统一用户管理与认证平台需求说明书

南南山山区区教教育育信信息息网网应应用用系系统统

统一用户管理与认证平台

需求说明书

版本信息

项目及文档信息

发布日期：2008-9-30

1引言 (3)

1.1 编写目的 (3)

1.2 背景 (3)

1.3 定义 (3)

1.4 参考资料 (4)

2任务概述 (4)

2.1 目标 (4)

2.2 用户的特点 (4)

2.3 假定和约束 (5)

3需求规定 (5)

3.1 对功能的规定 (5)

3.1.1统一用户管理 (5)

3.1.2统一认证与单点登录 (7)

3.1.3应用系统自身的用户及认证管理 (8)

3.2 对性能的规定 (8)

3.2.1精度 (8)

3.2.2时间特性要求 (8)

3.2.3灵活性 (9)

3.3 输人输出要求 (9)

3.3.1用户信息 (9)

3.3.2认证信息 (9)

3.4 数据管理能力要求 (9)

3.5 故障处理要求 (9)

3.6 其他专门要求 (9)

4运行环境规定 (9)

4.1 设备 (9)

4.2 支持软件 (10)

4.3 接口 (10)

4.4 控制 (10)

1 引言

1.1 编写目的

本文档的编写目的在于确定南山教育信息网统一用户管理与认证平台的需求内容，成为后续开发建设和验收的依据。

1.2 背景

在应用系统的建设中，用户身份和认证信息的管理是最关键的一部分。但是由于需求总是在不断变化和发展，应用系统也会不断的增加或淘汰。因此，应用系统通常都是在不同平台上、由不同开发商开发，使用的技术不一致，容易造成每套系统都有独立的用户身份管理，登录不同应用系统需要多次登录。

对于用户来说，每增加一个新的应用，需要记忆一套新的用户名/密码，负责的业务范围越大，需要记忆的用户名/密码组越多。设定一样的密码，不够安全；密码设定不一样，记忆困难，每次访问应用系统，需要重复输入用户名/密码，在一个系统中修改了密码，其他系统的密码不会随之改变。

对于系统管理员而言，没有一个统一的用户管理系统，就会在新进人员时，需要到众多系统中逐一建立帐号；人员离职时，需要到众多系统中逐一删除帐号，给系统管理员的工作造成了繁重负担，还容易造成各系统中人员身份信息的不一致。

对于南山区学校领导、教师和学生等用户，由于其可以享受大量教育资源服务，为防止他人冒名顶替、盗用资源，故须对这些“合法”用户要进行统一的实名认证。

1.3 定义

统一认证平台：南山教育信息网的应用支撑性平台，包括了统一用户、应用资源的管理以及各应用资源的统一认证管理。

统一用户管理：负责管理南山教育信息网全体实名用户的身份管理，并分配各分项应用子系统中具有使用权的用户，将统一用户信息同步到应用子系统中。

统一认证：负责南山教育信息网的统一用户认证以及单点登录支持，用户通过平台统一

登录之后可以单点登录访问其权限范围内的各分项应用子系统，单点登录需要各应用系统支持统一认证接口。

1.4 参考资料

招标文件《南山区教育信息网应用系统软件开发与集成服务》

2 任务概述

2.1 目标

（1）用户组织与权限管理：建立一套有效的用来管理网络资源、用户身份的平台，实现组织、用户和资源的集中管理和授权，管理员不再分散管理用户，系统具有很高安全性和灵活性。

（2）统一认证管理：单点登录功能是实现统一身份认证系统的首要目标，实现让用户在经过一次网络身份验证后，就可以访问所有授权的网络资源，而不需要额外验证，支持多种认证方式（用户名密码、证书、USB）。这里的网络资源，主要是指基于Web方式的应用系统。

（3）应用系统管理：在实现了用户统一认证的基础上，制定出一套规范的用户单点登录机制，提供用户身份统一访问接口，要求所有新建且可以经过统一身份认证系统认证的应用系统，涉及的账号一定是统一身份认证系统的用户帐号。这些应用系统必须被统一身份认证系统所管理，管理平台设置可以访问此应用系统的用户、组织或角色等。

（4）旧系统策略：提供自动代理登录（自动登陆到其它目标业务系统）功能，实现统一用户可以单点登录旧系统，代理登陆所需要的用户信息保存在独立数据库中。

（5）日志管理：可以查看用户登录以及用户同步的日志记录。

2.2 用户的特点

南山教育信息网的用户涉及到南山教育局以及下属的各个学校和机构的全体用户，具体包括：约1万的教职工用户，约10万的中小学生用户、约10万的家长用户。所有这些用户都将由统一认证平台统一管理，平台管理员有权管理所有的用户信息，而各个单位（如某个

学校）的管理员可以管理本单位的用户信息，普通的用户可以使用自己的帐号通过平台进行统一登录，然后单点式的访问南山教育信息网类自身具有权限的应用系统资源，不再需要为访问某一个应用系统而分别输入用户、密码。

2.3 假定和约束

南山教育信息网具备全局的统一用户库，各分项的应用子系统可以仍然具备自身的用户体系，但用户信息源于统一用户库，用户的产生由统一用户管理负责，各应用系统接收平台发送的用户同步信息。

各应用系统必须提供相关的接口以支持单点登录，对于已有的应用系统而言，通过基于用户映射的代理访问方式，不需要单独开发单点登录接口。

3 需求规定

3.1 对功能的规定

3.1.1统一用户管理

平台提供南山教育信息网全体实名用户的用户资料信息集中存储，这些资料由统一用户认证平台集中管理，平台管理员可以维护所有人员的用户信息，各单位的管理员只能维护其本单位的用户信息。

用户的信息包括应包括3个层面的含义：1、用户的人事类基础信息，诸如姓名、性别、户籍、身份证、职务、联系电话、电子邮箱、学历、学位等等，这些信息不涉及安全登录，但可以作为用户登录帐号信息的生成来源。2、用户的帐号信息，诸如登录帐号、密码、密码有效期、登录方式等，这些信息涉及安全登录，在进行用户认证时，构成校验信息的主体。

3、权限信息，指用户可以访问哪些应用系统资源。

统一用户管理具体由以下功能组成。

3.1.1.1 人事信息管理

人事信息资料的管理是帐号管理体系的基础工作，它具有对学生人事信息和教职工信息（含局机关）的管理职能，提供人事信息查询、修改、统计、增加、检验、帐号查询等功能。