(3)统一身份认证平台功能描述

合集下载

高校信息化三大平台功能补充

高校信息化三大平台功能补充一、门户平台（1）门户平台系统集成•系统集成是门户的重要价值点。

•系统集成按照集成深度可分为:界面集成、数据集成、应用集成。

界面集成如不同业务系统的界面统一集成为火麒麟门户界面;数据集成典型的如基于全局库(共享库）开发查询类应用，如一卡通查询；应用集成往往涉及多个应用，并基于这些应用进行流程重编排，产生出新的价值点. （2)提供服务:信息门户的作用在于为数字化校园提供以下三个方面的服务：整合数据：搜集和组织大量的、未相互连接的、分散数据;发布信息：将这些数据以一种易用的、可定制的、基于浏览器的界面呈现给各类用户.信息访问:通过多种访问机制，使用户可以不受时间、地点的约束进行访问。

二、数据交换平台(1）数据交换平台是把不同来源、格式、特点性质的数据在逻辑上或物理上有机地集中,从而为高校提供全面的数据共享。

（2)数据集成平台通过统一的全局数据模型来访问异构的数据库、遗留系统、Web 资源等。

它位于异构数据源系统(数据层) 之间，向下协调各数据源系统，向上可以为访问集成数据的应用提供统一数据模式和数据访问的通用接口。

（3）实施步骤：1)建立学校级的数据交换中心；2)和学校信息建设办公室或信息化领导小组确定需要进行数据交换的部门;3)对每一个部门进行数据交换规则调研，并由学校最终确定交换规则;4)对已有系统的部门进行原有系统调研，并确认不同系统之间的数据接口;5)改造数据接口；6)整合各个部门数据，并按照交换规则进行数据交换；7)完成数据交换后和原有系统并行试用一段时间,确定交换准确性和可行性；三、统一身份认证：（1）数字身份管理:统一用户数字身份管理主要实现用户资源的统一管理和维护，实现全局范围的统一用户管理与授权系统,从而实现人员、组织、角色、工作组、应用的集中逻辑互连管理。

根据学校用户管理比较分散的特点,提供从权威数据采集用户数据,并实时更新目录服务器中的用户数据,提供：⏹数据源采集点和采集周期定义；⏹数据源变化跟踪和自动采集.（2）应用系统认证管理：身份认证及权限管理系统存放应用系统的配置信息，对新建应用系统使用同一资源管理进行人员身份认证,也可进行访问权限控制和进行单点登录等，对原有系统人员基本信息可与目录服务中的人员基本信息进行统一和同步。

(3)统一身份认证平台功能描述

数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................................................................................... - 1 -1.1 产品简介................................................................................................................... - 1 -1.2 应用范围................................................................................................................... - 1 -2 产品功能结构....................................................................................................................... - 2 -3 产品功能............................................................................................................................... - 2 -3.1 认证服务................................................................................................................... - 2 -3.1.1 用户集中管理............................................................................................... - 2 -3.1.2 认证服务....................................................................................................... - 3 -3.2 授权服务................................................................................................................... - 3 -3.2.1 基于角色的权限控制................................................................................... - 3 -3.2.2 授权服务....................................................................................................... - 4 -3.3 授权、认证接口....................................................................................................... - 4 -3.4 审计服务................................................................................................................... - 4 -3.5 信息发布服务........................................................................................................... - 5 -3.6 集成服务................................................................................................................... - 5 -3.6.1 应用系统管理............................................................................................... - 5 -3.6.2 应用系统功能管理....................................................................................... - 6 -3.6.3 应用系统操作管理....................................................................................... - 6 -1产品概述1.1产品简介随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题：➢用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登录系统时需要多次输入用户名/密码，操作繁琐。

EETrust统一身份认证平台(UAP)技术方案

1. 概述统一身份认证平台是基于PKI（Public Key Infrastructure）理论体系，利用CA、数字签名和数字证书认证机制，综合应用USB接口智能卡、安全通道、VPN等技术，为门户、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。

1.1 认证系统实现目标本方案是按本地用户需求规划构建的统一身份认证平台，为本地用户各业务系统提供统一的身份认证和综合安全服务，以实现内联网、外联网及移动办公的统一认证：（1）建立本地用户自己独立的CA数字证书受理系统⏹基于CA，为平台各系统用户统一颁发数字证书；⏹支持数字证书的USB-KEY存储；（2）实现多应用的统一身份认证⏹统一的认证门户；⏹支持多个B/S结构、C/S结构的业务系统接入平台；⏹平台对用户统一授权和认证；⏹每一用户只使用一个USB-KEY访问所有被授权的系统；（3）移动办公安全⏹使用同一种认证方式进行VPN接入认证；⏹能够根据用户组授权访问不同的应用系统；⏹完善的日志和报表，提供用户登录、退出的时间等信息；（4）应用数据安全⏹本地文件使用个人证书进行加密保存和读取；⏹OA系统中秘密文件的加密存储和加密传输；⏹OA系统中电子邮件的签名和加密传输；1.2 统一身份认证平台主要功能门户系统（Portal）——各业务系统信息资源的综合展示。

统一授权——平台为用户统一颁发数字证书和私钥并存储在USB-KEY中，作为用户访问平台及各应用系统的凭据，并对用户访问应用系统的权限进行授权。

身份认证——用户在访问平台及各应用系统时，都使用相同的凭据（即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN），并利用数字签名技术在平台进行身份认证，证明其身份的真实性。

单点登录（SSO）——用户在通过平台认证后，可直接访问已授权的各应用系统，实现不同应用系统的身份认证共享，从而达到多应用系统的单点登录。

数据共享——认证平台存储了用户的基本信息和证书信息，所有应用系统均可以充分利用这些信息，减少用户信息的重复录入。

统一身份认证平台讲解

统⼀⾝份认证平台讲解统⼀⾝份认证平台设计⽅案1）系统总体设计为了加强对业务系统和办公室系统的安全控管，提⾼信息化安全管理⽔平，我们设计了基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台。

1.1.设计思想为实现构建针对⼈员帐户管理层⾯和应⽤层⾯的、全⾯完善的安全管控需要，我们将按照如下设计思想为设计并实施统⼀⾝份认证服务平台解决⽅案：内部建设基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应⽤模块实现所提出的员⼯帐户统⼀、系统资源整合、应⽤数据共享和全⾯集中管控的核⼼⽬标。

提供现有统⼀门户系统，通过集成单点登录模块和调⽤统⼀⾝份认证平台服务，实现针对不同的⽤户登录，可以展⽰不同的内容。

可以根据⽤户的关注点不同来为⽤户提供定制桌⾯的功能。

建⽴统⼀⾝份认证服务平台，通过使⽤唯⼀⾝份标识的数字证书即可登录所有应⽤系统，具有良好的扩展性和可集成性。

提供基于LDAP⽬录服务的统⼀账户管理平台，通过LDAP中主、从账户的映射关系，进⾏应⽤系统级的访问控制和⽤户⽣命周期维护管理功能。

⽤户证书保存在USB KEY中，保证证书和私钥的安全，并满⾜移动办公的安全需求。

1.2.平台介绍以PKI/CA技术为核⼼，结合国内外先进的产品架构设计，实现集中的⽤户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供⽤户⾝份、系统资源、权限策略、审计⽇志等统⼀、安全、有效的配置和服务。

如图所⽰，统⼀信任管理平台各组件之间是松耦合关系，相互⽀撑⼜相互独⽴，具体功能如下：a)集中⽤户管理系统：完成各系统的⽤户信息整合，实现⽤户⽣命周期的集中统⼀管理，并建⽴与各应⽤系统的同步机制，简化⽤户及其账号的管理复杂度，降低系统管理的安全风险。

b)集中证书管理系统：集成证书注册服务（RA）和电⼦密钥（USB-Key）管理功能，实现⽤户证书申请、审批、核发、更新、吊销等⽣命周期管理功能，⽀持第三⽅电⼦认证服务。

统一身份认证平台功能描述

数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................. - 1 -1.1 产品简介....................................................... - 1 -1.2 应用范围....................................................... - 2 -2 产品功能结构......................................................... - 2 -3 产品功能............................................................. - 3 -3.1 认证服务....................................................... - 3 -3.1.1 用户集中管理............................................. - 3 -3.1.2 认证服务................................................. - 3 -3.2 授权服务....................................................... - 4 -3.2.1 基于角色的权限控制....................................... - 4 -3.2.2 授权服务................................................. - 4 -3.3 授权、认证接口................................................. - 4 -3.4 审计服务....................................................... - 5 -3.5 信息发布服务................................................... - 5 -3.6 集成服务....................................................... - 6 -3.6.1 应用系统管理............................................. - 6 - 3.6.2 应用系统功能管理......................................... - 6 - 3.6.3 应用系统操作管理......................................... - 7 -1产品概述1.1产品简介随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题：➢用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登录系统时需要多次输入用户名/密码，操作繁琐。

企业统一用户认证平台方案

OA系统
统一用户中心
Unified User Center
统一身份认证中心全景图
1.登录门户 PORTAL
验证用户名密码成功，产生 Token，将token放入Map，
user为登录用户对象 2.验证用户名密码
3.如果token有效返回成功信息
统一认证中心
4.从门户登录应用系统
传递Token給应用系统
企业统一用户认证平台方案 IDM
需求理解
1. 业务系统众多，协同办公、人力资源、财务、合规、固收、估值、清算、柜台、报送，每个系统中用户很多，管理很复杂；
2. 各个业务系统用户账号命名规则各异，同一员工在各个系统中的账号截然不同； 3. 每个系统密码策略不同，导致同一用户在各个系统中的密码截然不同； 4. 员工在每天的工作中，需要多次登录多个不同系统； 5. 业务系统授权管理分散，无法做到集中管理、集中授权； 6. 用户操作审计工作分散、缺失，无法统计系统的使用情况、使用频率，无法进行
人员组织机构
自建、或从它系统同步只作为主账号的分类，方便查询、定位
人员访问系统权限
人员关联角色，角色关联可访问系统密码策略管理，密码管理
用户自助维护系统
更改密码，重置密码，找回密码个人信息维护系统映射关联
集中审计管理
系统登录、注销、禁用，状态可查用户登录哪些系统、登录频率、登录时间，均可查认证信息、访问记录可查，识别系统潜在威胁某一系统在线人数、某一时段在线人数用户使用行为分析
验证Token，以及访问 ip，并且将应用的唯一标识appkey传递过去。
5.验证
各应用系统
6.返回验证结果根据Token从map里面取得用户，根据userid以及应用的appkey去验证此用户是否有权限访问，有则把

统一身份认证平台

统一身份认证平台信息化建设是一个动态的、进展的进程，随着各类信息系统不断增加完善，对信息平安、权限治理、系统间交互的需求也将愈来愈强烈。

原有各独立的应用效劳系统各自为政的身份认证方式已经难以适应进展的应用环境。

学校需要有一个独立、平安、高效和靠得住的身份认证及权限治理系统，由此系统来完成对整个信息系通通一身份认证与权限治理。

身份认证系统将是数字校园建设的重要组成部份，该系统为数字校园的所有用户提供统一的身份确认与权限交付。

用户通过一次认证后，即可取得相应权限，并利用数字校园中所有应用效劳系统提供的效劳。

另一方面，必需要有一个比较稳固的动态口令和统一身份认证系统专门好地结合，如此每一个用户都具有一个静态口令和一个不断转变的动态口令，治理员能够设置用户静态口令和动态口令不同的可利用范围，如此从另一个角度提高了整个信息化的平安性；如此的一个动态口令系统必需能够和各应用系统的动态口令系统有专门好的接口，使得在纵向能够做到动态口令的一致性。

通过指定相应的集中认证技术标准，提供统一的应用系统用户治理接口，最终实现所有新建系统用户认证的统一集中化治理，做到真正意义的集中认证。

实现各应用系统的“集中认证”，能够完全改变各自为政、治理松散的用户治理模式，充分发挥学校内部网络治理保护部门的治理职责，标准用户操作行为，强化用户合理利用网络资源的意识。

本系统重点包括三个方面：用户资料的集中存储和治理、用户身份集中的验证、访问权限的集中操纵和治理。

建设目标随着应用建设的慢慢深切，已经建成的和将要建成的各类数字校园应用系统存在不同的身份认证方式，用户必需经历不同的密码和身份。

因此，要建设以目录效劳和认证效劳为基础的统一用户治理、授权治理和身份认证体系，将组织信息、用户信息统一存储，进行分级授权和集中身份认证，标准应用系统的用户认证方式。

提高应用系统的平安性和用户利用的方便性，实现全数应用的单点登录。

即用户经统一应用门户登录后，从一个功能进入到另一个功能时，系统平台依据用户的角色与权限，完成对用户的一次性身份认证，提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。

数字化校园中统一身份认证平台应用浅析

综合理论234学法教法研究课程教育研究1 数字化校园建设的一些现状随着高校IT 应用的迅速发展，基于校园网的应用系统越来越多，在没有统一身份管理的情况下，不同的系统需要各自维护用户信息。

用户如需访问多个系统，不仅要面对多个登录界面，还要记忆不同的用户名和口令。

这样一种各自为政、管理松散的用户管理模式，不仅影响用户的使用效率，还使系统管理员的管理难度越来越大。

除此之外信息和资源还无法实现高效共享，数据无法实时更新，造成信息的重复管理。

随着应用系统的不断增多，以上问题将会更加严重，管理更加困难，这些都迫切需要统一身份认证系统的支持，以适应数字化校园的发展趋势。

统一身份认证系统集中存储用户信息，实行统一认证、统一授权和集中管理。

终端用户在通过统一身份认证中心的验证后，就可以登录到任何已经接人统一身份认证中心的、其有权限访问的应用系统，极大地方便用户使用，提高系统的易用性，提升用户体验，减少应用系统的开发和维护成本。

2 统一身份认证平台技术架构统一身份认证平台包含四大逻辑组成部分：数据存储、用户身份管理、用户认证和对外服务，其技术架构如图所示。

（1）身份管理身份管理用于实现认证服务的管理与监控，主要使用者是学校信息技术中心管理员。

该功能旨在提供一个功能全面且易用的身份管理平台，使管理员能够管理全校的身份数据及其权限关系，掌握全校身份数据的管理状态和使用状态，审计全校身份数据管理和使用的问题，监控身份管理平台各系统服务的运作状态。

身份管理功能主要包括概况、账号、认证、授权、审计、监控和系统功能等功能模块。

概况模块用于展现当前身份管理平台内一些重要的状态数据，让管理员对当前系统的运行状态一目了然，便于管理员及时发现问题和异常。

账号模块用于完成全校身份账号数据的增加、删除、修改、过期设置、锁定/解锁和加入组操作。

其中用户数据采集可以采用以下方式：① 使用公共数据平台从学校数据中心学生库和教师库自动抽取用户身份数据，并加以归纳和整理后同步到身份管理平台的身份数据库。

统一认证授权平台用户使用手册

统一认证授权平台用户使用手册微软(中国)有限公司顾问咨询部2021年4月实用文档目录1. 登陆管理 (5)1.1 用户登陆 (5)1.2 用户注销 (5)2. 组织机构管理 (7)2.1 公共系统 (7)2.1.1 机构管理 (7)2.1.2 机构查询 (13)2.1.3 用户查询 (14)2.2 运营流程再造项目 (15)2.2.1 机构管理 (15)2.2.2 机构查询 (26)2.2.3 用户组查询 (27)2.2.4 用户查询 (28)3. 权限管理 (30)3.1 运营流程再造项目 (30)3.1.1 角色管理 (30)实用文档3.1.2 角色组管理 (38)3.1.3 前端功能管理 (43)3.1.4 角色查询 (45)3.1.5 任务查询 (46)4. 自授权管理 (48)4.1 公共系统 (48)4.1.1 角色管理 (48)4.1.2 角色组管理 (49)4.1.3 任务管理 (50)4.1.4 前端功能管理 (52)4.1.5 数据权限管理 (53)4.1.6 角色查询 (54)4.1.7 任务查询 (55)5. 审批管理 (57)5.1 审批管理 (57)5.1.1 待审批工作项 (57)5.1.2 已提交工作项 (58)6. 系统管理 (60)实用文档6.1 日志管理 (60)6.1.1 登陆日志 (60)6.1.2 操作日志 (61)6.2 密码管理 (62)6.2.1 重置密码 (62)实用文档1.登陆管理1.1用户登陆交易定义：用户在进入用户管理平台之前必须进行身份验证，以便确定在本系统中的操作权限。

界面描述：1.2用户注销交易定义：点击注销按钮，退出登陆。

界面描述：实用文档实用文档2.组织机构管理2.1公共系统在系统中只有一个公共系统存在，由树状关系表示整个机构之间的隶属关系2.1.1机构管理菜单项：组织机构管理－》公共系统－》机构管理交易定义：该功能用来查看、新增或修改、删除实体机构，为实体机构添加删除下级机构或用户。

统一身份认证介绍

证系统
报表系统
研发进度
已实现功能
员工号/口令登录员工号/指纹登录
• 用户自维护 • 多种信息查询 • 与ESB联动 • 整合第三方系统
后续完善功能
权限控制
凭据管理认证强度控制
体系成员
内控合规管理系统问题检查跟踪管理系统
谢谢各位
THANK YOU!
统一身份认证系统联动演示
重庆农村商业银行
统一身份认证介绍
科技信息部操骏峰
致谢感谢易明总工程师感谢项目组成员谭勇、刘引、张渝、朱秀奎感谢所有帮助和支持本项目建设的人
什么是统一身份认证实现原理研发进度体系成员
什么是统一身份认证
统一身份认证，是整合我行现有身份认证体系，为各应用系统提供用户身份识别服务的公共基础平台。
实现原理
由于各应用对安全等级要求的不同，对认证强度的要求也不相同
有些应用，无需登录即可使用
办公网门户、网上党校
有些应用，仅需确认访问者是我行员工
合规网
内控合规管理系统
综合业务系统
生产类应用，需要严格识别身份并鉴权，要求
远程集中授权
采用强认证方式（如柜
员卡、动态口令等），
并严格规定了访问凭据
的有效期
协同办公系统
报表系统
有些应用，需要识别用户身份，并严格按机构角色授权
实现原理
研发难点
建成时间、开发商不同，各家公司采用自己的技术标准，无法完全统一
对用户身份识别和鉴权要求程度不同对用户访问凭据及认证强度要求不同业务逻辑对用户、机构、归属关系的要求不同其他因素（如：C/S架构、支持配合程度）
设计理念
以最简单的认证方式实现统一身份认证对各应用系统的整合以网页链接方式发布，利用口令无关性和浏览器的跨平台特性，最大

统一身份认证管理平台介绍 (1)

目前单点登录主要基于Web的多种应用程序，即通过浏览器实现对多个B/S 架构应用的统一账户认证。
7
SSO实现机制
用户登录系统A 被引导到认证系统认证系统进行身份校验通过则返回认证凭据ticket 从认证系统跳转到A 系统用户访问 A系统成功
用户访问 C、D、E 系统通过则直接访问B系统
认证系统对ticket 进行校验 B 系统将 Ticket 送到认证系统
用户登录系统B
8
SSO核心任务
统一认证机制
所有应用系统可以识别和提取 Ticket信息
识别用户登录
所有应用系统共享一个身份认证机制
识别 Ticket
所有应用系统能自动判断当前用户是否登录过，从而完成单点登录
15
审计管理
系统内部现在有多少休眠账号？账号审计授权审计认证审计审计日志多少用户密码强度不够？多少账号初始密码没改过？
多少孤儿账号？
16
监控管理
服务器状态
会话状态监控配置
17
谢谢观看
唯一身份
你是谁
你能干什么
你干了什么
监控管理 (Monitoring)
运行平台基础软硬件情况
12
身份管理
账号管理批量操作账号同步账号容器账号元数据账号统计
13
认证管理
认证应用
管理帐号所能访问应用系统
认证统计
显示应用系统登录情况统计
14权授权统计
‹#›
目录
CONTENTS
1
2
背景统一身份认证管理平台
3
PART 01
背景
企业信息化发展 OA

统一身份认证系统

1.1. 统一身份认证系统通过统一身份认证平台，实现对使用系统的使用者进行统一管理。

实现统一登陆，避免每个人需要记住不同使用系统的登陆信息，包含数字证书、电子印章和电子签名系统。

通过综合管理系统集成，实现公文交换的在线电子签章、签名。

统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。

2. 技术要求✧基于J2EE实现，支持JAAS规范的认证方式扩展✧认证过程支持HTTPS，以保障认证过程本身的安全性✧支持跨域的使用单点登陆✧支持J2EE和.NET平台的使用单点登陆✧提供统一的登陆页面确保用户体验一致✧性能要求：50并发认证不超过3秒✧支持联合发文：支持在Office中加盖多个电子印章，同时保证先前加盖的印章保持有效，从而满足多个单位联合发文的要求。

✧支持联合审批：支持在Office或者网页（表单）中对选定的可识别区域内容进行电子签名，这样可以分别对不同人员的审批意见进行单独的电子签名。

✧ Office中批量盖章：支持两种批量签章方式：⏹用户端批量盖章；⏹服务器端批量盖章。

✧网页表单批量签章：WEB签章提供批量表单签章功能，不需要打开单个表单签章，一次性直接完成指定批量表单签章操作，打开某一表单时，能正常显示签章，并验证表单完整性。

✧提供相应二次开发数据接口：和使用系统集成使用，可以控制用户只能在使用系统中签章，不能单独在WORD/EXCEL中签章，确保只有具有权限的人才可以签章,方便二次开发。

✧满足多种使用需求：电子签章客户端软件支持MS Office、WPS、永中Office、Adobe PDF、AutoCAD等常用使用软件环境下签章，网页签章控件或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签名中间件。

因此可以满足机构内几乎所有的对电子印章使用的现实和潜在需求。

✧跨平台部署：后台服务器软件采用JAVA技术开发，具有良好的跨平台性，可以部署到各种操作系统平台下。

统一身份管理平台操作手册

统一身份管理平台操作手册正方软件股份有限公司修订控制页目录1前言 ........................................................................................................... 错误!未定义书签。

2第一章系统概述........................................................................................ 错误!未定义书签。

3第二章系统管理........................................................................................ 错误!未定义书签。

3.1系统设置 .................................................................................................... 错误!未定义书签。

3.2用户类型管理 ............................................................................................ 错误!未定义书签。

3.3单位类型管理 ............................................................................................ 错误!未定义书签。

3.4单位管理 .................................................................................................... 错误!未定义书签。

统一身份认证管理平台产品白皮书-天安捷信

统一身份认证管理平台UTS V4.0产品白皮书北京天安捷信科技有限公司2013年5月1前言随着信息化的不断深入，企业的IT环境越来越复杂。

众多IT系统的建设，一方面为企业带了先进高效的管理方法和工作平台，帮助企业更好的实现业务目标；另一方面也为用户日常工作，IT系统管理和业务系统安全带来了很多的问题和风险信息孤岛难以打破实体身份难以管理共享安全难以保障应用效益难以体现管理水平难以提升北京天安捷信科技有限公司，在深刻理解企业应用系统整合需求的基础上，针对信息化管理现状，以业务需求为导向，自主开发出统一信任管理平台（UTS），为企业提供基于可信身份的统一信任管理解决方案。

统一信任管理平台可为企业实现：1)业务资源整合在多个不同业务系统之间搭建一座桥梁，相互之间关联到一个统一平台上，强化不同业务系统间的协同工作；系统访问将变得更加透明、便捷。

该平台的建立为实现业务系统的综合管理、高效整合提供了可行性和便利性；2)统一身份管理提供了有效、安全的身份管理机制，为企业完成各系统间的用户信息整合，实现用户生命周期的集中统一管理；同时基于PKI/CA体系为所有用户提供数字证书服务，使对企业应用系统的访问更加安全、可靠；3)安全策略集中统一的安全策略提高了系统的管理效率，通过统一的策略管理和基于角色的访问控制技术、各种高强度认证方式，提升了用户的认证体验和企业的管理效率；1技术架构图2-1 UTS V4.0技术架构图平台的技术优势采用JAVA开发，适应市场中主流的应用服务器。

如tomcat、websphere、weblogic、jboss、glassfish等前端采用javascript这种解释性脚本语言，兼容大部分浏览器采用springmvc框架，使得开发简洁，利于扩展采用hibernate框架，系统可以运行在市场各大主流数据库下。

2系统架构图3-1 UTS V4.0系统架构图系统整体功能架构主要由应用层、策略层、服务层、数据层和数据接口层组成，以上层次结构的设计主要功能如下：●应用层UTS用户主要分为系统用户和最终用户两类，应用层主要面向最终用户提供服务，在UTS整体架构设计中，能够独立作为应用面向最终用户提供服务的主要就是SSO单点登录系统，最终用户通过访问SSO单点登录系统完成UTS后台所有策略管理配置的实现机制效果。

统一身份认证平台白皮书

统一身份认证平台产品白皮书1. 产品简介统一身份认证平台可为企业办公网络中的B/S和C/S业务系统、网络设备、主机、数据库等企业资源，提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。

统一身份认证平台分为两个型号：平台-S和平台-G，分别具有不同侧重：平台-S作为应用帐号管理、统一认证、单点登录和权限管理中心，以企业用户、B/S和C/S系统为整合目标，实现统一认证、统一授权和访问控制。

平台-G是以提供企业内部应用系统、服务器主机、网络设备等资源的访问控制为目标，集成强身份认证、会话审计、集中管理功能的一体化硬件设备。

可对企业内部用户应用访问、管理员维护等各类操作进行访问控制。

平台-G基于包过滤及代理技术，可实现对HTTP、Telnet、SSH、FTP、RDP远程桌面、CIFS 文件共享等应用协议的访问控制及会话审计。

列表说明平台-S与平台-G的区别：1.1 产品可解决的问题统一身份认证平台能够满足不同企业集中认证、访问控制和安全管理的需求。

1、安全身份认证服务。

提供口令认证、证书认证、USB智能卡认证、动态令牌认证、指纹认证、短信认证等多种认证方式；同时支持LDAP、AD、RADIUS等外部认证源。

2、联邦身份认证中心。

为企业应用、主机、设备等提供多种认证接口，实现企业内部用户的统一身份认证，将统一身份认证平台作为企业内所有业务系统的认证入口，用户登录统一身份认证平台后，由统一身份认证平台对登录用户进行集中授权。

3、应用系统（B/S、C/S）的安全单点登录。

通过统一身份认证平台认证并授权的用户，可在统一身份认证平台中通过单点登录的方式访问B/S、C/S应用，方便用户使用，提高工作效率。

4、网络访问控制。

在网络设备和服务器资源管理中指定用户可以访问的网络资源，从网络层限制了用户的网络访问权限，可用多种可选方式对维护人员的身份进行认证，可以有效避免非法用户的假冒。

5、访问审计。

记录系统范围内的安全和系统审计信息，有效地分析整个系统的日常操作与安全事件数据，通过归类、合并、关联、优化、直观呈现等方法，使管理员轻松识别应用系统环境中潜在的恶意威胁活动，可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。

统一身份认证管理平台介绍

企业应用集成
集成多个系统并保证各个系统互不干扰
企业应用集成
应用集成
多应用系统间交互
数据集成
数据存储层面：数据大集中传输层面：通用数据交换平台应用层面：业务流程整合用户层面：通用门户
保持多个系统数据一致、同步
22
Portal技术
强调以用户为中心，提供个性化、单点登录、不同来源的内容整合功能，从而实现了信息的集中访问。本质上来说就是一个内容聚集的平台。提供基于角色的视图展示方案。
17
➢账号审计 ➢授权审计 ➢认证审计 ➢审计日志
审计管理
系统内部现在有多少休眠账号？多少孤儿账号？
多少用户密码强度不够？多少账号初始密码没改过？
18
➢服务器状态 ➢会话状态 ➢监控配置
监控管理
19
统一登录展示形式
PART 04企业应用集成
界面集成
集成用户交互界面
流程集成
跨业务系统的业务逻辑流转
监控
总体状态会话状态服务器状态监控配置
任务调度密码策略监控设置帐号元数据系统配置帐号容器
LDAP数据库
13
关系型数据库
管理平台主要功能
身份管理 (Account)
认证管理 (Authentication)
授权管理 (Authorization)
操作审计 (Audit)
唯一身份
你是谁
身份管理
平台基础服务
管理平台功能结构
集成接口
LDAP接口 CAS接口 OAuth接口
身份自助服务
我的账号找回密码密码修改
帐号管理
帐号列表批量操作帐号同步帐号统计
认证管理

统一身份认证系统需求

目录1业务概述 (2)1.1业务背景 (2)1.2业务目标 (2)1.3业务范围 (3)1.4专业术语说明 (3)1.5关联业务需求 (4)1.6整体计划 (4)2业务需求 (4)2.1统一认证 (4)3性能需求 (15)3.1系统响应时间 (15)3.2容量支持要求 (15)1业务概述根据公司建立统一认证系统的总体目标，针对现有工程系统和办公系统，和正在规划中的系统，做了充分的需求调研，最终确定了现阶段统一认证系统的具体要求,形成了本需求内容。

1.1业务背景现阶段，公司信息系统正处于快速建设系统的阶段，各应用系统都拥有各自的用户管理及权限管理，用户登录各系统时需切换不同的身份方可进入相应的系统，给用户带来极大的不便，也给IT运营维护带来极大的困扰。

另外，随着公司各项业务的关联性不断增强，各应用系统之间的基于用户身份的数据集成因此受到阻碍。

为了解决这一问题，建立统一认证系统提上日程。

统一认证管理系统，可提供可靠统一用户登陆、用户认证等功能，它可以在不改变现有基础结构的情况下，对现有的系统进行集成，也能适应各种未知系统的集成。

1.2业务目标建立统一认证系统是IT规划的总体目标之一，目的是为了使得现有系统的用户信息重复混乱、用户重复登录体验差的现状得以改变，也为新规划的系统建立统一的认证标准。

总体目标：建立完善的统一认证系统，实现企业内系统的集成，提供可靠的、可管理的统一认证服务。

主要建设目标有：✧建立统一认证系统，提供统一身份认证服务；✧实现系统的统一认证集成；1.3业务范围1.4专业术语说明1.5关联业务需求1.6整体计划2业务需求2.1统一认证2.1.1业务需求描述2.1.1.1总体目标建立统一认证系统的目的就是使分布在一个企业内部的各个异构系统的认证工作集中在一起，通过一个公用的认证系统统一管理和验证用户的身份。

在SSO Server上认证的用户将获得SSO颁发的一个证书，使用这个证书，用户可以在承认SSO证书的各个系统上自由穿梭访问，不需要再次的登录认证。

统一身份认证系统用户使用手册

统一身份认证系统用户使用手册目录1、PC端用户界面 (2)2、移动端登录功能。

(2)3、通过QQ、微信认证功能 (3)4、如何修改统一身份认证账号密码 (7)5、如果一位老师或同学有多个合法账号，怎么办？ (8)1、PC端用户界面统一身份认证登录界面2、移动端登录功能。

使用HTML5技术，使得移动端登录界面可自适应屏幕大小。

3、通过、微信认证功能认证平台提供、微信联合认证功能，即或微信用户经与统一身份认证账号捆绑后，只要用户计算机已经登录了捆绑的或通过手机微信二维码扫描，即可自动完成学校数字校园的统一身份认证功能。

登录新版统一身份认证系统后，点击“账号绑定”按钮。

出现下面的界面：（1）与统一身份认证账号绑定点击“腾信”同行的“绑定账号”按钮，用手机版扫描二维码或者点击头像即可授权与统一身份认证绑定。

（2）微信与统一身份认证账号绑定（功能即将上线）。

与与统一身份认证账号类似。

3、首次登录需要完善个人信息首次登录新平台时，需要捆绑电子邮箱、个人手机号码信息，以便于师生用户在忘记密码的时候，通过回答电子邮箱或手机验证码方式重置密码。

（1）绑定邮箱：点击与邮箱输入文本框同一行的绑定按钮在弹出的“邮箱绑定”对话框中输入您的邮箱，并点击获取验证码打开您的邮箱，把系统给您发送的6位数字验证码输入到界面的“验证码”后面的文本框，然后点击绑定。

弹出以下页面则表明邮箱绑定成功。

（2）绑定手机点击与“手机号”同一行的“绑定”按钮。

在弹出的“手机绑定”对话框中，填写您的手机号，并点击“获取验证码”按钮。

在您的手机收到验证码后，在“验证码”后面的文本框输入。

然后点击“绑定”按钮。

弹出以下页面则表明手机邦洞成功。

邮箱和手机绑定成功后，页面显示如下：点击“保存”按钮，完成手机和邮箱绑定功能。

4、如何修改统一身份认证账号密码点击界面左侧的“修改密码”按钮，出现以下界面：5、如果一位老师或同学有多个合法账号，怎么办？学校存在一位老师或同学可能有多个合法账号的情况，例如，本校教工在职攻读本校博士学位，则同时会拥有一个教工账号和一个学生学号，此时只需要把手机和邮箱与一个常用账号绑定，其它账号与这个常用账号再做绑定，不用每个账号都要绑定一个邮箱和手机。