统一用户及权限管理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文件编号:
统一用户及权限管理平台
解决方案及设计报告
版本号0.9
拟制人王应喜日期2006年6月审核人__________ 日期___________ 批准人__________ 日期___________
目录
第一章引言 (1)
1.1编写目的 (1)
1.2背景 (1)
1.3定义 (1)
1.4参考资料 (1)
第二章统一权限管理解决方案 (2)
2.1需求分析 (2)
2.2系统架构 (3)
2.3系统技术路线 (7)
第三章统一用户及授权管理系统设计 (7)
3.1组织机构管理 (8)
3.2用户管理............................................................................................................. 错误!未定义书签。
3.3应用系统管理、应用系统权限配置管理 (9)
3.4角色管理 (8)
3.5角色权限分配 (9)
3.6用户权限(角色)分配 (9)
3.7用户登录日志管理功 (9)
第四章对外接口设计 (10)
4.1概述 (10)
4.2接口详细描述 (10)
4.2.1获取用户完整信息 (14)
4.2.2获取用户拥有的功能模块的完整信息 (15)
4.2.3获取用户拥有的一级功能模块 (16)
4.2.4获取用户拥有的某一一级功能模块下的所有子功能模块 (17)
4.2.5获取用户拥有的某一末级功能模块的操作列表 (19)
4.2.6判断用户是否拥有的某一末级功能模块的某一操作权限 (20)
4.2.7获取某一功能模块的ACL—尚需进一步研究 (21)
4.2.8获取某一模块的数据级权限规划规则—尚需进一步研究 (22)
1引言
1.1编写目的
编写此文的目的从总体上描述企业统一用户及授权管理的解决方案以及统一用户及授权管理系统的功能设计、对外接口设计、数据库设计,并为下一阶段的详细设计以及系统编码、测试提供依据。
本文档读者对象:用户、项目经理、系统分析员、软件文档管理员、质量管理人员,软件开发人员、软件测试人员等。
此文档和附加参考资料作为系统进行设计与测试的基础性文档。
1.2背景
随着信息化的发展,企业的应用不断的增加,而企业的应用行使多样化,既有传统的C/S模式应用,又有基于internet的B/S应用;既有基于Windows平台的.net应用,又有基于J2ee架构的应用。企业在进行信息化建设过程中,在没有实现同以用户及授权管理之前,各个系统的用户独立,且用户授权不能集中管理,这给企业信息化的系统管理员和操作用户带来很多不便。鉴于此,本文提出基于统一用户及授权管理解决方案。
1.3定义
列出本文件中用到的专门术语的定义和外文首字母组词的原词组。
1、SSO:Single Sign On,单点登录
1.4参考资料
2统一用户及权限管理平台解决方案
2.1需求分析
统一用户权限管理主要解决的问题:
1、提供用户注册
用户通过网上注册。
2、提供统一的用户管理和授权管理(应用程序)
权限控制,只实现功能权限控制,而不实现数据(范围)权限控制,主要由于各个业务的数据访问规则很难归纳为标准的访问规则。而功能从权限的控制包括:
●不做权限控制的功能,即不登陆就可操作,如:对外新闻、公告查询
●公共功能:用户只要登陆就可操作的功能,如:内部新闻、内部公告查询
●需权控制的功能:只有当用户拥有该功能的权限才能操作的功能
3、提供统一的用户及权限认证接口
提供的统一的用户及权限认证接口同时满足C/S和B/S应用的用户认证和权限控制的需求;且对于B/S应用,既满足基于windows平台的.net应用,也满足与基于J2ee 架构的应用。
4、提供统一的数据访问接口
统一用户及权限管理平台提供各类数据访问接口,如:获取操作人员的信息、获取机构信息、获取系统功能信息等。
5、系统具有较好的扩展性和灵活性
组织机构、用户的属性要求可以进行适当的增加,以满足各个不同企业的统一权限管理的需要。
统一权限管理,既满足与单个应用授权,也满足所有应用集中授权。
统一权限管理既满足一个机构集中授权,也满足多机构逐级受权。
在统一授权管理中,每个应用权限控制的粒度不一致,有的应用或模块控制得较粗,有的控制得较精确,如:对于数据的维护只是一个“数据维护”权限粗的控制,
也可以控制到“数据新增”、“数据修改”和“数据删除”权限的精确控制上。
//以下由沈伟补充
6、系统的单点登录(包括跨系统的应用调用)
7、权限模型配置(包括模块与部分可通用的数据权限;数据权限做到什么程度需思
考)。
对于第2点中细节描述部分,则形成需建成独立服务模式,而非源程序加载模式。
此需求需讨论。建议:对SSO项目进行继承。
2.2系统架构
图:统一用户及权限管理平台架构
如图所示,统一用户及权限管理平台系统功能由四部分组成:
1、用户注册系统
用户注册系统提供用户网上注册。
2、统一用户及授权管理系用系统
该系统主要由应用系统的系统管人员使用。
系统提供组织机构管理、用户管理、应用系统管理、应用系统权限(功能)配置管理、角色管理、角色权限分配、用户权限(角色)分配、用户登录管理功能。
3、认证与服务
认证服务提供应用系统身份认证接口、权限认证接口、数据访问接口。应用系统同过调用身份认证接口实现用户身份认证;调用实现对用户权限认证;通过调用数据接口读取如用户信息、组织机构信息等数据。
4、认证中心数据库
认证中心数数据库负责存储统一用户及权限管理的数据。
2.2.1统一用户、权限管理数据流程图
从以上图中可知,在进行统一用户、授权管理时,一方面对认证中心的用户信息、权限分配数据进行维护,另一方面,根据需要,可以对门户系统(如Liferay Portal、IBM Websphere Portal)中的相关的用户、权限分配信息进行同步更新,以及对邮件系统中的邮件帐户信息进行同步更新,以及对其它系统的认证信息进行同步更新。
通过以上方案,既满足了统一用户和授权管理,同时,又解决了门户系统、邮件