小组管理 权限管理 区域管理 角色管理 认证方式管理 个人中心 登录认证 身份认证 统一鉴权接口 统一授权接口 大数据中心身份管控平台由配置管理、认证鉴权服务、系统管理三部分功能组成。 认证鉴权服务能力 用户服务 票据服务 应用服务 角色服务 权限服务 区域与组织机构服务 6大类服务 28个能力接口 提供登录地址、登出、获取用户列表、修改邮箱、修改手机号、修改昵称、修改密码、修改用户信息、获取用户列表、获取用户信息能力 提供获取一次性票据、获取登录令牌能力 提供根据各种条件获取用户角色列表能力 提供应用列表、单个应用资料信息、应用内资源列表、平台所有资源列表、单个资源信息、权限鉴权、跳转重定向路径能力 提供根据各种条件获取用户权限列表能力 提供获取区域列表接口、组织机构列表 配置管理-账号管理 管理人员/ 工作人员 用户2 账号1 …… 用户N 2.账户与机构关联 3.用户信息管控 市……区 人民政府 …… 市……区 ……街道 1.机构建立及上报 用户信息修改 用户锁定/解锁 用户授权 构建市管理中心机构，用户账户添加后与机构相关联，并提供对用户信息进行维护管理，包括用户信息修改，用户账号锁定、解锁，以及为用户进行授权等。 配置管理-机构维护及上报 新增、修改机构 上报机构 支持对机构信息进行新增、修改、申请上报。 配置管理-用户密码修改及锁定 支持对用户密码进行修改，同时可将用户账号进行锁定/解锁。 提供对用户密码进行修改。 用户密码修改 上报机构 配置管理-用户管理及授权 支持对用户进行管理及授权。 用户新增及修改 用户授权 1.支持对用户进行新增、对用户信息进行修改。 2.支持给用户进行授权，系统根据不同角色分配，实现不同用户可进入对应子系统进行功能操作。 1 整体架构 2 平台能力介绍 3 账号同步方案 对接方案-新建账号 消息监听程序 消息推送 kfaka 身份认证平台 政务工作人员统一门户 管理员 新建账号 1、管理员基于政务门户新建账号，并基于政务门户发布订阅消息系统实现账号信息的推送。 2、各应用子系统通过Kafka监听政务门户推送的账号信息，并及时完成账号对接入库。 数据入库 对接方案-历史存量账号 对