(3)统一身份认证平台功能描述
高校信息化三大平台功能补充
高校信息化三大平台功能补充一、门户平台(1)门户平台系统集成•系统集成是门户的重要价值点。
•系统集成按照集成深度可分为:界面集成、数据集成、应用集成。
界面集成如不同业务系统的界面统一集成为火麒麟门户界面;数据集成典型的如基于全局库(共享库)开发查询类应用,如一卡通查询;应用集成往往涉及多个应用,并基于这些应用进行流程重编排,产生出新的价值点. (2)提供服务:信息门户的作用在于为数字化校园提供以下三个方面的服务:整合数据:搜集和组织大量的、未相互连接的、分散数据;发布信息:将这些数据以一种易用的、可定制的、基于浏览器的界面呈现给各类用户.信息访问:通过多种访问机制,使用户可以不受时间、地点的约束进行访问。
二、数据交换平台(1)数据交换平台是把不同来源、格式、特点性质的数据在逻辑上或物理上有机地集中,从而为高校提供全面的数据共享。
(2)数据集成平台通过统一的全局数据模型来访问异构的数据库、遗留系统、Web 资源等。
它位于异构数据源系统(数据层) 之间,向下协调各数据源系统,向上可以为访问集成数据的应用提供统一数据模式和数据访问的通用接口。
(3)实施步骤:1)建立学校级的数据交换中心;2)和学校信息建设办公室或信息化领导小组确定需要进行数据交换的部门;3)对每一个部门进行数据交换规则调研,并由学校最终确定交换规则;4)对已有系统的部门进行原有系统调研,并确认不同系统之间的数据接口;5)改造数据接口;6)整合各个部门数据,并按照交换规则进行数据交换;7)完成数据交换后和原有系统并行试用一段时间,确定交换准确性和可行性;三、统一身份认证:(1)数字身份管理:统一用户数字身份管理主要实现用户资源的统一管理和维护,实现全局范围的统一用户管理与授权系统,从而实现人员、组织、角色、工作组、应用的集中逻辑互连管理。
根据学校用户管理比较分散的特点,提供从权威数据采集用户数据,并实时更新目录服务器中的用户数据,提供:⏹数据源采集点和采集周期定义;⏹数据源变化跟踪和自动采集.(2)应用系统认证管理:身份认证及权限管理系统存放应用系统的配置信息,对新建应用系统使用同一资源管理进行人员身份认证,也可进行访问权限控制和进行单点登录等,对原有系统人员基本信息可与目录服务中的人员基本信息进行统一和同步。
(3)统一身份认证平台功能描述
数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................................................................................... - 1 -1.1 产品简介................................................................................................................... - 1 -1.2 应用范围................................................................................................................... - 1 -2 产品功能结构....................................................................................................................... - 2 -3 产品功能............................................................................................................................... - 2 -3.1 认证服务................................................................................................................... - 2 -3.1.1 用户集中管理............................................................................................... - 2 -3.1.2 认证服务....................................................................................................... - 3 -3.2 授权服务................................................................................................................... - 3 -3.2.1 基于角色的权限控制................................................................................... - 3 -3.2.2 授权服务....................................................................................................... - 4 -3.3 授权、认证接口....................................................................................................... - 4 -3.4 审计服务................................................................................................................... - 4 -3.5 信息发布服务........................................................................................................... - 5 -3.6 集成服务................................................................................................................... - 5 -3.6.1 应用系统管理............................................................................................... - 5 -3.6.2 应用系统功能管理....................................................................................... - 6 -3.6.3 应用系统操作管理....................................................................................... - 6 -1产品概述1.1产品简介随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:➢用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。
EETrust统一身份认证平台(UAP)技术方案
1. 概述统一身份认证平台是基于PKI(Public Key Infrastructure)理论体系,利用CA、数字签名和数字证书认证机制,综合应用USB接口智能卡、安全通道、VPN等技术,为门户、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。
1.1 认证系统实现目标本方案是按本地用户需求规划构建的统一身份认证平台,为本地用户各业务系统提供统一的身份认证和综合安全服务,以实现内联网、外联网及移动办公的统一认证:(1)建立本地用户自己独立的CA数字证书受理系统⏹基于CA,为平台各系统用户统一颁发数字证书;⏹支持数字证书的USB-KEY存储;(2)实现多应用的统一身份认证⏹统一的认证门户;⏹支持多个B/S结构、C/S结构的业务系统接入平台;⏹平台对用户统一授权和认证;⏹每一用户只使用一个USB-KEY访问所有被授权的系统;(3)移动办公安全⏹使用同一种认证方式进行VPN接入认证;⏹能够根据用户组授权访问不同的应用系统;⏹完善的日志和报表,提供用户登录、退出的时间等信息;(4)应用数据安全⏹本地文件使用个人证书进行加密保存和读取;⏹OA系统中秘密文件的加密存储和加密传输;⏹OA系统中电子邮件的签名和加密传输;1.2 统一身份认证平台主要功能门户系统(Portal)——各业务系统信息资源的综合展示。
统一授权——平台为用户统一颁发数字证书和私钥并存储在USB-KEY中,作为用户访问平台及各应用系统的凭据,并对用户访问应用系统的权限进行授权。
身份认证——用户在访问平台及各应用系统时,都使用相同的凭据(即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN),并利用数字签名技术在平台进行身份认证,证明其身份的真实性。
单点登录(SSO)——用户在通过平台认证后,可直接访问已授权的各应用系统,实现不同应用系统的身份认证共享,从而达到多应用系统的单点登录。
数据共享——认证平台存储了用户的基本信息和证书信息,所有应用系统均可以充分利用这些信息,减少用户信息的重复录入。
统一身份认证平台讲解
统⼀⾝份认证平台讲解统⼀⾝份认证平台设计⽅案1)系统总体设计为了加强对业务系统和办公室系统的安全控管,提⾼信息化安全管理⽔平,我们设计了基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台。
1.1.设计思想为实现构建针对⼈员帐户管理层⾯和应⽤层⾯的、全⾯完善的安全管控需要,我们将按照如下设计思想为设计并实施统⼀⾝份认证服务平台解决⽅案:内部建设基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应⽤模块实现所提出的员⼯帐户统⼀、系统资源整合、应⽤数据共享和全⾯集中管控的核⼼⽬标。
提供现有统⼀门户系统,通过集成单点登录模块和调⽤统⼀⾝份认证平台服务,实现针对不同的⽤户登录,可以展⽰不同的内容。
可以根据⽤户的关注点不同来为⽤户提供定制桌⾯的功能。
建⽴统⼀⾝份认证服务平台,通过使⽤唯⼀⾝份标识的数字证书即可登录所有应⽤系统,具有良好的扩展性和可集成性。
提供基于LDAP⽬录服务的统⼀账户管理平台,通过LDAP中主、从账户的映射关系,进⾏应⽤系统级的访问控制和⽤户⽣命周期维护管理功能。
⽤户证书保存在USB KEY中,保证证书和私钥的安全,并满⾜移动办公的安全需求。
1.2.平台介绍以PKI/CA技术为核⼼,结合国内外先进的产品架构设计,实现集中的⽤户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供⽤户⾝份、系统资源、权限策略、审计⽇志等统⼀、安全、有效的配置和服务。
如图所⽰,统⼀信任管理平台各组件之间是松耦合关系,相互⽀撑⼜相互独⽴,具体功能如下:a)集中⽤户管理系统:完成各系统的⽤户信息整合,实现⽤户⽣命周期的集中统⼀管理,并建⽴与各应⽤系统的同步机制,简化⽤户及其账号的管理复杂度,降低系统管理的安全风险。
b)集中证书管理系统:集成证书注册服务(RA)和电⼦密钥(USB-Key)管理功能,实现⽤户证书申请、审批、核发、更新、吊销等⽣命周期管理功能,⽀持第三⽅电⼦认证服务。
统一身份认证平台功能描述
数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................. - 1 -1.1 产品简介....................................................... - 1 -1.2 应用范围....................................................... - 2 -2 产品功能结构......................................................... - 2 -3 产品功能............................................................. - 3 -3.1 认证服务....................................................... - 3 -3.1.1 用户集中管理............................................. - 3 -3.1.2 认证服务................................................. - 3 -3.2 授权服务....................................................... - 4 -3.2.1 基于角色的权限控制....................................... - 4 -3.2.2 授权服务................................................. - 4 -3.3 授权、认证接口................................................. - 4 -3.4 审计服务....................................................... - 5 -3.5 信息发布服务................................................... - 5 -3.6 集成服务....................................................... - 6 -3.6.1 应用系统管理............................................. - 6 - 3.6.2 应用系统功能管理......................................... - 6 - 3.6.3 应用系统操作管理......................................... - 7 -1产品概述1.1产品简介随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:➢用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。
企业统一用户认证平台方案
统一用户中心
Unified User Center
统一身份认证中心全景图
1.登录门户 PORTAL
验证用户名密码成功,产生 Token,将token放入Map,
user为登录用户对象 2.验证用户名密码
3.如果token有效返回成功信息
统一认证中心
4.从门户登录 应用系统
传递Token給应 用系统
企业统一用户认证平台方案 IDM
需求理解
1. 业务系统众多,协同办公、人力资源、财务、合规、固收、估值、清算、柜台、 报送,每个系统中用户很多,管理很复杂;
2. 各个业务系统用户账号命名规则各异,同一员工在各个系统中的账号截然不同; 3. 每个系统密码策略不同,导致同一用户在各个系统中的密码截然不同; 4. 员工在每天的工作中,需要多次登录多个不同系统; 5. 业务系统授权管理分散,无法做到集中管理、集中授权; 6. 用户操作审计工作分散、缺失,无法统计系统的使用情况、使用频率,无法进行
人员组织机构
自建、或从它系统同步 只作为主账号的分类,方便查询、定位
人员访问系统权限
人员关联角色,角色关联可访问系统 密码策略管理,密码管理
用户自助维护系统
更改密码,重置密码,找回密码 个人信息维护 系统映射关联
集中审计管理
系统登录、注销、禁用,状态可查 用户登录哪些系统、登录频率、登录时间,均可查 认证信息、访问记录可查,识别系统潜在威胁 某一系统在线人数、某一时段在线人数 用户使用行为分析
验证Token,以及访问 ip,并且将应用的唯一 标识appkey传递过去。
5.验证
各应用系统
6.返回验证结果 根据Token从map里面取得用户, 根据userid以及应用的appkey去验 证此用户是否有权限访问,有则把
统一身份认证平台
统一身份认证平台信息化建设是一个动态的、进展的进程,随着各类信息系统不断增加完善,对信息平安、权限治理、系统间交互的需求也将愈来愈强烈。
原有各独立的应用效劳系统各自为政的身份认证方式已经难以适应进展的应用环境。
学校需要有一个独立、平安、高效和靠得住的身份认证及权限治理系统,由此系统来完成对整个信息系通通一身份认证与权限治理。
身份认证系统将是数字校园建设的重要组成部份,该系统为数字校园的所有用户提供统一的身份确认与权限交付。
用户通过一次认证后,即可取得相应权限,并利用数字校园中所有应用效劳系统提供的效劳。
另一方面,必需要有一个比较稳固的动态口令和统一身份认证系统专门好地结合,如此每一个用户都具有一个静态口令和一个不断转变的动态口令,治理员能够设置用户静态口令和动态口令不同的可利用范围,如此从另一个角度提高了整个信息化的平安性;如此的一个动态口令系统必需能够和各应用系统的动态口令系统有专门好的接口,使得在纵向能够做到动态口令的一致性。
通过指定相应的集中认证技术标准,提供统一的应用系统用户治理接口,最终实现所有新建系统用户认证的统一集中化治理,做到真正意义的集中认证。
实现各应用系统的“集中认证”,能够完全改变各自为政、治理松散的用户治理模式,充分发挥学校内部网络治理保护部门的治理职责,标准用户操作行为,强化用户合理利用网络资源的意识。
本系统重点包括三个方面:用户资料的集中存储和治理、用户身份集中的验证、访问权限的集中操纵和治理。
建设目标随着应用建设的慢慢深切,已经建成的和将要建成的各类数字校园应用系统存在不同的身份认证方式,用户必需经历不同的密码和身份。
因此,要建设以目录效劳和认证效劳为基础的统一用户治理、授权治理和身份认证体系,将组织信息、用户信息统一存储,进行分级授权和集中身份认证,标准应用系统的用户认证方式。
提高应用系统的平安性和用户利用的方便性,实现全数应用的单点登录。
即用户经统一应用门户登录后,从一个功能进入到另一个功能时,系统平台依据用户的角色与权限,完成对用户的一次性身份认证,提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。
数字化校园中统一身份认证平台应用浅析
综合理论234学法教法研究课程教育研究1 数字化校园建设的一些现状随着高校IT 应用的迅速发展,基于校园网的应用系统越来越多,在没有统一身份管理的情况下,不同的系统需要各自维护用户信息。
用户如需访问多个系统,不仅要面对多个登录界面,还要记忆不同的用户名和口令。
这样一种各自为政、管理松散的用户管理模式,不仅影响用户的使用效率,还使系统管理员的管理难度越来越大。
除此之外信息和资源还无法实现高效共享,数据无法实时更新,造成信息的重复管理。
随着应用系统的不断增多,以上问题将会更加严重,管理更加困难,这些都迫切需要统一身份认证系统的支持,以适应数字化校园的发展趋势。
统一身份认证系统集中存储用户信息,实行统一认证、统一授权和集中管理。
终端用户在通过统一身份认证中心的验证后,就可以登录到任何已经接人统一身份认证中心的、其有权限访问的应用系统,极大地方便用户使用,提高系统的易用性,提升用户体验,减少应用系统的开发和维护成本。
2 统一身份认证平台技术架构统一身份认证平台包含四大逻辑组成部分:数据存储、用户身份管理、用户认证和对外服务,其技术架构如图所示。
(1)身份管理身份管理用于实现认证服务的管理与监控,主要使用者是学校信息技术中心管理员。
该功能旨在提供一个功能全面且易用的身份管理平台,使管理员能够管理全校的身份数据及其权限关系,掌握全校身份数据的管理状态和使用状态,审计全校身份数据管理和使用的问题,监控身份管理平台各系统服务的运作状态。
身份管理功能主要包括概况、账号、认证、授权、审计、监控和系统功能等功能模块。
概况模块用于展现当前身份管理平台内一些重要的状态数据,让管理员对当前系统的运行状态一目了然,便于管理员及时发现问题和异常。
账号模块用于完成全校身份账号数据的增加、删除、修改、过期设置、锁定/解锁和加入组操作。
其中用户数据采集可以采用以下方式:① 使用公共数据平台从学校数据中心学生库和教师库自动抽取用户身份数据,并加以归纳和整理后同步到身份管理平台的身份数据库。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................................................................................... - 1 -1.1 产品简介................................................................................................................... - 1 -1.2 应用范围................................................................................................................... - 1 -2 产品功能结构....................................................................................................................... - 2 -3 产品功能............................................................................................................................... - 2 -3.1 认证服务................................................................................................................... - 2 -3.1.1 用户集中管理............................................................................................... - 2 -3.1.2 认证服务....................................................................................................... - 3 -3.2 授权服务................................................................................................................... - 3 -3.2.1 基于角色的权限控制................................................................................... - 3 -3.2.2 授权服务....................................................................................................... - 4 -3.3 授权、认证接口....................................................................................................... - 4 -3.4 审计服务................................................................................................................... - 4 -3.5 信息发布服务........................................................................................................... - 5 -3.6 集成服务................................................................................................................... - 5 -3.6.1 应用系统管理............................................................................................... - 5 -3.6.2 应用系统功能管理....................................................................................... - 6 -3.6.3 应用系统操作管理....................................................................................... - 6 -1产品概述1.1产品简介随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:➢用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。
➢各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工作重复,增加学校管理工作成本。
➢新开发的系统不可避免的需要用户和权限管理,每一个新开发的系统都需要针对用户和权限进行新开发,既增加了学校开发投入成本,又增加了日常维护工作量➢针对学生、教职工应用的各种系统,不能有效的统一管理用户信息,导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账号,为学校日后的工作带来隐患。
➢缺乏统一的审计管理,出现问题,难以及时发现问题原因。
➢缺乏统一的授权管理,出现权限控制不严,造成信息泄露。
统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围2产品功能结构统一身份认证平台功能结构图3产品功能3.1认证服务3.1.1用户集中管理统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。
通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。
为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。
用户管理3.1.2认证服务认证服务是统一身份认证平台的核心服务,通过认证服务,可以实现如下功能:➢为用户提供单点登录功能,实现“一次登录、处处登录”。
➢为业务系统登录提供统一的接入入口➢新开发的系统不用再进行用户部分的开发,直接调用认证平台提供的认证服务即可完成系统认证。
3.2授权服务3.2.1基于角色的权限控制平台提供了基于角色的权限控制,通过每个业务系统的角色可以划分为系统角色和用户角色。
系统角色拥有整个业务系统的控制权,用户角色拥有业务系统授权访问的控制权。
通过建立不同的用户组,聚合不同的角色,为用户划分权限。
用户组的划分可以根据学校的实际情况划分学生组、教职工组等。
用户组的权限如果不能满足用户的需要,可以直接给用户分配需要的角色,不再局限于用户组,授权形式更加灵活。
通过用户分组操作,可以批量为用户分组,实现批量授权。
3.2.2授权服务平台提供了统一的授权服务,各业务系统通过调用平台提供的服务接口,无须重复开发业务系统中权限管理模块的功能,缩减了建设周期。
3.3授权、认证接口授权、认证接口为第三方应用系统接入统一身份认证平台提供了一个安全的通道,通过授权认证接口,可以获取用户身份认证、用户信息、单点登录、获取用户权限列表,接口特点如下:➢认证接口支持多种接入形式:Webservice和API。
➢支持多种认证接入类型:应用系统、应用系统功能、应用系统操作。
➢支持多种开发工具(.NET、J2EE、DELPHI、PB、ASP、PHP、VB)。
3.4审计服务为了确保信息访问的安全性,系统提供了对用户在认证访问过程中所有的操作进行全程监控的功能。
在这期间不管用户做什么操作都会被审计跟踪系统进行记录下来,一旦出现什么问题可根据记录的内容进行追溯。
审计服务3.5信息发布服务在统一身份认证建设和认证系统集成过程中,为了方便学生和老师及时掌握系统认证集成进度和登录方式,可通过信息发布管理系统把信息发布到统一身份认证的首页上。
同时把平台使用的关键功能以帮助文档的形式发布出来,方便学生和老师使用平台功能。
信息发布服务3.6集成服务统一身份认证平台为业务系统接入提供集成管理服务,主要包括应用系统集成、应用系统功能集成、应用系统操作集成。
3.6.1应用系统管理业务系统接入统一身份认证,需要在认证平台中注册有关应用系统的信息:应用系统管理3.6.2应用系统功能管理业务系统接入统一身份认证,需要在认证平台中注册有关应用系统功能的信息:应用系统功能管理3.6.3应用系统操作管理统一身份认证平台的权限可以控制到应用系统某一功能的具体操作权限,前提是必须在平台中注册这些功能的操作:应用系统操作管理。