1-广东省网上办事大厅统一身份认证平台对接规范V1.0.1

省网上办事大厅统一身份认证平台

业务系统接入规

V1.0.1

省网上办事大厅

二O一四年十月

目录

一、前言 (3)

二、目标 (4)

三、对接方案 (4)

3.1. 单点登录 (4)

3.1.1. 系统结构 (5)

3.1.2. 集成模式 (5)

3.1.3. 任务分工 (6)

3.2. OAuth2认证 (6)

3.2.1. 系统结构 (6)

3.2.2. 集成模式 (7)

3.2.3. 任务分工 (8)

四、应用程序改造说明 (8)

4.1. 单点登录集成 (8)

4.2. OAuth2认证集成 (9)

4.3. 用户库改造说明 (10)

五、改造环节及示例代码说明 (11)

5.1. 单点登录改造说明 (11)

5.1.1. 详细流程 (11)

5.1.2. 组件调用说明 (13)

5.1.3. 示例代码说明 (13)

5.2. OAuth2认证改造说明 (14)

5.2.1. 详细流程 (14)

5.2.2. 登录页面改造说明 (16)

5.2.3. 组件调用说明 (16)

六、接口及参数说明 (16)

6.1. 单点登录接口说明 (16)

6.1.1. 设置认证服务URL (16)

6.1.2. 获取用户信息 (17)

6.2. OAuth2认证接口说明 (19)

6.2.1. 获取授权码 (19)

6.2.2. 获取token (20)

6.2.3. 获取用户信息 (21)

一、前言

按照《关于做好全省网上办事大厅建设相关筹备工作的通知》（粤办函〔2012〕369号）等相关文件及省政府推进全省网上办事大厅建设的工作部署的总体要求，构建全省统一身份认证平台，主要目的是服务于全省网上办事业务信息化发展，为省直部门业务系统、各地市分厅等各类业务系统提供“用户名/密码”普通账户和CA 账户认证服务，并提供跨域单点登录服务，逐步实现“一个账号，全省通用”，建成全省标准统一、安全可靠、互联互通、应用方便的统一身份认证应用支撑体系，全面提升省网办大厅的用户体验及安全保障能力。

本规文件按照省网上办事大厅工作的总体要求，指导各类业务系统建设单位开展统一认证对接工作，说明相关对接流程和步骤，提供相应服务接口及应用实例，完成各业务系统与省统一身份认证平台对接工作。

二、目标

各类业务系统接入省统一身份认证平台，主要目标如下：

（1）统一认证：各类业务系统通过省统一身份认证平台获取符合OAuth2认证协议的用户账户认证服务，支持省统一身份认证平台用户能够登录进入各类业务系统，实现“一个账号，全省通用”。

（2）单点登录：各类业务系统按照省统一身份认证平台接入规进行sso接口集成改造，接入到省统一身份认证平台中，通过省统一身份认证平台实现各类业务系统的单点登录服务，实现“一点登录，多点漫游”。

（3）CA认证：省统一身份认证平台将接入省数字证书交叉认证平台、各市级数字证书交叉认证系统等数字证书交叉认证平台，并为业务系统提供CA账户

认证服务，满足全省CA用户的统一身份认证服务。

三、对接方案

根据省网上办事大厅统一认证建设目标，根据各类业务系统不同的对接工作容，其相应的接入集成方式分别如下：

3.1.单点登录

避免重复建设，提高使用效率，遵循“统一认证”架构，各类业务系统接入省统一身份认证平台后，通过SSO服务，使用户进入省网上办事大厅、各省直部门业务系统、地市分厅系统等业务系统办理业务时只需要一次登录认证。

在用户进行单点登录之前的身份认证方式可以有多种选择，省统一身份认证平台提供多种第三方信任源进行认证，包括各省直业务部门账户系统、市级身份认证平台、以及其它第三方信任源。

3.1.1.系统结构

系统建设逻辑结构如下图所示：

用户通过省统一身份认证平台进行登录认证，认证通过后单点登录访问业务

系统，提供统一安全登录服务，从而避免用户多次重复登录各个不同系统，实现电子政务便民的工作目标。

3.1.2.集成模式

省统一身份认证平台提供统一身份管理和认证功能，并建立与各业务系统用户关联关系，避免最终用户在多个系统中重复登录，从而有效提高用户操作的方便性，达到“统一认证、统一登录”的目标。

在省统一身份认证平台统一用户访问入口的情况下，业务系统单点登录集成改造工作主要包括：

1、在业务系统中部署单点登录组件，配置相应数字证书；

2、在业务系统中集成单点登录接口，实现对通过省统一身份认证平台统一认证后所签发的单点登录用户信息的认证及解析；

3、在业务系统数据库中增加关联字段，用于建立与省统一身份认证平台用户的关联关系；

3.1.3.任务分工

●省统一身份认证平台系统集成商：

1.提供单点登录组件及其相应的集成操作文档；

2.协助业务系统开发商调用省统一身份认证平台统一认证服务，配合

联调测试，实现安全认证登录；

●业务系统开发商：

1.业务系统开发商需要调用省统一身份认证平台的单点登录组件，修

改数据库，实现单点登录服务。

3.2.OAuth2认证

3.2.1.系统结构

用户直接访问业务系统，之后选择以省统一身份认证平台作为第三方信任源登录，认证后返回至该系统，系统结构图如下：

如上图所示，用户在业务系统登录页面，选择省统一身份认证平台作为第三方信任源登录，业务系统登录页面、后台程序需要进行改造，实现接受省统一身份认证平台作为第三方信任源的OAuth2认证，实现用户认证信息共享。

3.2.2.集成模式

采用业务系统登录页面选择省统一身份认证平台或第三方信任源认证方式来进行用户认证，其实施步骤如下：

1.在业务系统登录页面加入省统一身份认证平台认证，调用省统一身份

认证平台OAuth2认证接口，实现用户身份认证；

2.省统一身份认证平台提供OAuth2认证接口，供业务系统调用，实现

用户身份认证信息的安全传输；

3.省统一身份认证平台和其它第三方信任源之间实现OAuth2认证，调

用第三方信任源的OAuth2认证接口，实现第三方信任源的用户共享。

3.2.3.任务分工

省统一身份认证平台系统集成商：